En caso de que empresas o personal externo a la organización tengan acceso a los sistemas de información o a los recursos que manejan activos de información deberemos establecer de modo formal las condiciones para el uso de dichos activos y supervisar el cumplimiento de dichas condiciones
Veamos los objetivos y los controles establecidos para ello en ISO 27001.
Citando la norma:
Objetivo 1:
Seguridad de la información en las relaciones con los proveedores
Garantizar la protección de los activos de la organización, que sean accesibles por los proveedores.
- 15.1.1 Política de seguridad de la información para las relaciones con los proveedores
- 15.1.2 Tener en cuenta la seguridad en los acuerdos con proveedores
- 15.1.3 Cadena de suministro de tecnologías de la información y las comunicaciones
Objetivo 2:
Gestión de la entrega del servicio por terceras partes
Mantener un nivel apropiado de seguridad de la información y la entrega del servicio acorde con los acuerdos por sus terceras partes.
- 15.2.1 Seguimiento y revisión de los servicios de proveedores
- 15.2.2 Gestión de cambios en los servicios de los proveedores
Objetivo 1: Seguridad de la información en las relaciones con los proveedores
Cuando el acceso a la información se realiza por parte de personal externo se plantean nuevos escenarios de riesgo para la seguridad de la información.
Este capítulo también tiene que ver con los servicios que contratamos para almacenar nuestros datos y aplicaciones. Cada vez es más común que las empresas contraten de forma externa el alojamiento de servidores, aplicaciones datos y servicios de comunicación. Esto genera un panorama completamente nuevo en cuanto a los riesgos generados para la seguridad de la información.
Para mitigar estos importantes riesgos se nos propone analizar la aplicabilidad de los siguientes controles
15.1.1 Política de seguridad de la información para las relaciones con los proveedores
La relación con un proveedor normalmente está regulada por un contrato de prestación de servicios. Entonces es aquí donde deberíamos reflejar las condiciones para el manejo adecuado de la información de nuestra organización de acuerdo con los requisitos de seguridad que hayamos definido.
Las condiciones de seguridad deben ser acordadas con el proveedor antes de firmar los contratos y debe quedar documentada si es necesario en los anexos oportunos.
No debe pasar por alto…
… que los proveedores tendrán acceso a la información confidencial de su empresa.
Por ejemplo, si su empresa subcontrata el desarrollo de una aplicación Software para prestación de sus servicios es muy posible que el proveedor conozca el plan estratégico de su negocio, los procesos de su empresa y además tenga acceso a los datos en tiempo real de sus clientes y contactos etc., lo mismo ocurre si usa servicios en la nube.
Sus proveedores conocerán entonces qué es lo más valioso de su empresa;
¡Como para no tomarse en serio este punto!
Tampoco se olvide de …
Sus socios o partners en el negocio que por diversos motivos pueden manejar información sensible de su empresa, datos de sus clientes y proyectos, información sobre desarrollos de productos etc.
¿Sus CLIENTES TAMBIEN? no es poco frecuente que potenciales clientes nos pidan datos sobre nuestra empresa antes de firmar ningún contrato, sin ir más lejos en las licitaciones se suele pedir mucha información sobre productos, estructura empresarial, precios, incluso información sobre procesos o auditorias previas a una posible relación comercial
¡Todo esto hay que tenerlo en cuenta para poner siempre cláusulas de confidencialidad y los controles de seguridad que podamos aplicar!
En este punto entonces es fundamental no saltarse los pasos del proceso para proteger nuestra información
Ante la subcontratación de procesos que implican el acceso a la información deberemos evaluar los posibles impactos que puede tener en la seguridad de la información
Subcontratar servicios de información tiene muchos beneficios hoy en día para la empresa como la reducción de costes la mayor flexibilidad etc. sin embargo tengamos en cuenta que riesgos plantea:
Si nuestro proveedor como hemos visto puede acceder a información estratégica de nuestra empresa, esto puede originar una situación comprometida para la seguridad de la información con un riesgo potencial de que se produzcan fugas de información cuyo origen sea nuestro proveedor. En este caso mantener a raya estos riesgos dependerá de las medidas de seguridad que haya implantado nuestro proveedor y del control que ejerzamos sobre ello.
Para evaluar los riesgos hemos de analizar que activos de información están afectados por la subcontratación o cesión de datos a terceros y analizar las posibles amenazas y el impacto que tendrían su pérdida de confidencialidad, integridad o disponibilidad.
Se trata pues de seguir el proceso de evaluación de riesgos para cada activo: aplicación, servicio, tareas o procesos que hayamos subcontratado o tengamos intención de hacerlo
Para más detalles sobre cómo realizar el análisis de riesgos
No debe pasar por alto…
"Los resultados de la revisión de la gestión deben incluir decisiones relacionadas con las oportunidades de mejora continua y cualquier necesidad de cambios en el sistema de gestión de seguridad de la información"
… Dentro de los riesgos no está solamente la degradación de la información sino a veces el propio control de la información.
Por ejemplo, si subcontratamos un servicio de ciberseguridad a un proveedor externo, el control sobre los incidentes en la seguridad de la información pasaría a estar de forma indirecta por lo que pueden pasarse por alto incidentes simplemente por estar mal informados, por lo que tendremos una percepción totalmente distorsionada del riesgo al que estamos sometidos.
Al subcontratar servicios también podemos tener una pérdida de conocimiento sobre nuestro propio negocio “Know-how” ya que mucha información relativa no solo a la resolución de incidencias, sino también a las oportunidades de mejora, rendimiento de los sistemas etc. puede quedar oculto a nuestros ojos si no le ponemos remedio.
Todo esto debe formar parte también del análisis de riesgos para poder luego tomar acciones para evitarlo
El segundo paso como ya conocemos es el análisis o auditoria de los controles que deberíamos aplicar a los activos identificados para evitar o mitigar los riesgos identificados.
Estos controles pueden ir desde la investigación de los antecedentes de nuestros socios y proveedores, verificando información financiera, antecedentes penales, auditorías de controles y procesos de seguridad del proveedor etc.
Defina pues un proceso claro sobre la contratación que tenga en cuenta estas evaluaciones.
Tenga en cuenta los controles de seguridad que podemos establecer en los acuerdos de prestación de servicios 15.1.2
Tenga en cuenta siempre que las investigaciones realizadas deben mantenerse dentro de la legalidad vigente y cumplir con las leyes de protección de datos.
Una vez identificados los controles de seguridad a aplicar tenemos que plasmar estos controles en los acuerdos de confidencialidad, algo que trataremos en detalle en el próximo punto mediante un caso práctico que nos ayudara a desarrollar este punto.
No se olvide de definir una política de control y restricción de los accesos a la información. Esto puede ser una herramienta que nos ayude a mantener el riesgo más controlado evitando en todo momento el acceso a innecesario a la información.
El criterio es el de siempre de la mínima información necesaria para el desarrollo de los trabajos. Esto podemos aplicarlo tanto al ámbito físico como lógico.
Podemos poner muchos y estupendos controles pero si nos olvidamos de supervisar si se están cumpliendo podemos quedarnos a medias en nuestra tarea.
Es por eso que debe supervisar y, si es necesario, auditar si cumplen con todas las cláusulas; por ejemplo, si acordaron con el proveedor dar el acceso a sus datos solo a un número determinado de sus empleados, esto es algo que debe verificar.
No olvidemos que las finalización de los acuerdos de servicio, trabajos o relación contractual no supone la finalización de las obligaciones en materia de confidencialidad, algo que debe estar contemplado en las clausulas o anexos del contrato de prestación de servicios.
Por otro lado, deberemos establecer controles para la:
- La devolución de los activos de información
- La eliminación o destrucción de datos
- La cancelación y revocación de los accesos
15.1.2 Tener en cuenta la seguridad en los acuerdos con proveedores
Las condiciones de seguridad de la información deben quedar reflejadas en los contratos de forma explícita y en un apartado específico para ello.
Los documentos sobre los acuerdos para la seguridad de la información deben estar firmados por ambas partes.
