Skip to main content

Relación con Proveedores

1 Objeto

El objeto de este documento es el de establecer las condiciones, criterios y controles de seguridad de la información en los intercambios de servicios, información y documentación con proveedores externos a la Organización, necesarios para una adecuada protección de esta relación, en base a los acuerdos y contratos correspondientes.

Esta protección se contempla antes, durante y a la finalización del servicio, y afecta también a los productos y servicios contratados al proveedor si es el caso, debiendo cumplir con los requisitos de seguridad establecidos por la empresa.

2 Alcance

Entre proveedores externos a la Organización podemos identificar los siguientes grupos de terceros en los que aplica esta política:

  • Proveedores de servicios tecnológicos.
  • Proveedores de productos tecnológicos.
  • Proveedores de servicios no tecnológicos con acceso a datos o infraestructura IT corporativa.

Así mismo, este procedimiento es de aplicación a los productos y servicios contratados al tercero, si es el caso.

Para condiciones, criterios y controles de seguridad de terceros afectando a las actividades del desarrollo de software se aplica además la Política de Desarrollo Seguro de la Organización.

3 Definiciones

Proveedor de servicios tecnológicos
Aquel que nos ofrece servicios relacionados con IT como alojamiento web, emisión de certificados, servicio de pasarelas de pago, servicios de almacenamiento en la nube, servicios de soporte informático (tanto presencial como remoto), desarrollo de software, comunicaciones y acceso a internet, etc.
Proveedores de servicios no tecnológicos con acceso a datos o infraestructura IT corporativa
Tales como proveedores de servicios financieros, viajes, transporte, publicidad y marketing, contabilidad, outsourcing de rrhh, que para la prestación de sus servicios interactúan intercambiando documentos e información con la organización a través de distintos canales, tanto analógicos como digitales. Por ejemplo:
  • la actividad presencial,
  • teléfono,
  • el correo ordinario,
  • el correo electrónico,
  • Google Worskpace
  • servicios web / APIs,
  • software específico,
  • Software as a Service en la nube,
  • etc.
Suministrador de productos tecnológicos
Todos aquellos proveedores donde la organización adquiere los dispositivos, componentes hardware, aplicaciones informáticas o servicios digitales (incluyendo desarrollo de código).
Comunidad
Conjunto de entidades y público en general interesadas en la ciberseguridad, articulado a través de internet en foros, grupos de reviews, redes sociales, bases de datos de vulnerabilidades, etc.

4 Responsabilidades

TareaResponsabilidades
R A S C I
Velar por el cumplimiento de la política de relación con proveedores
Definir los requisitos de seguridad a exigir a los proveedores candidatos en cada licitación de servicio o provisión de productos tecnológicos
Identificar las necesidades de acceso a la información e infraestructura TIC de cada proveedor de servicio
Auditar periódicamente el funcionamiento de los servicios de terceros desde el punto de vista de la ciberseguridad
Gestionar la respuesta a un incidente en un servicio de un proveedor

Decidir si en respuesta al incidente:

  • Se aplican las contingencias especificadas indicadas en el contrato.
  • Se aplican las penalizaciones específicas indicadas en el contrato.
  • Se genera la rescisión del contrato, y la eventual baja de proveedores, documentándose la casuística en el Registro de Proveedores.
  • Se aplica el Plan de Continuidad de Negocio.
Monitorizar periódicamente la calidad de servicio y eventos de seguridad de interés en los servicios provisionados por proveedores externos
Recibir, canalizar y gestionar cualquier aviso de problema o incidente en la operación de los sistemas de información
Disponer de medidas de protección adecuadas para el desarrollo y mantenimiento correcto y seguro de los sistemas de información
Proporcionar en todo momento de forma transparente la información de seguridad requerida en el ámbito de una licitación
Facilitar en una licitación al proveedor el formulario “Checklist Ciberseguridad Proveedores” si es necesario
Se utilizará este formulario en el caso de que el proveedor no disponga de una certificación en Seguridad de la Información reconocida (ISO 27001, ENS, NIST, SOC2, etc. ) y vigente.
Facilitar certificaciones en Seguridad de la Informción o cumplimentar el formulario “Checklist Ciberseguridad Proveedores” si es necesario
Se utilizará el formulario “Checklist Ciberseguridad Proveedores” en el caso de que el proveedor no disponga de una certificación en Seguridad de la Información reconocida (ISO 27001, ENS, NIST, SOC2, etc. ) y vigente.
Comunicar inmediatamente cualquier cambio en el estado de riesgos, amenazas y vulnerabilidades que tengan impacto en la Organización
Aceptar o mejorar las condiciones de seguridad propuestas por la Organización en el contexto de un contrato
Comunicar con antelación suficiente y proporcional al impacto esperado cualquier cambio en las condiciones del contrato
Prestar el servicio contratado de la forma más segura posible técnica y económicamente
Acatar las directrices de Relación con Proveedores en los procesos de selección de proveedores

