Hablar de seguridad de la información para proveedores es ahora tan común en el ámbito de la Alta Dirección de una organización, como hablar de la posibilidad de incursionar en un mercado en ultramar o sobre el riesgo que representa un determinado competidor en el mercado local.
La razón es clara y contundente: en un mundo globalizado, en el que la especialización es una oportunidad y una gran ventaja comparativa, los proveedores se convierten en aliados estratégicos de alto valor para cualquier negocio.
Los proveedores son vitales para la estrategia comercial de cualquier empresa. Pero, al ser preciso e imprescindible compartir con ellos información, o ellos con la organización, es inevitable diseñar estrategias para preservar la seguridad de la información para proveedores.
Restringir el acceso a la información, limitarla o esconderla no es una opción válida. Controlarla y tratarla sí lo es. Y una forma de hacerlo es implementando controles de Seguridad de la Información desde los mismos contratos que se firman con los proveedores.
¿Cómo controlar la seguridad de la información para proveedores en los contratos?
Cuando una organización elige un proveedor escoge de paso un compañero de trabajo, un socio y un aliado que comparte en buena medida el resultado de sus buenas estrategias y las consecuencias de sus fallos u omisiones.
Aunque exista solidaridad y objetivos comunes, esto no significa que ese proveedor, que ya tenemos claro tendrá acceso privilegiado a datos, registros e informes, no represente un riesgo para la información privilegiada de la organización, sus listas de clientes, sus fórmulas secretas, sus procedimientos con reconocimiento de patente u otros similares.
Subcontratar y delegar en terceros es buena idea. Pero siempre dejando las cosas muy claras desde el inicio. Es lo que se hace cuando se firma un contrato. Entonces, en ese documento se pueden incluir cláusulas que permiten disminuir o eliminar el riesgo en la seguridad de la información para proveedores.
Garantiza la #SeguridadInformación para proveedores incluyendo estas cláusulas en los contratos #ISO27001 Clic para tuitear¿Qué cláusulas incluir en los contratos para garantizar la seguridad de la información para proveedores?
Las cláusulas dentro de los contratos, para disminuir riesgos en la seguridad de la información para proveedores, forman parte del control A.15. 1.2 del estándar ISO 27001. El control solicita a la organización incorporar cláusulas en los contratos para limitar los riesgos, disminuirlos o eliminarlos.
Las cláusulas sobre seguridad de la información para proveedores son tan importantes como las financieras, las legales o las de cumplimiento. Algunas de ellas abordan temas como:
1. Auditorías, monitoreo o inspección
Con una cláusula sobre este tema, la organización se reserva el derecho de inspeccionar, vigilar y evaluar el Sistema de Seguridad de la Información de su proveedor, revisar sus controles y evaluar la eficacia de su gestión.
2. Información inmediata sobre incidentes o infracciones
Si el proveedor es víctima de un ataque cibernético o una infracción de seguridad, aunque esta resulte leve en apariencia, debe informar con detalles a su cliente. La no notificación de este tipo de incidentes genera sanciones económicas, además de la posibilidad de rescindir los contratos de forma unilateral.
3. Implementación de ISO 27001
Puede parecer un tanto intrusiva, pero lo ideal es que proveedor y cliente compartan los mismos estándares de Seguridad de la Información. Las personas que hablan el mismo idioma suelen entenderse mejor, aunque esto no exime a los interlocutores en diferentes lenguas de obtener una edificante y colaborativa conversación. En el tema de Seguridad de la Información, no obstante, lo mejor es que todos operen bajo el marco de ISO 27001.
4. Capacidad de respuesta a infracciones y ataques
La cláusula obliga al proveedor a diseñar, implementar, poner en práctica y probar un plan de respuesta a incidentes, infracciones y ataques, entre otras violaciones a la seguridad de la información.
5. Auditorías de terceros
Los proveedores pueden decidir no aceptar la inspección de su cliente y mucho menos la auditoría de un tercero independiente. Por eso este tema también requiere la formalidad y la obligatoriedad que proporciona una cláusula contractual.
6. Gestión de Riesgos
Esta cláusula obliga al proveedor a entregar la información necesaria para que la organización contratante evalúe los riesgos de seguridad de la información de su proveedor y determine la eficacia de su Gestión de Riesgos o el probable impacto que tengan brechas de seguridad sobre la cadena de suministro.
7. Planes de contingencia y de continuidad del negocio
El proveedor necesita demostrar que sabe cómo actuará ante un evento disruptivo y cómo garantizará el suministro en condiciones mínimas de operación. El proveedor diseñará un plan de contingencia y continuidad del negocio que le permita asegurar niveles de servicio mínimos en condiciones extremas.
Este tipo de cláusulas cubren casi todos los aspectos notables en una evaluación de riesgos de seguridad de la información en la cadena de suministro. No obstante, y es preciso reconocerlo, la tarea implica vigilar muchos frentes. Las organizaciones que automatizan y digitalizan sus Sistemas de Gestión realizarán el trabajo con mayor facilidad, y esto será aún más productivo si sus proveedores también lo hacen.
La tecnología es aliada de todos. La formación también es un aliado de alto valor. Un ejemplo de ello es el que mencionamos en nuestro apartado final.
Diplomado de Seguridad de la Información ISO/IEC 27001
El Diplomado de Seguridad de la Información ISO/IEC 27001 es el programa líder en la Escuela Europea de Excelencia en esta área tan sensible para las organizaciones.
El Diplomado es diseñado e impartido por profesionales con alto reconocimiento en Europa y América Latina. El resultado solo puede ser uno: profesionales con las mismas características. Los alumnos de este Diplomado no solo son expertos en Seguridad de la Información y en los requisitos de ISO 27001 y sus controles.
También son auditores certificados que ejercen su trabajo en cualquier país del continente o en América Latina. ¿Tienes alguna duda? Resuélvela aquí.
