Establecer y Mantener una Política de Gestión de Proveedores de Servicios
Descripción
Establecer y mantener una política de gestión de proveedores de servicios. Asegurar que la política aborde la clasificación, inventario, evaluación, monitoreo y decomisionamiento de proveedores de servicios. Revisar y actualizar la política anualmente o cuando ocurran cambios empresariales significativos que puedan impactar esta Salvaguarda.
Lista de Verificación de Implementación
Herramientas Recomendadas
Gestión de riesgos de terceros con evaluaciones automatizadas de proveedores, monitoreo continuo y puntuación de riesgo
ServiceNow · Suscripción empresarial
Plataforma de gestión de riesgos de terceros con automatización de evaluación de proveedores, monitoreo continuo y mapeo de cumplimiento
OneTrust · Suscripción empresarial
Plataforma de calificaciones de seguridad que proporciona monitoreo continuo de la postura de ciberseguridad de proveedores con puntuación de riesgo basada en datos
BitSight · Suscripción empresarial
Plataforma de calificaciones de ciberseguridad y gestión de riesgos de terceros con monitoreo continuo y automatización de evaluación de proveedores
SecurityScorecard · Suscripción empresarial
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Estándares de Seguridad de Proveedores Inconsistentes entre Departamentos
ConfidencialidadDiferentes unidades de negocio aplican requisitos de seguridad variables y frecuentemente inadecuados a los proveedores de servicios porque ninguna política de gestión unificada define estándares para evaluación, monitoreo y desincorporación de proveedores.
Proveedor de Alto Riesgo Incorporado Sin Evaluación de Seguridad
ConfidencialidadUn proveedor de servicios que maneja datos regulados sensibles es contratado sin ninguna evaluación de seguridad porque no existe política que exija criterios de evaluación antes de incorporar proveedores.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
Sin Política Formal de Gestión de Proveedores de Servicios
Sin una política de gestión de proveedores de servicios, no hay requisitos estandarizados para clasificar, evaluar, monitorear o desincorporar proveedores, lo que lleva a una gestión de riesgo de terceros inconsistente y frecuentemente inadecuada.
Sin Ciclo de Vida Definido para Relaciones con Proveedores de Servicios
La ausencia de una política que aborde el ciclo de vida completo del proveedor significa que los proveedores se incorporan sin requisitos de seguridad y permanecen activos sin reevaluación periódica ni desincorporación adecuada.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Documento | Documentación del inventario o catálogo actual | Mantenido continuamente, revisado trimestralmente |
| Documento | Documentación de procesos/procedimientos para actividades de identificación | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |