Asegurar que los Contratos de Proveedores de Servicios Incluyan Requisitos de Seguridad
Descripción
Asegurar que los contratos de proveedores de servicios incluyan requisitos de seguridad. Los requisitos de ejemplo pueden incluir requisitos mínimos del programa de seguridad, notificación y respuesta ante incidentes de seguridad y/o brechas de datos, requisitos de cifrado de datos y compromisos de eliminación de datos. Estos requisitos de seguridad deben ser consistentes con la política de gestión de proveedores de servicios de la empresa. Revisar los contratos de proveedores de servicios anualmente para asegurar que los contratos no carezcan de requisitos de seguridad.
Lista de Verificación de Implementación
Herramientas Recomendadas
Gestión de riesgos de terceros con evaluaciones automatizadas de proveedores, monitoreo continuo y puntuación de riesgo
ServiceNow · Suscripción empresarial
Plataforma de gestión de riesgos de terceros con automatización de evaluación de proveedores, monitoreo continuo y mapeo de cumplimiento
OneTrust · Suscripción empresarial
Plataforma de calificaciones de seguridad que proporciona monitoreo continuo de la postura de ciberseguridad de proveedores con puntuación de riesgo basada en datos
BitSight · Suscripción empresarial
Plataforma de calificaciones de ciberseguridad y gestión de riesgos de terceros con monitoreo continuo y automatización de evaluación de proveedores
SecurityScorecard · Suscripción empresarial
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Brecha de Datos del Proveedor de Servicios Sin Obligación Contractual de Notificación
ConfidencialidadUn proveedor de servicios sufre una brecha que afecta datos empresariales pero retrasa la divulgación durante meses porque ningún requisito contractual exige notificación oportuna de brechas, dejando a la organización incapaz de responder.
Proveedor No Cifra Datos por Ausencia de Requisito Contractual
ConfidencialidadUn proveedor de servicios en la nube almacena datos empresariales sin cifrar porque el contrato no contiene requisitos de seguridad que exijan cifrado, y los datos se exponen posteriormente en un incidente de configuración incorrecta.
Datos Sensibles Retenidos por Proveedor Después de Terminación del Contrato
ConfidencialidadUn exproveedor de servicios retiene copias de datos empresariales sensibles indefinidamente porque el contrato original no incluyó compromisos de eliminación de datos, creando un riesgo de exposición continuo.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
Contratos de Proveedores de Servicios Sin Requisitos de Seguridad
Sin requisitos contractuales de seguridad, los proveedores no tienen obligación legal de implementar cifrado, notificar a la empresa de brechas, mantener programas mínimos de seguridad ni eliminar datos de forma segura.
Sin Base Contractual para Auditorías de Seguridad ni Verificación de Cumplimiento
La ausencia de cláusulas de seguridad en los contratos significa que la organización no tiene derecho a auditar, evaluar ni verificar la postura de seguridad del proveedor de servicios ni el cumplimiento con los estándares esperados.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Plan de respuesta a incidentes y manuales de operación | Revisado semestralmente |
| Registro | Informes de incidentes y documentación de revisión posterior al incidente | Por incidente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |