IG3

Evaluar Proveedores de Servicios

Grupo de Control: 15. Gestión de Proveedores de Servicios

Tipo de Activo: N/A

Función de Seguridad: Identificar

Descripción

Evaluar proveedores de servicios de manera consistente con la política de gestión de proveedores de servicios de la empresa. El alcance de la evaluación puede variar según la(s) clasificación(es) y puede incluir la revisión de informes de evaluación estandarizados, como Service Organization Control 2 (SOC 2) y Attestation of Compliance (AoC) de la Industria de Tarjetas de Pago (PCI), cuestionarios personalizados u otros procesos apropiadamente rigurosos. Reevaluar proveedores de servicios anualmente, como mínimo, o con contratos nuevos y renovados.

Lista de Verificación de Implementación

1

Documentar el estado actual y crear un inventario de referencia

2

Definir los campos de datos y atributos a rastrear

3

Asignar la propiedad y las responsabilidades

4

Establecer la cadencia de revisión y los procedimientos de actualización

Herramientas Recomendadas

ServiceNow Vendor Risk Management Gartner MQ Leader, IT Risk Management 2024

Gestión de riesgos de terceros con evaluaciones automatizadas de proveedores, monitoreo continuo y puntuación de riesgo

ServiceNow · Suscripción empresarial

OneTrust Third-Party Risk Forrester Wave Leader, Privacy Management 2024

Plataforma de gestión de riesgos de terceros con automatización de evaluación de proveedores, monitoreo continuo y mapeo de cumplimiento

OneTrust · Suscripción empresarial

SecurityScorecard Forrester Wave Leader, Security Ratings 2024

Plataforma de calificaciones de ciberseguridad y gestión de riesgos de terceros con monitoreo continuo y automatización de evaluación de proveedores

SecurityScorecard · Suscripción empresarial

Amenazas y Vulnerabilidades (CIS RAM)

Escenarios de Amenazas

Compromiso con Proveedor que Tiene Controles de Seguridad Inadecuados

Confidencialidad

La organización confía datos sensibles a un proveedor de servicios con una postura de seguridad débil porque no se realizó evaluación, y el proveedor posteriormente sufre una brecha que afecta datos empresariales.

Postura de Seguridad del Proveedor se Degrada Durante el Período del Contrato

Integridad

Un proveedor de servicios que inicialmente cumplía reduce las inversiones en seguridad durante el período del contrato, y la degradación pasa desapercibida porque no se realiza reevaluación periódica.

Vulnerabilidades (Cuando la Salvaguarda está Ausente)

Sin Evaluación de Seguridad de Proveedores de Servicios

Sin evaluar proveedores de servicios a través de revisiones SOC 2, cuestionarios o procesos equivalentes, la organización no tiene comprensión objetiva de las capacidades y prácticas de seguridad reales de cada proveedor.

Sin Reevaluación Periódica de la Postura de Seguridad del Proveedor

La ausencia de reevaluación anual o de renovación de contrato significa que la organización depende de evaluaciones iniciales que pueden ya no reflejar el estado de seguridad actual del proveedor.

Requisitos de Evidencia

Tipo	Elemento de Evidencia	Frecuencia de Recolección
Documento	Documentación del inventario o catálogo actual	Mantenido continuamente, revisado trimestralmente
Documento	Documentación de procesos/procedimientos para actividades de identificación	Revisado anualmente
Documento	Documento de política vigente (actual, aprobado, comunicado)	Revisado anualmente

Plantillas de Políticas Relacionadas

Política de Gestión de Riesgos de Terceros

Control 15

Salvaguardas Relacionadas en el Control 15

15.1 Establecer y Mantener un Inventario de Proveedores de Servicios

15.2 Establecer y Mantener una Política de Gestión de Proveedores de Servicios

15.3 Clasificar Proveedores de Servicios

15.4 Asegurar que los Contratos de Proveedores de Servicios Incluyan Requisitos de Seguridad

15.6 Monitorear Proveedores de Servicios

15.7 Descomisionar Proveedores de Servicios de Forma Segura