Checklist para la Gestión de la Seguridad de la Información con proveedores
Gestión de la Seguridad de la Información
Hoy en día las empresas han de tener en cuenta su seguridad online, con el objetivo de garantizar que su información se encuentra segura y accesible por las personas indicadas. En algunos casos nos centramos principalmente en asegurar al máximo nuestros sistemas pero no exigimos a nuestros proveedores externos que lo hagan de la misma forma, lo que nos genera un nivel de vulnerabilidad que nuestra empresa si había contemplado. Por lo que debemos establecer una gestión de la seguridad de la información entre la organización y los proveedores. De entre los proveedores, los podemos dividir en tres grupos principales:
- Proveedores de servicios tecnológicos. Son los cuales aportan servicios como alojamiento web, transmisión de certificados, pasarelas de pago, almacenamiento en la nube, etc.
- Proveedores de servicios no tecnológicos pero que tienen acceso a datos corporativos. Pueden ser proveedores de viajes, transporte, publicidad, marketing o servicios financieros, etc.
- Suministradores de productos tecnológicos. En este caso, son los proveedores a los cuales adquirimos aplicaciones informáticas, los componentes hardware o los dispositivos.
En un momento como el actual la conectividad y complejidad es indispensable mantener un riguroso control sobre la seguridad de la información de la empresa, aunque esté siendo gestionada por una empresa externa.
El objetivo que se persigue con un control exhaustivo en la relación con proveedores que tienen acceso a nuestra información, es verificar que está suficientemente protegida en base a los acuerdos y contratos correspondientes. Al igual que la seguridad con los proveedores, debemos tener en cuenta que los productos y servicios contratados cumplen la seguridad establecida por la empresa.
Según el Instituto Nacional de Ciberseguridad de España la manera correcta de verificar una política de seguridad es realizando un Checklist que nos proporcione una serie de controles para así revisarlo en todo lo relativo con los proveedores de la organización.
Niveles de complejidad
A – Avanzado: Los recursos necesarios para la implementación y el esfuerzo que nos obliga a hacer son de consideración. Para ello, es necesario la utilización de programas informáticos que requieren configuraciones avanzadas.
B- Básico: Los recursos necesarios para la implementación y el esfuerzo que nos obliga a hacer son asumibles para la mayor parte de las organizaciones. Su aplicación puede ser a través de funcionalidades sencillas incorporadas en aplicaciones comunes. Su prevención viene dada con el uso de herramientas de seguridad elementales como pueden ser: software de antivirus, cifrado de punto final o End point disk encryption, servidor proxy, firewall perimetral de red, escáner de vulnerabilidades, etc.
Para conocer el alcance de cada uno de los controles debemos tener en cuenta tres tipos:
- Procesos (PRO): se aplica en los niveles superiores de la empresa: dirección o personal de gestión.
- Tecnología (TEC): se aplica a los especialistas tecnológicos de la empresa.
- Personas (PER): se aplica a todo el personal de la organización sin tener en cuenta en qué nivel se encuentran.
Controles de seguridad de la información
Avanzados
- Definir cláusulas contractuales en materia de seguridad de la información. Se deben realizar con un criterio riguroso en la elaboración y aceptación de las cláusulas contractuales en materia de ciberseguridad, con el fin de establecer contratos y acuerdos rigurosos.
Básicos
- Requisitos de seguridad en productos y servicios. Es necesario establecer los requisitos de seguridad mínimos que deben cumplir los productos que se adquieren y los servicios contratados. Estos requisitos han de ser coherentes con las políticas de seguridad de la organización y exponerlos a proveedores.
- Definir las responsabilidades concretas por ambas partes. Delimitar las responsabilidades en materia de ciberseguridad para las partes involucradas. Para ello, se establecerá por contrato, y con posibilidad de penalización, quien es el responsable de cada aspecto relativo de la seguridad, nuestra organización o el proveedor.
- Definir los ANS (Acuerdos de Nivel de Servicio). El fin, establecer las características de garantías y calidad del servicio adquirido. Para ello, debemos definir y firmar los ANS correspondientes con los proveedores.
- Formar parte de los foros y organizaciones de usuarios de los productos/ servicios software utilizados. Participar en las diferentes organizaciones de usuarios de los productos y servicios software que adquieres. De esta manera tendremos la posibilidad de conocer las principales funcionalidades, novedades y vulnerabilidades acerca de estos.
- Certificación de los servicios contratados. Exigir a tus proveedores certificaciones que garanticen la calidad en seguridad de los servicios contratados. Entre estas, destacar: ISO 27001 – Sistema de gestión de la seguridad de la Información, o, ISO 22301 – Gestión de continuidad de negocio.
- Finalización de la relación contractual. Una vez finalizado un servicio o contrato, debemos garantizar la seguridad de la información que se ha proporcionado. Para ello habrá que formalizar las acciones a llevar a cabo una vez terminado: señalar los activos que han de ser devueltos; eliminación de permisos de acceso; borrado de información sensible de la organización que haya sido almacenada en los sistemas del proveedor.
Software ISO 27001
El estándar internacional ISO 27001, junto con todas las normas que componen su familia, nos proporcionan todos los requisitos necesarios para implementar un correcto SGSI de una forma eficaz y rápida, asimismo el Software ISOTools Excellence para la norma ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un SGSI en una organización.