5 Desarrollo

5.1 Generalidades

En un mundo cada vez más conectado, la Organización forma parte de un ecosistema digital donde terceras partes pueden interactuar, directa o indirectamente con sus servicios, sistemas e información, accediendo, tratando, almacenando, comunicando, consumiendo o proporcionando componentes de la infraestructura de Tecnología de la Información.

Esto amplía la superficie de ataque de la Organización, extendiéndola a estos terceros, ya que las vulnerabilidades tanto de su infraestructura como inherentes a la propia interacción entre ambas partes son susceptibles de generar amenazas a la Organización, constituyendo un riesgo a mitigar mediante esta política.

Para ello, se disponen en este documento las directivas y/o normas de seguridad que aplican en las distintas fases del ciclo de vida de la relación con el Tercero (Antes, al inicio, durante y al finalizar la relación con el Tercero).

5.2 Antes del inicio de la relación

A la hora de cubrir una necesidad en la organización por medio de un proveedor externo, es necesario incluir la perspectiva de la Seguridad de la Información a los factores habituales de mérito de los terceros candidatos en el proceso de búsqueda y selección de proveedores.

Para ello, previamente al comienzo de la selección hay que:

  • Definir previamente las condiciones y requisitos de seguridad que aplicarán a la prestación del servicio/producto a suministrar, coherentes con las políticas de seguridad de la información de la Organización (PO.SG.CYS-1 Política de Seguridad de la Información).
  • Definir cláusulas contractuales que se aplicarán en materia de seguridad de la información si es necesario. Con el fin de establecer contratos y acuerdos rigurosos en materia de ciberseguridad, se detallarán las cuestiones más relevantes que deben reflejarse en los contratos con los proveedores. Todos estos aspectos se reflejarán en contratos y acuerdos de confidencialidad y de acceso a datos:
    • Determinar qué información es accedida, cómo puede ser accedida y la clasificación y protección de la misma;
    • Asegurar que, una vez finalizado el contrato, el proveedor ya no podrá acceder a dicha información.
    • Reflejar los requisitos legales oportunos:
      1. Cumplimiento del RGPD,
      2. Cumplimiento de la LSSI,
      3. Cumplimento de los derechos de propiedad intelectual.
    • Reflejar el derecho de auditoría y de control sobre aspectos relevantes del acuerdo;
    • Incluir las situaciones que conlleven la finalización del contrato;
    • Definir las garantías específicas:
      1. Penalizaciones económicas en caso de incumplimiento.
      2. Perjuicios económicos por impacto en la disponibilidad, confidencialidad o integridad de la información, ya sea debido a la acción o inacción por parte del proveedor.
      3. Certificaciones y garantías adicionales.
  • Definir las responsabilidades concretas por ambas partes. Se establecerán por contrato, y con posibles penalizaciones en el caso de servicios críticos, si es el proveedor o es la Organización los responsables de cada aspecto relativo a la seguridad:
    • Controlar quién accede o transforma la información sensible y por qué.
    • Realizar el backup y cuando.
    • Controlar los logs, etc..
    • Gestionar la creación de usuarios y políticas de seguridad configurables sobre los servicios prestados.
    • Activar, mantener y controlar los sistemas de seguridad: antimalware, firewall, cifrado de comunicaciones, etc.
  • Definir los SLA (Acuerdos de Nivel de Servicio) para los servicios críticos, con el fin de establecer las características de calidad y las garantías del servicio a adquirir, que el proveedor debe garantizar. Los aspectos más relevantes para definir un SLA son:
    • Responsabilidades de cada una de las partes;
    • Duración del acuerdo;
    • Detalle del nivel de servicio ofrecido.
    • Tasas de error permitidas,
    • Disponibilidad horaria,
    • Tiempos de respuesta y resolución,
    • Canales de contacto,
    • Proceso de escalado y notificación ante incidentes,
    • Procedimientos para la resolución de problemas e incidencias.,
    • Personal asignado al servicio.
    • Procedimientos para el seguimiento y control del servicio;
    • Sanciones en caso de incumplimiento;
    • Medición de la satisfacción por el servicio recibido.

