Gestión de Proveedores de Servicios
Desarrollar un proceso para evaluar a los proveedores de servicios que poseen datos sensibles, o son responsables de las plataformas o procesos de TI críticos de una empresa, para asegurar que estos proveedores estén protegiendo dichas plataformas y datos de manera apropiada.
Plantillas de Políticas Relacionadas
Salvaguardas (7)
| ID | Título | Función | IG | Elementos de Verificación | Evidencia |
|---|---|---|---|---|---|
| 15.1 | Establecer y Mantener un Inventario de Proveedores de Servicios | Identificar |
IG1
IG2
IG3
|
5 | 3 |
| 15.2 | Establecer y Mantener una Política de Gestión de Proveedores de Servicios | Identificar |
IG2
IG3
|
5 | 3 |
| 15.3 | Clasificar Proveedores de Servicios | Identificar |
IG2
IG3
|
5 | 3 |
| 15.4 | Asegurar que los Contratos de Proveedores de Servicios Incluyan Requisitos de Seguridad | Proteger |
IG2
IG3
|
7 | 5 |
| 15.5 | Evaluar Proveedores de Servicios | Identificar |
IG3
|
5 | 3 |
| 15.6 | Monitorear Proveedores de Servicios | Detectar |
IG3
|
6 | 3 |
| 15.7 | Descomisionar Proveedores de Servicios de Forma Segura | Proteger |
IG3
|
5 | 3 |
Detalles de Verificación de Auditoría
Establecer y mantener un inventario de proveedores de servicios. El inventario debe listar todos los proveedores de servicios conocidos, incluir clasificación(es) y designar un contacto empresarial para cada proveedor de servicios. Revisar y actualizar el inventario anualmente o cuando ocurran cambios empresariales significativos que puedan impactar esta Salvaguarda.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Se mantiene un inventario o catálogo que es preciso y completo.
Exportación del inventario con marcas de tiempo que muestren actualizaciones recientes
El inventario se revisa y concilia según el calendario definido.
Minutas de reunión de revisión, registros de firma o registros de cambios
Los nuevos activos/elementos se agregan al inventario dentro del período de incorporación definido.
Muestra de activos recientemente incorporados con marcas de tiempo del inventario
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Documento | Documentación del inventario o catálogo actual | Mantenido continuamente, revisado trimestralmente |
| Documento | Documentación de procesos/procedimientos para actividades de identificación | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Establecer y mantener una política de gestión de proveedores de servicios. Asegurar que la política aborde la clasificación, inventario, evaluación, monitoreo y decomisionamiento de proveedores de servicios. Revisar y actualizar la política anualmente o cuando ocurran cambios empresariales significativos que puedan impactar esta Salvaguarda.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Se mantiene un inventario o catálogo que es preciso y completo.
Exportación del inventario con marcas de tiempo que muestren actualizaciones recientes
El inventario se revisa y concilia según el calendario definido.
Minutas de reunión de revisión, registros de firma o registros de cambios
Los nuevos activos/elementos se agregan al inventario dentro del período de incorporación definido.
Muestra de activos recientemente incorporados con marcas de tiempo del inventario
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Documento | Documentación del inventario o catálogo actual | Mantenido continuamente, revisado trimestralmente |
| Documento | Documentación de procesos/procedimientos para actividades de identificación | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Clasificar proveedores de servicios. La consideración de clasificación puede incluir una o más características, como sensibilidad de datos, volumen de datos, requisitos de disponibilidad, regulaciones aplicables, riesgo inherente y riesgo mitigado. Actualizar y revisar las clasificaciones anualmente o cuando ocurran cambios empresariales significativos que puedan impactar esta Salvaguarda.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Se mantiene un inventario o catálogo que es preciso y completo.
Exportación del inventario con marcas de tiempo que muestren actualizaciones recientes
El inventario se revisa y concilia según el calendario definido.
