IG2 IG3

Clasificar Proveedores de Servicios

Grupo de Control: 15. Gestión de Proveedores de Servicios

Tipo de Activo: N/A

Función de Seguridad: Identificar

Descripción

Clasificar proveedores de servicios. La consideración de clasificación puede incluir una o más características, como sensibilidad de datos, volumen de datos, requisitos de disponibilidad, regulaciones aplicables, riesgo inherente y riesgo mitigado. Actualizar y revisar las clasificaciones anualmente o cuando ocurran cambios empresariales significativos que puedan impactar esta Salvaguarda.

Lista de Verificación de Implementación

1

Documentar el estado actual y crear un inventario de referencia

2

Definir los campos de datos y atributos a rastrear

3

Asignar la propiedad y las responsabilidades

4

Establecer la cadencia de revisión y los procedimientos de actualización

Herramientas Recomendadas

ServiceNow Vendor Risk Management Gartner MQ Leader, IT Risk Management 2024

Gestión de riesgos de terceros con evaluaciones automatizadas de proveedores, monitoreo continuo y puntuación de riesgo

ServiceNow · Suscripción empresarial

OneTrust Third-Party Risk Forrester Wave Leader, Privacy Management 2024

Plataforma de gestión de riesgos de terceros con automatización de evaluación de proveedores, monitoreo continuo y mapeo de cumplimiento

OneTrust · Suscripción empresarial

BitSight Security Ratings Forrester Wave Leader, Security Ratings 2024

Plataforma de calificaciones de seguridad que proporciona monitoreo continuo de la postura de ciberseguridad de proveedores con puntuación de riesgo basada en datos

BitSight · Suscripción empresarial

Amenazas y Vulnerabilidades (CIS RAM)

Escenarios de Amenazas

Confianza Desproporcionada Otorgada a Proveedor de Servicios de Alto Riesgo

Confidencialidad

Un proveedor de servicios que procesa grandes volúmenes de datos regulados sensibles es tratado con la misma supervisión mínima que un proveedor de suministros de oficina de bajo riesgo porque ningún sistema de clasificación distingue los niveles de riesgo del proveedor.

Incumplimiento Regulatorio por Proveedor No Clasificado que Maneja Datos Regulados

Integridad

Una organización falla una auditoría regulatoria porque no puede demostrar supervisión apropiada al riesgo de proveedores de servicios que manejan datos de salud protegidos o datos financieros, ya que no existe un esquema de clasificación.

Vulnerabilidades (Cuando la Salvaguarda está Ausente)

Sin Clasificación Basada en Riesgo de Proveedores de Servicios

Sin clasificar proveedores por sensibilidad de datos, volumen, requisitos de disponibilidad y exposición regulatoria, la organización aplica controles uniformes y frecuentemente insuficientes independientemente del riesgo real.

Incapacidad para Priorizar Esfuerzos de Gestión de Riesgo de Proveedores

La ausencia de clasificación impide que la organización enfoque recursos de supervisión de seguridad en los proveedores de servicios de mayor riesgo, resultando en atención inadecuada a relaciones críticas con proveedores.

Requisitos de Evidencia

Tipo	Elemento de Evidencia	Frecuencia de Recolección
Documento	Documentación del inventario o catálogo actual	Mantenido continuamente, revisado trimestralmente
Documento	Documentación de procesos/procedimientos para actividades de identificación	Revisado anualmente
Documento	Documento de política vigente (actual, aprobado, comunicado)	Revisado anualmente

Plantillas de Políticas Relacionadas

Política de Gestión de Riesgos de Terceros

Control 15

Salvaguardas Relacionadas en el Control 15

15.1 Establecer y Mantener un Inventario de Proveedores de Servicios

15.2 Establecer y Mantener una Política de Gestión de Proveedores de Servicios

15.4 Asegurar que los Contratos de Proveedores de Servicios Incluyan Requisitos de Seguridad

15.5 Evaluar Proveedores de Servicios

15.6 Monitorear Proveedores de Servicios

15.7 Descomisionar Proveedores de Servicios de Forma Segura