  • Definir requisitos de transparencia en la gestión de la seguridad y observabilidad. En el caso de Proveedores de servicios tecnológicos y Proveedores de servicios no tecnológicos con acceso a datos o infraestructura IT corporativa que presten sus servicios en modelo Software as a Service, deben facilitar mecanismos de control de los eventos de seguridad de sus plataformas (paneles de control, registros de log, etc).

    Es preciso definir qué eventos y métricas relativos a la ciberseguridad recogidos en la infraestructura del Proveedor estarán disponibles para su monitorización y eventual tratamiento por parte de la Organización, así como su frecuencia de actualización/reporte.

  • En el caso de proveedores de productos o servicios indispensables para la organización, deben demostrar la existencia de un PCN que garantice la continuidad del servicio ante un evento catastrófico en el ámbito de la ciberseguridad.
  • Valorar la necesidad de certificación de los servicios contratados. En servicios especialmente críticos podemos exigir a las empresas la garantía de que posean algunas de las certificaciones referentes a la calidad en la gestión de la seguridad de la información:
    • Certificación ISO 27001 de Sistemas de Gestión de la Seguridad de la Información;
    • Esquema Nacional de Seguridad (ENS).
    • Certificación ISO 22301 de Gestión de continuidad de negocio.
    • Certificación NIST
  • Valorar negativamente la seguridad por ocultación, fomentando la adopción de soluciones de código abierto.

Una vez definidas las condiciones de seguridad del servicio o producto que será proporcionado, se seleccionarán los proveedores candidatos, a los cuales se le suministrará las condiciones de seguridad definidas en puntos anteriores, de forma proporcional según la criticidad del servicio o el nivel de acceso a la información requerido para su prestación.

Los proveedores candidatos deberán comprometerse a igualar o superar estas condiciones de forma explícita mediante firma, aportando la documentación acreditativa en cada caso si fuera necesario.

Los proveedores seleccionables han de demostrar estar alineados con la Política de Seguridad de la organización (PO.SG.CYS-1 Política de Seguridad de la Información). Para ello, deberán cumplimentar además el formulario de Evaluación de Proveedores, en base al cuál será evaluado de forma general su nivel de seguridad. Esta evaluación tendrá una vigencia máxima de 1 año, durante el cual podrá ser aplicada directamente en otras contrataciones con el mismo proveedor.

Resulta de gran interés investigar en foros, reviews y asociaciones sobre servicios o productos a adquirir, revisando la reputación de nuestros proveedores, incidentes de seguridad pasados, vulnerabilidades conocidas, así como las certificaciones y sellos de calidad que poseen. Esto es obligatorio en la evaluación de proveedores de servicios y productos críticos.

Una vez evaluados los proveedores candidatos, se procederá a la selección del más apropiado teniendo en cuenta la documentación e información suministrada, además de los aspectos no relativos a la seguridad.

A igualdad de condiciones en aspectos distintos a la seguridad, se dará prioridad entre proveedores candidatos a la prestación del mismo servicio a los que ostenten mejores resultados en seguridad de la información, así como a los que dispongan de certificaciones acreditadas relativas a la ciberseguridad, tanto de la propia compañía como de sus productos y/o servicios (ISO 27001, ENS, NIST, etc.).

5.3 Veto a proveedores inseguros

Si se considera objetivamente según la información recopilada en el proceso de selección que proveedor es especialmente inseguro, se propondrá un veto de 3 años para acceder a una nueva licitación, quedando este hecho indicado en el Registro de Proveedores.

5.4 Al inicio de la relación

Una vez seleccionado el proveedor definitivo del servicio, se procederá a la firma de la siguiente documentación:

  • Contrato.
  • Acuerdo de Confidencialidad.
  • Contrato de Tratamiento de Datos Personales por Terceros.
  • SLA si procede.
  • Resto de documentación aportada para garantizar la aceptación de las condiciones.

Tras la firma del contrato, se procederá por parte de la Organización a la entrega de la documentación interna relativa a la seguridad de la información que afecta al producto o servicio proporcionado:

  • Política de seguridad.
  • Normas de uso.
  • Procedimientos de seguridad.
  • Instrucciones técnicas.
  • Etc.

En paralelo, el Responsable de Seguridad de la Información debe incluir al proveedor en el Registro de Proveedores, procediendo a su perfilado: Así, se identificarán sus necesidades de acceso a información, servicios e infraestructura de la Organización para la prestación del servicio, y en base a estas necesidades se definirán los usuarios y sus privilegios mínimos a implementar sobre acceso físico, documentación, información, servicios e infraestructura.

En base a los perfiles funcionales y privilegios requeridos por los perfiles identificados, el Dpto. de Sistemas provisionará un esquema de usuarios y permisos en los sistemas afectados (Consultar Gestión de los Usuarios).

Una vez provisionados los usuarios requeridos, se comunicarán las credenciales al proveedor, evitando siempre el envío de contraseñas en claro.

En la medida de lo posible, el personal del proveedor externo ha de ser identificado de antemano, especialmente cuando deba disponer de credenciales privilegiadas, evitándose completamente el compartir credenciales entre varios usuarios externos.

5.5 Durante la relación

5.5.1 Auditoría de los servicios contratados

Para asegurar en todo momento la calidad del servicio contratado se establecerá la manera de monitorizar, revisar y auditar el servicio de los proveedores en aspectos relacionados con la ciberseguridad, en base a los controles consensuados durante la fase de licitación.

Para ello, el CTO monitorizará de la actividad del servicio desde la perspectiva de la ciberseguridad, en busca de eventos o vulneración de los límites de acceso a la información e infraestructura definidos para la provisión del servicio o producto.

Se monitorizarán los servicios críticos al menos mensualmente, y se auditarán al menos anualmente.

En el caso de tratarse de proveedores certificados en Seguridad de la Información, podrá obviarse la auditoría, al estar cubierta por la propia certificación.

5.5.2 Control de los servicios contratados

Se establecerá según las condiciones establecidas en la licitación y en el SLA si procede, la manera de gestionar cualquier problema surgido con productos o servicios de los proveedores. Para ello, éstos deben comunicar a inmediatamente al Equipo de Seguridad de la Información la aparición o modificación de riesgos, vulnerabilidades e incidentes de seguridad y su potencial impacto en los servicios de la Organización, para que éste pueda tomar las medidas oportunas de protección, detección, respuesta y/o recuperación.

5.5.3 Envío de información sensible

Durante la prestación del servicio, todo envío de información sensible entre proveedor y la Organización debe realizarse de forma segura, utilizando comunicaciones cifradas, siguiendo la Política de Seguridad de la Organización (Política de Seguridad de la Información).

5.5.4 Cambios sobre los servicios contratados

Cualquier cambio sobre las condiciones del servicio acordadas debe ser comunicado por el proveedor al Equipo de Seguridad de la Información con una antelación adecuada y proporcional al impacto del eventual cambio. Si este cambio se considera inasumible o impacta de forma significativa en la Organización, se producirá una no conformidad asociada al riesgo de la denegación o deterioro del servicio provocados por el cambio.