A continuación les dejamos un ejemplo o listado de requisitos de seguridad que pueden exigir a un proveedor:
CASO PRACTICO
REQUISITOS DE SEGURIDAD A PROVEEDORES
REQUISITOS GENERALES
RESPONSABLE DE SEGURIDAD
Requiera a su proveedor la designación de un responsable de seguridad quien servirá de interlocutor para cualquier tema de seguridad y el responsable de que se cumplan los controles pactados entre las partes
CONTROL DE PERSONAL
Requiera a su proveedor que le mantenga informado de cualquier cambio de personal dedicado a la prestación de servicios dentro del acuerdo firmado. Defina como y cuando se realizaran las comunicaciones.
Establezca un requisito para que el personal que ha sido dado de baja se le han revocado los permisos de acceso tanto a las instalaciones como a los sistemas de información.
REQUISITOS LEGALES
Asegúrese de que el proveedor cumple los requisitos legales sobre el negocio, protección de datos etc. Obtenga su compromiso por escrito
USO DE ACTIVOS
Ponga por escrito una clausula que hable del uso correcto de sus activos donde el proveedor se compromete al uso de los activos para la finalidad prevista y que tomara las medidas de control que se establezcan para evitar el daño o revelación de la información y los accesos no autorizados.
AUDITORIAS DE SEGURIDAD
Establezca condiciones para la disponibilidad del contratista para la realización de auditorías de seguridad tanto en instalaciones como al personal y procedimientos o controles de seguridad.
CONTROL DE PROCEDIMIENTOS
Establezca clausulas específicas para que el proveedor mantenga procesos de seguridad
Aquí les dejamos un ejemplo:
- Procesos de contratación
- Procesos de devolución o destrucción de la información a la finalización del acuerdo.
- Planes de formación en seguridad de la información
- Procesos de control de cambios
- Procesos de tratamiento de incidencias u no conformidades
- Procesos de escalado en la resolución de incidencias
- Procesos de actualización de software y programas de seguridad (antivirus firewall etc.)
- Planes de emergencia y de recuperación de desastres
- Otros
CONTROL DE SOFTWARE MALICIOSO (VIRUS)
Establezca requisitos para el control de virus y software malicioso de equipos y soportes que se conecten a la red de su empresa y a la obligación de mantener un control de antivirus actualizados.
Asegúrese de que el proveedor ha tomado medidas de control (escaneo de virus) y establecido políticas para los usuarios sobre el uso de redes, emails, aplicaciones etc. que prevengan el software malicioso.
USO DEL SOFTWARE
Pacte cláusulas que exijan en cualquier equipo que se conecte a la red de su organización.
- USO de Software autorizado
- Prohíba el uso de software privado
- Instalación y uso de software gratuito
- Uso de software sin licencia
GESTION DE INCIDENTES
Establezca clausulas para
- Una descripción de la ubicación de los activos que incluya planos de planta para describir el perímetro
- Descripción de las unidades organizativas, por ejemplo mediante organigramas
GESTION DE CAMBIOS
Documente la obligación de ceñirse al control de cambios de su organización para que cualquier cambio gestionado por el contratista quede reflejado en el registro de cambios establecido y se realice de acuerdo a sus procedimientos
DESARROLLO DE SOFTWARE
Establezca clausulas para controlar el desarrollo de software de su proveedor.
Aquí dejamos algunos ejemplos:
- Prohibición de uso de accesos maestros (puertas traseras)
- Obligaciones de documentación de funcionalidades, uso, configuración
- Cumplimiento de las normas de seguridad corporativas de su empresa
- Previsión de módulos o accesos especiales para realización de auditorias
- Cumplimiento de las políticas corporativas de requerimientos de seguridad definidas para el software
- Otros
EQUIPOS INFORMATICOS
Por ejemplo, se pueden establecer clausulas para que los portátiles que prestan servicio estén protegidos contra robo con sistemas de cifrado y acceso por huella digital
AUTENTICACION
Establezca requisitos para
- Determine requisitos para el uso de contraseñas
- Tiempo máximo de validez de contraseñas
- Prohibición de reutilizar contraseñas
- Prohibición de compartir contraseñas
- Necesidad de cambiar contraseñas cuando se hayan compartido por necesidades de trabajo
- Determine las funciones del responsable de seguridad a la hora de gestionar contraseñas otorgadas para el uso por parte del contratista
- Establezca cual es el criterio mínimo en la seguridad de contraseñas
- Por ejemplo: mínimo 8 caracteres al menos 1 en mayúscula y que contenga números y letras
- Prohíba que las contraseñas tengan nombres propios, partes de números de teléfono, fechas de nacimiento etc.
