2CLIX sabe que su seguridad y privacidad son importantes y se preocupa
mucho por ello.
SEGURIDAD DE LA INFORMACIÓN EN LA CADENA DE SUMINISTRO
Es importante para la organización garantizar que los pilares de Seguridad de la
Información mantenidos internamente sean respetados también en sus relaciones
externas. De este modo, la contratación de servicios externos debe realizarse con
cuidado, entendiendo que toda parte externa incorporada al negocio representa un
riesgo potencial para la Seguridad de la Información.
Requisitos básicos de Seguridad de la Información en la cadena de suministro
Ciclo de Vida de los Proveedores
Todo proveedor debe operar de acuerdo con las restricciones y alcances definidos
en el contrato, siendo la duración de sus accesos determinada por la duración del
contrato.
Durante el primer contacto con un proveedor, se deben presentar los servicios que
se desea contratar junto con los requisitos de seguridad que el proveedor deberá
seguir durante la ejecución del servicio. En esta fase, solo se pueden compartir
documentos auxiliares y una visión general de la estructura donde el proveedor
trabajará.
Tras definir y acordar los requisitos, se deben firmar un NDA y el Contrato para
finalizar y formalizar la contratación. Solo después de estas firmas deben crearse
los accesos. Para ello, el proveedor debe proporcionar una lista de accesos
necesarios, junto con el nombre de los empleados que realizarán las funciones
contratadas.
Durante la vigencia del contrato, pueden formalizarse extensiones o cambios cuando
sea necesario, ya sea para ampliar los servicios contratados o para adecuarse a
cambios en las políticas de seguridad de la organización.
Al finalizar el contrato, si no hay extensión, los accesos serán removidos una vez
concluidas las transiciones necesarias, con plazo límite hasta la fecha final
establecida en el contrato.
Tipos de Acceso
Los proveedores deben evaluarse según el nivel real y potencial de acceso a los
datos necesarios para cumplir los servicios contratados.
- Alto: acceso al servidor o base de datos. Generalmente implica el
uso de VPN y permisos de mantenimiento, edición o actualización de estos activos. - Moderado: no hay acceso directo a servidores ni bases de datos,
pero el proveedor manipula información o activos internos, así como documentos
internos de la organización. - Bajo: acceso únicamente a datos públicos o anonimizados, prestando
servicios superficiales o temporales.
Requisitos mínimos de seguridad
Todos los proveedores deben seguir los requisitos de seguridad definidos en el
contrato. Los requisitos aumentan según el nivel de acceso:
- Bajo: firmar NDA, lista de personal autorizado y conformidad con la
Ley General de Protección de Datos. - Moderado: incluir requisitos del nivel bajo + política de Seguridad
de la Información + auditoría interna capaz de generar reportes cuando se solicite. - Alto: incluir requisitos anteriores + controles de acceso maduros +
SGSI implementado + uso de VPN solo cuando sea necesario + auditorías internas +
adecuación a la Política de Seguridad de 2CLIX + PCN + Gestión de Riesgos e
Incidentes.
Monitoreo
El cumplimiento de los requisitos puede verificarse mediante auditorías internas de
la organización y del proveedor. El equipo de Seguridad puede realizar auditorías
formales con el alcance definido en contrato.
También pueden generarse informes con base en la evaluación de los servicios
prestados y su impacto en la organización.
Capacitaciones
La organización debe capacitar a sus colaboradores sobre el uso de los servicios
del proveedor: qué información puede manejar el proveedor y qué información NO
está dentro del alcance. Esto garantiza que todos mantengan los límites de acceso
y que los datos permanezcan protegidos.
Cambio de Proveedor
Cuando haya un cambio de proveedor, se debe adoptar un período de transición para
evitar pérdida de datos o indisponibilidad del Portal de Calidad. Si es necesario,
puede extenderse temporalmente el contrato del proveedor anterior para asegurar la
transferencia completa de datos y procesos.
Documentación y Contratos
Los contratos deben incluir requisitos básicos de seguridad según el nivel de
acceso del proveedor, así como requisitos específicos del servicio contratado.
Debe quedar claro:
– qué servicios se prestarán,
– qué nivel de acceso tendrá el proveedor,
– qué información podrá acceder,
– qué información NO podrá acceder.
El acuerdo con la Política de Seguridad de la Información se puede incluir en el
proceso contractual, así como la conformidad con leyes locales de protección de
datos.
GESTIÓN DE SEGURIDAD DURANTE EL CONTRATO DEL PROVEEDOR
Monitoreo de las Entregas
Las entregas deben ser evaluadas periódicamente por Seguridad y Administración,
analizando la eficacia del servicio, riesgos presentados y el impacto en la
disponibilidad, integridad y confiabilidad del Portal de Calidad.
También debe evaluarse la adecuación del proveedor a los requisitos de seguridad,
así como una revisión general del uso de los accesos concedidos.
En el caso de subproveedores, debe garantizarse que toda la cadena cumpla los
mismos requisitos mínimos de seguridad.
Informes de auditoría y listas de controles deben solicitarse regularmente al
proveedor. Auditorías también pueden ser realizadas por la organización.
Por último, debe haber transparencia sobre incidentes de seguridad ocurridos en el
proveedor para permitir el análisis correcto de riesgos y ajustes contractuales.
Gestión de Cambios
Además del cambio de proveedor, pueden existir cambios en el alcance del servicio
prestado.
Los acuerdos deben revisarse no solo por razones de seguridad, sino también por
actualizaciones tecnológicas, mejoras de infraestructura, cambio de local físico,
cambio de subproveedores, etc.
Las solicitudes de cambio pueden partir tanto del proveedor como de la
organización, y deben formalizarse mediante adendo contractual.
GESTIÓN DE DOCUMENTOS
Este documento es válido a partir de su última aprobación y es responsabilidad del
equipo de Administración de 2CLIX TECNOLOGIA EIRELI.
El ciclo de actualización es anual y se basa en la evaluación de su eficacia y
adecuación frente a las demás políticas y procesos.
Criterios de evaluación:
- Retorno de las partes interesadas sobre la eficacia e impacto del SGSI;
- Evolución del número de incidentes causados por fallas en controles del
proveedor; - Evolución de incidentes causados por accesos indebidos del proveedor;
- Feedback de colaboradores y equipos a partir de capacitaciones e interacción
con proveedores; - Evolución de incidentes causados por falta de definición de parámetros de
seguridad en contratos.