El Equipo de Seguridad de la Información deberá mitigar el incidente adecuadamente planificando las acciones oportunas, y llegado al caso si el servicio es crítico, activando el Plan de Continuidad de Negocio, independientemente de la potencial rescisión del contrato u aplicación de las cláusulas de contingencia o penalizaciones indicadas en el mismo. Así mismo, se realizará una reevaluación de riesgos para actualizar el estado.

5.5.5 Cambios en la interlocución

Si son necesarios cambios en la interlocución con personal de un proveedor, estos serán comunicados por el proveedor mediante medios confiables, y si afectan a servicios o información crítica, deben ser verificados por teléfono u otra forma veraz de confirmación. Se generarán nuevas cuentas de usuario ad-hoc para este nuevo personal, dándose de baja o inhabilitando las credenciales del anterior, para evitar su reutilización no controlada, siguiendo el procedimiento habitual (Gestión de los Usuarios).

5.5.6 Feedback reputacional

Durante la duración de la provisión del servicio o el ciclo de vida resulta interesante la partición en foros, reviews y asociaciones sobre servicios o productos adquiridos, aportando información veraz sobre la experiencia de uso de los mismos al propio proveedor y a la comunidad.

En el caso de descubrir una vulnerabilidad no registrada en el producto o servicio, ésta debe reportarse obligatoriamente al proveedor y a la comunidad (bases de datos de vulnerabilidades).

En caso de incidente o brecha de seguridad en el proveedor, afecte o no a los datos y/o servicios de Sincrolab, se dejará constancia en la entrada correspondiente del Registro de Proveedores, para ser tenida en cuenta durante la evaluación.

5.6 Al finalizar la relación

5.6.1 Registro del fin de la relación y motivación

Al finalizar la relación de provisión de servicio, ya sea por la expiración y no renovación del contrato o por su rescisión unilateral, el proveedor será indicado por parte del Equipo de Seguridad de la Información como baja en el Registro de Proveedores, indicando el motivo de la baja para el servicio en cuestión.

En caso de que el motivo de la baja sea desfavorable (incumplimiento de las condiciones, brechas de seguridad inasumibles, comportamiento poco ético, etc…), éste quedará registrado y vinculado a las no conformidades o incidentes que han dado lugar a la baja. Se recomienda dar feedback reputacional veraz, proporcionado y fiel sobre las causas tanto al proveedor como a la comunidad.

5.6.2 Veto a proveedores inseguros

Si un proveedor acumula 3 motivos de baja desfavorables, se propondrá un veto de 3 años para acceder a una nueva contratación, quedando este hecho indicado en el mismo Registro de Proveedores.

5.6.3 Implementación técnica de la baja del proveedor

Una vez actualizado el Registro de Proveedores, el Equipo de Seguridad de la Información notificará el evento de baja de proveedor en servicio al Departamento de Sistemas, para que éste proceda a ejecutar las actividades técnicas relativas a:

  • Eliminación de usuarios y privilegios de acceso.
  • Requerimiento de devolución de dispositivos.
  • Requerimiento de devolución/eliminación de documentación.
  • Expurgo de documentación confidencial.
  • Destrucción documental y de soportes si es preciso.
  • Formateo y configuración de dispositivos para su reutilización.
5.7 Incumplimiento

El incumplimiento de esta política traerá consigo posibles consecuencias legales que apliquen a la normativa de la empresa, incluyendo lo establecido en las normas que competen a la Autoridad Competente en cuanto a seguridad y privacidad de la información se refiere, así como la aplicación de las cláusulas de contingencia y penalización presentes en los contratos de los servicios y provisiones afectadas.

6 Anexos

N/A

7 Formatos

N/A

8 Registros

N/A

9 Documentos Relacionados

N/A

10 Referencias Normativas

  • ISO27001:2022 4.3 Determinación del alcance del sistema de gestión de la seguridad de la información.