👉 Esta actividad te ayuda a cumplir los siguientes controles:
ISO 27001 en su versión 2013: A.15.1.3, A.15.2.1
ISO 27001 en su versión 2022: A.5.21, A.5.22
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a definir y documentar cómo vas a seleccionar adecuadamente a los proveedores que trabajarán para tu organización, cuáles son los aspectos más importantes a considerar para su contratación, y cómo vas a revisar su servicio para garantizar que estén alineados a tus necesidades y lineamientos de seguridad.
¿Qué tengo que hacer? 🚀
Para lograr esta actividad, te sugerimos realizar los siguientes pasos:
Comienza por identificar cuáles son los proveedores que son alcanzados por tu programa de seguridad y/o que forman parte de los procesos críticos de tus operaciones.
Aquí puedes apoyarte de tu Inventario de Activos, ya que en él definiste el listado de los proveedores de la empresa.
Recordemos que un proveedor puede ser aquel que te proporciona los servicios de nube, una aplicación SaaS (software as a servirse), servicios de reclutamiento, de desarrollo, etcétera.
Una vez identificados los proveedores, debes realizar una evaluación de su servicio, y para esto te recomendamos utilizar una Matriz de Evaluación de Proveedores, la cual te ayudará a documentar los resultados y criterios de la revisión, demostrando que cumplen con ellos.
Entre los criterios de evaluación que debes considerar están el nivel de seguridad del proveedor (medidas y controles de seguridad implementados), sus SLAs y su nivel de cumplimiento normativo o regulatorio, pero puedes añadir otros que consideres pertinentes para evaluar a tus proveedores.
Esta evaluación debe ser aplicada a los nuevos proveedores que desees contratar y a los ya existentes, por lo menos una vez al año.
Además de la evaluación de sus servicios y/o productos, es súper importante revisar que los contratos con estos proveedores cumplan con acuerdos en materia de seguridad de la información, confidencialidad, tratamiento de datos personales, entre otros temas que puedan ser relevantes para tu empresa.
Es importante también mencionar que un contrato o acuerdo con proveedores de tecnología puede ser la aceptación que diste de sus términos y condiciones, por lo que es muy importante para tu seguridad que los conozcas y que se alineen a tus necesidades.
En caso de que requieras buscar o cambiar un proveedor, ya sea porque necesitas cubrir una nueva necesidad o sustituir un servicio, debes realizar la evaluación correspondiente con los criterios que hayas definido, validar los acuerdos contractuales y analizar los potenciales riesgos que podrían estar asociados a esta contratación.
Recuerda que debes actualizar tu Matriz de Evaluación de Proveedores con la información del nuevo proveedor y con los resultados de las revisiones periódicas.
El análisis y evaluación del riesgo de la nueva contratación debe quedar documentada en tu Matriz de Riesgos.
Recuerda que nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu procedimiento fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Añade más criterios de evaluación si lo ves pertinente, recuerda que el objetivo de estos resultados es brindarte información valiosa para tomar decisiones importantes.
Asegúrate que los lineamientos de tu Política de Seguridad de la Información estén alineados a tus necesidades y operaciones.
¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.