Descomisionar Proveedores de Servicios de Forma Segura
Descripción
Descomisionar proveedores de servicios de forma segura. Las consideraciones de ejemplo incluyen la desactivación de cuentas de usuario y servicio, terminación de flujos de datos y eliminación segura de datos empresariales dentro de los sistemas del proveedor de servicios.
Lista de Verificación de Implementación
Herramientas Recomendadas
Gestión de riesgos de terceros con evaluaciones automatizadas de proveedores, monitoreo continuo y puntuación de riesgo
ServiceNow · Suscripción empresarial
Plataforma de gestión de riesgos de terceros con automatización de evaluación de proveedores, monitoreo continuo y mapeo de cumplimiento
OneTrust · Suscripción empresarial
Plataforma de calificaciones de seguridad que proporciona monitoreo continuo de la postura de ciberseguridad de proveedores con puntuación de riesgo basada en datos
BitSight · Suscripción empresarial
Plataforma de calificaciones de ciberseguridad y gestión de riesgos de terceros con monitoreo continuo y automatización de evaluación de proveedores
SecurityScorecard · Suscripción empresarial
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Exproveedor Retiene Acceso Activo a Sistemas Empresariales
ConfidencialidadDespués de la terminación del contrato, las cuentas de servicio y credenciales VPN de un exproveedor de servicios permanecen activas, proporcionando acceso continuo a sistemas empresariales porque ningún proceso de desincorporación revocó el acceso.
Datos Sensibles Persisten en el Entorno del Exproveedor
ConfidencialidadLos datos empresariales incluyendo registros de clientes y propiedad intelectual permanecen en los sistemas de un proveedor desincorporado indefinidamente porque no se realizó eliminación segura durante la desincorporación.
Flujo de Datos Continúa hacia Proveedor Desincorporado
ConfidencialidadLos flujos de datos automatizados continúan enviando información sensible a los sistemas de un exproveedor después de la terminación del contrato porque los flujos de datos no se terminaron como parte de un proceso de desincorporación.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
Sin Proceso Formal de Desincorporación de Proveedores de Servicios
Sin un proceso de desincorporación, las cuentas de usuario, cuentas de servicio, claves API, flujos de datos y conexiones de red asociadas con exproveedores no se revocan ni terminan sistemáticamente.
Sin Verificación de Eliminación de Datos Empresariales por Exproveedores
La ausencia de un proceso de desincorporación significa que la organización no puede verificar que los exproveedores hayan destruido de forma segura todos los datos empresariales de sus sistemas después de que termina la relación.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |