Dominio "relaciones con proveedores"

DOMINIO "RELACIONES CON PROVEEDORES"

El objetivo del dominio de “relaciones con proveedores” es implementar y mantener el nivel apropiado de seguridad de la información y la entrega de los servicios contratados en línea con los acuerdos de entrega de servicios de terceros.

La organización debe chequear la implementación de los acuerdos, monitorear su cumplimiento con los estándares y manejar los cambios para asegurar que los servicios sean entregados para satisfacer todos los requerimientos acordados con terceras personas

15.1 Seguridad de la información en las relaciones con suministradores

El objetivo es asegurar la protección de los activos de la organización que sean accesibles a los proveedores en la prestación de los servicios contratados.

¿Riesgos asociados?

- Daños físicos (agua, fuego, polución, accidentes, destrucción de equipos, polvo, corrosión, congelación,...)

- Pérdida de servicios esenciales (energía eléctrica, telecomunicaciones, aire acondicionado/agua, ...)

- Afectaciones por radiación (electromagnéticas, térmicas, ...)

- Compromiso de información (intercepción, espionaje en remoto, espionaje en proximidad, robo de equipos o documentos, recuperación desde medios reciclados o deshechados, divulgación, datos de fuentes no fiables, manipulación de hardware, manipulación de software, detección de posición, ...)

- Fallos técnicos (falla o mal funcionamiento del equipo, saturación del sistema de información, mal funcionamiento del software, exposición de la mantenibilidad del sistema de información...)

- Acciones no autorizadas (uso no autorizado de equipos, copia fraudulenta del software, uso de software falsificado o copiado, corrupción de datos, comportamientos no autorizados, procesamiento ilegal de datos, ...)

- Compromiso de las funciones (error en el uso, abuso de privilegios, suplantación de identidad, denegación de acciones, exposición de la disponibilidad del personal, ...)

¿Formas de controlar el riesgo?

15.1.1 Política de seguridad de la información para suministradores: Se deberían acordar y documentar adecuadamente los requisitos de seguridad de la información requeridos por los activos de la organización con el objetivo de mitigar los riesgos asociados al acceso por parte de proveedores y terceras personas.

15.1.2 Tratamiento del riesgo dentro de acuerdos de suministradores: Se deberían establecer y acordar todos los requisitos de seguridad de la información pertinentes a cada proveedor que puede acceder, procesar, almacenar, comunicar o proporcionar componentes de infraestructura de TI que dan soporte a la información de la organización.

15.1.3 Cadena de suministro en tecnologías de la información y comunicaciones: Los acuerdos con los proveedores deberían incluir los requisitos para abordar los riesgos de seguridad de la información asociados con la cadena de suministro de los servicios y productos de tecnología de información y comunicaciones.

15.2 Gestión de la prestación del servicio por suministradores

El objetivo es establecer acuerdos en el nivel de seguridad apropiado y mantener una provisión de los servicios de los proveedores alineados con estos acuerdos

¿Riesgos asociados? Los mismos que en el anterior

¿Formas de controlar el riesgo?

15.2.1 Supervisión y revisión de los servicios prestados por terceros: Las organizaciones deberían monitorear, revisar y auditar la presentación de servicios del proveedor regularmente.

15.2.2 Gestión de cambios en los servicios prestados por terceros: Se deberían administrar los cambios a la provisión de servicios que realizan los proveedores manteniendo y mejorando: las políticas de seguridad de la información, los procedimientos y controles específicos. Se debería considerar la criticidad de la información comercial, los sistemas y procesos involucrados en el proceso de reevaluación de riesgos. 

Comentarios

Publicar un comentario

Entradas populares de este blog

Modelo de Seguridad CIA

Imagen
La seguridad de la información se articula sobre distintas dimensiones, que son los pilares sobre los que aplicar las medidas de protección de nuestra información. Las dimensiones básicas forman el denominado modelo CIA, acrónimo de Confidencialidad, integridad y disponibilidad (availability). Este modelo se denomina también Triángulo CIA por las relaciones entre las dimensiones. Las medidas de seguridad se aplican para garantizar estas dimensiones. Disponibilidad . La información debe estar accesible cuando la necesitemos. Ejemplos de falta de disponibilidad: no podemos acceder a un servicio por un error de configuración, o por sufrir un ataque de denegación de servicio. Integridad . La información debe ser correcta y libre de errores. Ejemplos de falta de integridad: La información has sido alterada por un mal procesamiento o de forma intencionada (malware, empleado insatisfecho, …) Confidencialidad . La información sólo debe ser accesible para para el personal autorizado. Ejempl...
Leer más

Plan director de seguridad: Hoja de análisis

Imagen
  Plan director de seguridad: Hoja de análisis Siguiendo el ejemplo de análisis que encontramos en la herramienta INCIBE, la matriz de riesgo resultante es  la siguiente: La página web  https://www.itmplatform.com/es/recursos/matriz-de-evaluacion-de-riesgos  de la que ya he hablando en post anteriores, nos permite hacer matrices de riesgo a partir de los datos recogidos en la hoja de calculo de INCIBE. 
Leer más

Matriz de riesgo

Imagen
  Matriz de riesgo  https://www.itmplatform.com/es/recursos/matriz-de-evaluacion-de-riesgos Una matriz de riesgos, conocida también como “Matriz de Probabilidad de Impacto”, es una herramienta, útil para toda empresa, que le permite identificar los riesgos a los que está expuesta. De esa forma, las compañías pueden determinar los niveles aceptables de exposición a aquellos, así como establecer el control apropiado frente a los mismos y monitorear la efectividad del método de control elegido.  Con el link anexionado arriba podemos hacer de forma online, una matriz de riesgo donde poder indicar los riesgos a los que la empresa se encuentra sometida.  Los riesgos se representarán en colores distintos dependiendo del nivel de peligro: alto (rojo), medio (naranja) y bajo (verde). 
Leer más