Kudo

THP-4 - Modelo de Responsabilidad Compartida en la Cadena de Suministro

Control de definición y gestión de responsabilidades de seguridad con proveedores

Definición de Control

Es necesario definir claramente las responsabilidades de ciberseguridad entre la organización y cada proveedor o tercero, clasificándolos por nivel de riesgo y estableciendo los requisitos mínimos de seguridad y la frecuencia de evaluación que corresponda a cada nivel. Es necesario incluir en los contratos obligaciones de notificación de incidentes, derecho de auditoría, eliminación segura de datos y responsabilidad ante brechas, revisándolos con el equipo de seguridad antes de su firma, y gestionar los acuerdos de confidencialidad necesarios. Es necesario evaluar y monitorear periódicamente a los proveedores más críticos, generar planes de remediación ante desviaciones, y revocar de inmediato todos sus accesos al finalizar la relación, verificando la eliminación segura de la información compartida.

Requisitos (How)

Requisito 1

Definimos claramente las responsabilidades de ciberseguridad entre la organización y cada proveedor o tercero.

Requisito 2

Clasificamos a los proveedores y terceros en niveles de riesgo: crítico, alto, medio y bajo.

Requisito 3

Definimos requisitos mínimos de seguridad para cada nivel de riesgo: certificaciones obligatorias, políticas exigibles y controles técnicos requeridos.

Requisito 4

Definimos la frecuencia de evaluación de cumplimiento según el nivel de riesgo de cada proveedor.

Requisito 5

Incluimos en los contratos con proveedores la obligación de notificar incidentes de seguridad en un tiempo definido.

Requisito 6

Incluimos en los contratos el derecho de auditoría o acceso a evaluaciones de terceros equivalentes.

Requisito 7

Exigimos contractualmente la eliminación segura de datos organizacionales al término del contrato.

Requisito 8

Establecemos contractualmente la responsabilidad del proveedor ante brechas de seguridad causadas por su parte.

Requisito 9

Revisamos los contratos con proveedores junto al equipo de seguridad antes de su firma.

Requisito 10

Identificamos y aplicamos procesos y procedimientos para gestionar los riesgos de seguridad de la información que surgen del uso de productos o servicios de proveedores, definiendo y acordando con cada uno los requisitos de seguridad que correspondan según el tipo de relación establecida.

Requisito 11

Revocamos de inmediato todos los accesos lógicos y físicos al terminar la relación con un proveedor.

Requisito 12

Evaluamos periódicamente a los proveedores críticos y de alto riesgo para verificar el cumplimiento de sus certificaciones y requisitos de seguridad.

Requisito 13

Generamos informes de cumplimiento con acciones de remediación ante desviaciones detectadas en las evaluaciones.

Requisito 14

Verificamos la eliminación segura de datos organizacionales en los sistemas del proveedor al finalizar el contrato.

Requisito 15

Monitorizamos, revisamos y gestionamos de forma regular los cambios en las prácticas de seguridad y en la prestación de servicios de los proveedores.

Requisito 16

Identificamos, documentamos y revisamos regularmente los acuerdos de confidencialidad o no divulgación (NDA) que reflejen las necesidades de protección de la información de la organización, y nos aseguramos de que el personal y las partes interesadas relevantes los firmen.

Requisito 17

Supervisamos, monitorizamos y revisamos las actividades de desarrollo de sistemas de información cuando estas sean realizadas por terceros externos.

On this page