- Establezca los criterios con los que deben ser gestionadas las contraseñas cuando pasan por el responsable de seguridad y van destinadas a otras personas
- Forzar cambios de contraseñas
- Métodos seguros de entrega y custodia
- Identificación del usuario final mediante ID
- Responsabilidades por el incumplimiento (Por ejemplo. El contratista será responsable de los daños causados por el incumplimiento de las normas de gestión de contraseñas contenidas en este apartado y de las responsabilidades legales establecidas por la compañía)
USO Y CONEXIÓN DE REDES INFORMATICAS
Establezca pautas para la conexión y transmisión de datos cuando sea aplicable a su contratista. Por ejemplo:
Establezca la necesidad de utilizar protocolos seguros de transmisión cuando el contratista deba transmitir datos con información reservada o información interna de la compañía (Por ejemplo utilizando redes VPNs basadas en IPSEC o SSL)
Requiera el uso de SSL en los controles de acceso remoto
Evite que su contratista use protocolos no seguros como FTP, Telnet, rlogin, rexec, rsh, vnc
Requiera que el contratista tenga a las mismas personas en la operación y en la asignación o gestión de controles de acceso (contraseñas etc.)
Exija el uso de firewalls en cualquier conexión con redes externas y restringa el uso de módems y dispositivos similares como ADSL etc. en redes o sistemas que estén conectados a las redes internas de su compañía
Establezca criterios técnicos para la configuración y funcionalidades de los firewalls
Establezca clausulas para definir expresamente los comportamientos anómalos en los intentos de conexión a las redes de la compañía (por ejemplo prohibición de uso de comandos “ping” o cualquier sistema de intento de conexión no autorizada
Establezca claramente la necesidad de que cualquier dispositivo a conectar a la red interna de la compañía debe estar sujeto a autorización
Requiera que todos los dispositivos que se conectan a la red interna este continuamente atendidos
Controle mediante una clausula que no se permitirá la realización de cambios en ningún sistema o equipo de la compañía, en cuanto a cambios de software, código etc. salvo los que estén expresamente autorizados y programados
Los permisos de accesos a los sistemas de información deben ser tramitados siempre ante el propietario de os activos de información los cuales serán informados por la compañía al contratista así como los procedimientos para las autorizaciones
Especifique la necesidad de devolver los dispositivos de acceso e identificaciones al terminar las actividades.
OBLIGACIONES DEL PERSONAL
Especifique las obligaciones a las que están sujetas las personas que presten servicio dentro del acuerdo. Por ejemplo:
Cumplir con las obligaciones de seguridad de la compañía especificando el documento donde se encuentran.
Establezca como obligación conocer y seguir las recomendaciones de los planes de emergencias y de respuesta ante los incidentes de seguridad de la información de la compañía (especifique documento).
Establezca obligaciones en el cumplimiento de la gestión de identificaciones y credenciales de acceso, uso de contraseñas etc.
- Obligaciones de custodia
- Obligaciones de uso de contraseñas seguras
- Obligaciones de renovación de contraseñas
- etc.
Obligaciones de cumplir con las políticas de escritorio
- Cerrar las sesiones
- Escritorios limpios
- Destruir información impresa
- Guardar bajo llave información sensible
- Protección de portátiles
- Atención a las impresoras y faxes
- Etc.
Obligaciones sobre la propiedad intelectual
- Cumplir con las restricciones de propiedad intelectual del software
Obligaciones sobre la ley de protección de datos personales
Cumplir con las recomendaciones para los accesos de teletrabajo
Obligaciones sobre el uso de activos de información, custodia, finalidad, devolución etc.
Obligaciones de confidencialidad y no divulgación
En este apartado ponga clausulas para que el personal tenga el compromiso por escrito de mantener la confidencialidad de
- Documentos
- Métodos de trabajo
- Claves y contraseñas
- Programas y Software
- Información en general
- Etc.