Minutas de reunión de revisión, registros de firma o registros de cambios
Los nuevos activos/elementos se agregan al inventario dentro del período de incorporación definido.
Muestra de activos recientemente incorporados con marcas de tiempo del inventario
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Documento | Documentación del inventario o catálogo actual | Mantenido continuamente, revisado trimestralmente |
| Documento | Documentación de procesos/procedimientos para actividades de identificación | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Asegurar que los contratos de proveedores de servicios incluyan requisitos de seguridad. Los requisitos de ejemplo pueden incluir requisitos mínimos del programa de seguridad, notificación y respuesta ante incidentes de seguridad y/o brechas de datos, requisitos de cifrado de datos y compromisos de eliminación de datos. Estos requisitos de seguridad deben ser consistentes con la política de gestión de proveedores de servicios de la empresa. Revisar los contratos de proveedores de servicios anualmente para asegurar que los contratos no carezcan de requisitos de seguridad.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
El plan de respuesta a incidentes está documentado, actualizado e incluye rutas de escalamiento.
Plan de RI con fecha de revisión, lista de contactos de escalamiento
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
Las revisiones posteriores al incidente se realizan y los hallazgos impulsan mejoras.
Informes de revisión posterior al incidente, seguimiento de acciones correctivas
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Plan de respuesta a incidentes y manuales de operación | Revisado semestralmente |
| Registro | Informes de incidentes y documentación de revisión posterior al incidente | Por incidente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Evaluar proveedores de servicios de manera consistente con la política de gestión de proveedores de servicios de la empresa. El alcance de la evaluación puede variar según la(s) clasificación(es) y puede incluir la revisión de informes de evaluación estandarizados, como Service Organization Control 2 (SOC 2) y Attestation of Compliance (AoC) de la Industria de Tarjetas de Pago (PCI), cuestionarios personalizados u otros procesos apropiadamente rigurosos. Reevaluar proveedores de servicios anualmente, como mínimo, o con contratos nuevos y renovados.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Se mantiene un inventario o catálogo que es preciso y completo.
Exportación del inventario con marcas de tiempo que muestren actualizaciones recientes
El inventario se revisa y concilia según el calendario definido.
Minutas de reunión de revisión, registros de firma o registros de cambios
Los nuevos activos/elementos se agregan al inventario dentro del período de incorporación definido.
Muestra de activos recientemente incorporados con marcas de tiempo del inventario
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Documento | Documentación del inventario o catálogo actual | Mantenido continuamente, revisado trimestralmente |
| Documento | Documentación de procesos/procedimientos para actividades de identificación | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Monitorear proveedores de servicios de manera consistente con la política de gestión de proveedores de servicios de la empresa. El monitoreo puede incluir la reevaluación periódica del cumplimiento del proveedor de servicios, monitoreo de notas de versión del proveedor de servicios y monitoreo de la dark web.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Las herramientas de detección están implementadas y recopilando datos activamente.
Capturas de pantalla del panel que muestran el estado del agente/sensor y el flujo de datos
Las alertas están configuradas con umbrales definidos y canales de notificación.
Exportaciones de configuración de reglas de alerta, configuración de canales de notificación
Las alertas se revisan y clasifican dentro del SLA definido.
Registros de respuesta a alertas, registros de clasificación con marcas de tiempo
La cobertura de detección ha sido probada con eventos simulados.
Resultados de pruebas de detección, informes de ejercicios de purple team
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Evidencia de implementación de herramientas de detección (capturas de pantalla del panel, estado del agente) | Capturado mensualmente |
| Técnico | Muestra de salida de alerta/detección que demuestre la capacidad | Capturado trimestralmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Descomisionar proveedores de servicios de forma segura. Las consideraciones de ejemplo incluyen la desactivación de cuentas de usuario y servicio, terminación de flujos de datos y eliminación segura de datos empresariales dentro de los sistemas del proveedor de servicios.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |