En la mayoría de las organizaciones modernas, una parte importante de los servicios y sistemas depende de terceros. Desde plataformas cloud hasta servicios de mantenimiento, soporte técnico o gestión de datos, los proveedores forman parte esencial del funcionamiento del negocio. El control 5.19 de ISO/IEC 27001 aborda precisamente este aspecto: la gestión de los riesgos de seguridad de la información asociados a los proveedores.
Este control tiene como objetivo garantizar que las organizaciones identifiquen, evalúen y gestionen adecuadamente los riesgos derivados del uso de productos o servicios proporcionados por terceros.
¿Qué exige el control 5.19?
Para cumplir con este control, una organización debe demostrar que:
- Ha identificado y evaluado los riesgos de seguridad asociados a los proveedores.
- Ha definido procesos y procedimientos para gestionar dichos riesgos.
- Aplica controles adecuados en las relaciones con proveedores que puedan afectar a la seguridad de la información.
En otras palabras, no basta con contratar un proveedor. La organización debe asegurarse de que su relación con ese proveedor no compromete la confidencialidad, integridad o disponibilidad de la información.
Riesgos de seguridad relacionados con proveedores
Los proveedores pueden introducir riesgos en distintos ámbitos. Por ejemplo, una organización puede depender de un proveedor para almacenar datos, mantener sistemas, procesar información o proporcionar servicios críticos.
Algunos ejemplos de situaciones de riesgo incluyen:
- Un proveedor de servicios cloud que sufre un incidente de seguridad y expone datos de clientes.
- Una interrupción del servicio de infraestructura que impide a la organización operar durante horas o días.
- Un proveedor que procesa datos en países con legislación de protección de datos insuficiente.
- Un proveedor que no aplica medidas adecuadas de seguridad y permite accesos no autorizados a la información.
Estos riesgos no se limitan únicamente a proveedores tecnológicos. También pueden surgir en servicios aparentemente menos críticos, como empresas de limpieza, servicios de archivo o proveedores de impresión que tengan acceso a información sensible.
Riesgos asociados a productos de proveedores
Los riesgos también pueden aparecer al adquirir productos de terceros. Equipos defectuosos, software vulnerable o dispositivos mal configurados pueden afectar a la seguridad de la organización.
Por ejemplo:
- Hardware que falla y provoca la interrupción de sistemas importantes.
- Software con errores que genera información incorrecta.
- Dispositivos conectados a Internet con configuraciones de seguridad débiles.
- Equipos de red que contienen componentes inseguros o incluso software malicioso.
Por este motivo, las organizaciones deben evaluar no solo los servicios de los proveedores, sino también los productos que adquieren.
Política de relaciones con proveedores
Una de las recomendaciones clave del control 5.19 es establecer una política específica para la gestión de proveedores. Esta política debe definir cómo se gestionan las relaciones con terceros y qué requisitos de seguridad deben cumplir.
Un enfoque habitual consiste en clasificar a los proveedores según el tipo de servicio que prestan y el nivel de riesgo que representan. Por ejemplo:
- proveedores de servicios cloud
- proveedores de software
- proveedores de infraestructura
- proveedores de servicios administrativos
- proveedores de servicios auxiliares
A partir de esta clasificación, la organización puede definir requisitos de seguridad específicos para cada categoría.
Por ejemplo, para proveedores tecnológicos pueden establecerse requisitos como:
- disponer de certificaciones de seguridad reconocidas
- cumplir con normativa de protección de datos
- notificar incidentes de seguridad
- garantizar niveles mínimos de disponibilidad del servicio
- permitir auditorías de seguridad
Procesos para gestionar proveedores
Además de definir una política, el control 5.19 recomienda establecer procesos que permitan gestionar los riesgos asociados a proveedores durante todo el ciclo de vida de la relación.
Entre estos procesos suelen incluirse:
Evaluación previa de proveedores
Antes de contratar un proveedor, la organización debe analizar los riesgos asociados a sus productos o servicios.
Definición de requisitos de seguridad
Los requisitos de seguridad deben incluirse en las especificaciones del servicio o producto que se desea contratar.
Proceso de selección
Los proveedores deben evaluarse no solo por criterios económicos o técnicos, sino también por su capacidad para cumplir requisitos de seguridad.
Formalización de contratos
Los acuerdos con proveedores deben incluir cláusulas relacionadas con la seguridad de la información.
Estrategia de salida
Especialmente en servicios cloud, es importante definir cómo se recuperarán los datos o se migrarán los servicios si se decide cambiar de proveedor.
Supervisión continua
Una vez contratado el servicio, la organización debe supervisar periódicamente el cumplimiento de los requisitos de seguridad.
Importancia de la gestión de proveedores
Una gestión adecuada de proveedores ayuda a reducir riesgos relacionados con la cadena de suministro y a proteger los activos de información de la organización.
En muchos casos, los incidentes de seguridad no se originan dentro de la organización, sino en proveedores externos que tienen acceso a datos o sistemas. Por ello, las relaciones con proveedores deben gestionarse con el mismo nivel de atención que los sistemas internos.
Conclusión
El control 5.19 de ISO 27001 recuerda que la seguridad de la información no depende únicamente de las medidas internas de la organización. Los proveedores también forman parte del ecosistema de seguridad.
Identificar los riesgos asociados a terceros, establecer requisitos claros y supervisar el cumplimiento de esos requisitos permite reducir significativamente la probabilidad de incidentes y proteger la información de la organización.
En un entorno cada vez más dependiente de servicios externos, la gestión segura de las relaciones con proveedores se convierte en un elemento esencial del sistema de gestión de seguridad de la información.