Determine por escrito la obligación de no divulgar la información y de mantener el acuerdo aun después de terminar la relación contractual
OBLIGACIONES SOBRE LAS INSTALACIONES
Establezca requisitos para la seguridad en el trabajo en sus instalaciones tales como
- Uso de identificaciones en todo momento
- Cumplir con los controles de acceso
- Defina comportamientos no permitidos dependiendo en que instalaciones (comida, bebidas, fumar etc.)
- Cumplir con las políticas de buen uso de las instalaciones
- ETC
15.1.3 Cadena de suministro de tecnologías de la información y las comunicaciones
La norma en este punto nos pide que tengamos en cuenta requisitos de seguridad de la información no solamente a nuestros proveedores sino que fijemos los requisitos para toda la cadena de suministro. Es decir, los riesgos para la seguridad de la información también están afectados por lo que nuestros proveedores subcontraten.
Los dos principios para sostener una cadena de suministro con garantías son
- Proveedores de confianza.
- Exigir a los proveedores un control de seguridad a sus propios proveedores.
Los controles que podemos observar aplicados a la cadena de suministro son:
- Establecer los criterios de seguridad para cada servicio, producto o tecnología de comunicación a subcontratar. La evaluación de riesgos enfocada a un servicio o producto en concreto, nos puede ayudar a establecer los criterios a la hora de subcontratar este servicio y determinar qué características o nivel de seguridad requiere a la hora de elegir al contratista.
- Establecer clausulas para el subcontratista en cuanto a que apliquen requisitos de seguridad a sus proveedores y a toda la cadena de suministro.
- Este apartado no dejaría de ser una declaración de intenciones si no se detallan que partes de los productos o servicios subcontratados a su vez requieren de otros proveedores externos y que requisitos y controles de seguridad se van a aplicar para garantizar la seguridad de la información
- Finalmente no nos queda otra que establecer procesos para comprobar que los productos o servicios suministrados cumplen con los requisitos establecidos para la seguridad de la información al menos para los productos y servicios que determinemos como fundamentales y que son adquiridos fuera de la organización.
- Exigir la trazabilidad de componentes críticos
- Establecer un proceso para comunicarnos con nuestros proveedores y la cadena de suministro
- Por ultimo no nos olvidemos que hoy en día los desarrollos, componentes y aplicaciones entran en obsolescencia o quedan fuera del suministro por parte de proveedores.
No debe pasar por alto:
Hoy en día los componentes, aplicaciones, sistemas operativos tienen también un ciclo de vida determinado en cuanto a su mantenimiento en el mercado por lo que la gestión de la obsolescencia de los productos adquiridos a terceros pasa por realizar un análisis de riesgos del ciclo de vida de componentes y aplicaciones de modo que
- Preveamos acopio de materiales sensibles que puedan quedarse fuera de fabricación
- Preveamos desarrollos o alternativas a dichos productos
- Tengamos previstos los impactos de costes de la obsolescencia de productos tanto componentes como aplicaciones.
- Tengamos en cuenta el riesgo para la seguridad de la información si mantenemos versiones de sistemas operativos que ya no se actualizan ni mejoran su seguridad.
Objetivo 2 Gestión de la entrega del servicio por terceras partes
Mantener un nivel apropiado de seguridad de la información y la entrega del servicio acorde con los acuerdos por sus terceras partes.
Derivado de la lógica de los sistemas de gestión, todo control no solo debe establecerse, sino que además tendremos que mantenerlo a lo largo del tiempo. El tema del control de los proveedores sigue el mismo patrón. No solo vale poner requisitos, sino que además hay que verificar que se cumplen a lo largo del tiempo por lo que será necesario controlar los servicios prestados y los cambios en los mismos.
15.2.1 Seguimiento y revisión de los servicios de proveedores
Siempre que se pueda y el esfuerzo no sea desproporcionado deberemos establecer mecanismos de monitorización de los servicios proporcionados por terceros y además solicitar los informes al proveedor sobre el nivel de servicio prestado.
15.2.2 Gestión de cambios en los servicios de los proveedores
Cuando modificamos los servicios prestados por proveedores deberíamos controlar
- Aplicar un análisis de riesgos al nuevo escenario
- Evaluar la necesidad de modificar o ampliar los acuerdos de prestación de servicios para cubrir las nuevas necesidades de seguridad si así se estima oportuno