En cualquier organización que implemente un Sistema de Gestión de Seguridad de la Información (SGSI) basado en la norma ISO/IEC 27001, los proveedores juegan un papel clave. Muchos servicios críticos dependen de terceros: proveedores cloud, plataformas tecnológicas, soporte técnico o servicios de almacenamiento de datos.
El control 5.22 del Anexo A de ISO/IEC 27001 se centra precisamente en esto: garantizar que los proveedores continúan cumpliendo los requisitos de seguridad y servicio acordados a lo largo del tiempo.
En este artículo explicamos qué exige este control, por qué es importante y cómo aplicarlo en la práctica.
¿Qué exige el control 5.22?
El control 5.22 establece que las organizaciones deben supervisar, revisar y gestionar los cambios relacionados con los servicios y prácticas de seguridad de sus proveedores.
Esto implica demostrar que la organización:
- Supervisa regularmente las prácticas de seguridad de los proveedores.
- Revisa los cambios en la prestación de los servicios.
- Evalúa si estos cambios afectan a la seguridad de la información.
- Toma medidas cuando se detectan desviaciones o riesgos.
En otras palabras, no basta con definir requisitos de seguridad en los contratos con proveedores: también es necesario comprobar periódicamente que dichos requisitos se siguen cumpliendo.
Objetivo del control
El objetivo principal del control 5.22 es mantener el nivel de seguridad de la información y calidad del servicio acordado con los proveedores.
Para lograrlo, las organizaciones deben verificar de forma periódica que los proveedores siguen cumpliendo los compromisos establecidos en los contratos o acuerdos de servicio.
Este control cubre los tres pilares de la seguridad de la información:
- Disponibilidad: los servicios deben funcionar según lo acordado.
- Integridad: la información no debe ser alterada de forma indebida.
- Confidencialidad: los datos deben mantenerse protegidos frente a accesos no autorizados.
Una supervisión adecuada permite detectar problemas antes de que se conviertan en incidentes de seguridad.
Seguimiento de proveedores
Durante la prestación de un servicio pueden aparecer diferentes señales que indiquen problemas en el cumplimiento de los acuerdos.
Por ejemplo:
- Interrupciones del servicio más frecuentes de lo esperado
- Cambios en la infraestructura tecnológica del proveedor
- Incidentes de seguridad que afecten a los datos
- Modificaciones en las políticas de seguridad o privacidad
Además, los proveedores pueden experimentar cambios internos que afecten a sus servicios, como fusiones empresariales, reorganizaciones o dificultades financieras. Estos cambios pueden tener impacto en la seguridad de la información.
Por este motivo, es recomendable asignar la gestión de las relaciones con proveedores a personas o equipos específicos dentro de la organización. Estos responsables deben tener los conocimientos técnicos y acceso a los contratos para evaluar correctamente el cumplimiento de los acuerdos.
Cómo supervisar a los proveedores
La supervisión de proveedores puede realizarse mediante diferentes mecanismos, dependiendo del nivel de riesgo asociado.
Algunas prácticas habituales incluyen:
- Cuestionarios de seguridad enviados al proveedor
- Autoevaluaciones del proveedor basadas en auditorías internas
- Reuniones periódicas para revisar el desempeño del servicio
- Revisiones de informes de seguridad o cumplimiento
- Auditorías independientes realizadas al proveedor
En algunos casos también se pueden realizar evaluaciones en las instalaciones del proveedor o revisiones técnicas más detalladas.
Sin embargo, no todos los proveedores permiten auditorías directas o acceso completo a sus prácticas de seguridad. En estos casos, la organización debe valorar si el nivel de transparencia es suficiente para mantener la relación contractual.
Revisión de proveedores
Además del seguimiento continuo, el control 5.22 requiere realizar revisiones periódicas del desempeño de los proveedores.
Durante estas revisiones se analiza la información recopilada en el proceso de supervisión para responder a preguntas como:
- ¿El proveedor sigue cumpliendo los acuerdos establecidos?
- ¿Se han producido incidentes de seguridad relevantes?
- ¿Es necesario modificar el contrato o los requisitos de seguridad?
- ¿Debe buscarse un proveedor alternativo?
En muchos casos, los resultados de estas revisiones se presentan a la dirección durante la revisión del sistema de gestión de seguridad de la información.
Relación con el GDPR
Cuando los proveedores procesan datos personales, también es importante considerar los requisitos del General Data Protection Regulation.
El reglamento establece que el responsable del tratamiento debe revisar periódicamente si el tratamiento de datos se realiza de acuerdo con las evaluaciones de impacto realizadas previamente, especialmente cuando cambian los riesgos asociados al tratamiento.
Esto significa que la supervisión de proveedores también es un elemento clave para cumplir con las obligaciones de protección de datos.
Evaluación y acciones correctivas
Una vez revisada la información sobre los proveedores, la organización debe decidir qué acciones tomar.
Si se detectan problemas o desviaciones respecto a lo acordado, pueden aplicarse distintas medidas:
- Solicitar mejoras en las prácticas de seguridad del proveedor
- Actualizar los acuerdos o requisitos contractuales
- Implementar controles adicionales
- En casos graves, finalizar la relación contractual
La capacidad de tomar estas decisiones demuestra que la organización gestiona activamente los riesgos asociados a proveedores.
Aplicabilidad del control
No todos los proveedores requieren el mismo nivel de supervisión. Por ello, el control 5.22 debe aplicarse teniendo en cuenta el análisis de riesgos de la organización.
Los proveedores que gestionan información sensible o servicios críticos deberían recibir un nivel de supervisión mayor que aquellos con menor impacto en la seguridad.
Conclusión
El control 5.22 de ISO 27001 recuerda que la seguridad de la información no termina en los límites de la organización. Los proveedores forman parte del ecosistema tecnológico y pueden influir directamente en la protección de los datos y en la continuidad de los servicios.
Supervisar, revisar y evaluar regularmente a los proveedores permite detectar riesgos a tiempo, mantener el cumplimiento de los acuerdos y garantizar que la seguridad de la información se mantiene en toda la cadena de suministro.
Aplicar correctamente este control no solo ayuda a cumplir con ISO 27001, sino que también fortalece la confianza en las relaciones con proveedores y clientes.
