Las organizaciones cada día dependen más de alianzas y acuerdos que les permitan diversificar sus operaciones y ser más competitivas. La Gestión de Proveedores en ISO 27001, debe considerar los beneficios de estos acuerdos, pero también la forma en que pueden comprometer la seguridad de la información.

Los proveedores y contratistas resultan vitales para el crecimiento y la competitividad de las organizaciones, pero, si no se cuenta con herramientas de protección adecuadas, dejan de ser un factor de crecimiento para convertirse en un elemento generador de riesgo.

Una forma de evitar este riesgo, dentro de una adecuada Gestión de Proveedores en ISO 27001, es incluir cláusulas de seguridad en los contratos que se suscriban con los proveedores. Pero ¿Por qué son importantes estas cláusulas y cuáles pueden ser? Veamos:

¿Porqué es necesario incluir cláusulas de seguridad en los contratos con proveedores?

En el momento en que una organización considera compartir una parte de su proceso productivo con otra, también acepta compartir información vital y confidencial que, eventualmente, puede poner en riesgo la operación en caso de ser divulgada.

Antes de suscribir un acuerdo o firmar un contrato, conviene asegurarse de que la organización que actuará como proveedor hace uso de las mejores prácticas en cuanto a gestión de la calidad y de la seguridad de la información, basada en normas como ISO 9001 e ISO 27001.

La tercerización siempre implicará un riesgo. Eso es algo que debemos tener claro antes de subcontratar un proceso o establecer un acuerdo con algún proveedor. La Gestión de Proveedores en ISO 270001 considera las cláusulas de seguridad en los contratos como una herramienta para mitigar el riesgo, mas no para evitarlo.

Hecha esta precisión, veamos cuáles son esas cláusulas de seguridad que podemos incluir en los contratos con el fin de preservar la seguridad de la información, dentro de un Sistema de Gestión basado en la norma ISO 27001.

Gestión de Proveedores en ISO 27001 – Las cláusulas de seguridad que podemos incluir en los contratos

ISO 27001 nos habla de las cláusulas de seguridad en la sección 15.1.2: “abordar la seguridad dentro de los acuerdos con proveedores, requiere que la organización considere cláusulas de seguridad en los contratos.”

Pues bien, algunos ejemplos de este tipo de cláusulas son:

1-) Derechos a auditoría: garantiza a la organización contratante, el derecho a evaluar y auditar los controles de seguridad implementados por el proveedor, en forma periódica o cuando se presenten cambios significativos en los controles o en la relación contractual entre ambas partes.

2-) Notificaciones sobre infracciones en la seguridad: esta cláusula obliga al proveedor a informar a la organización contratante sobre cualquier violación a la seguridad de la información que afecte sus operaciones o sus negocios.

3-) Aceptación de las prácticas de seguridad: con esta cláusula el proveedor declara que conoce y acepta sin restricciones las prácticas de seguridad de la información propuestas por el contratante, y que comunicará en forma oportuna, su imposibilidad de adherirse a alguna, algunas o todas ellas en un momento determinado.

4-) Tiempo de respuesta ante una violación: el proveedor debe comunicar al contratante los planes de tratamiento que contempla ante posibles violaciones de la seguridad, y los tiempos en que tendrán efecto esas acciones.

5-) Demostración de cumplimiento: el proveedor debe demostrar con evidencia irrefutable, que los controles que ha implementado y las acciones correctivas que ha diseñado cumplen con los requisitos contractuales. Es probable que esta demostración de cumplimiento requiera una auditoría o una verificación de algún tercero.

6-) Control sobre la cadena de suministro: el proveedor puede tener la necesidad de aplicar a otras organizaciones con las que suscriba acuerdos, las mismas políticas y condiciones que a él le ha impuesto la organización contratante, en la medida en la que se conforme una cadena de suministro.

7-) Comunicación sobre cambios: el proveedor debe informar a la organización contratante, todos los cambios en su entorno que afecten el negocio o la operación de su cliente, en forma oportuna.

La Gestión de Proveedores en ISO 27001 hace que una organización se beneficie de las ventajas que ofrece la tercerización, reduciendo los riesgos sobre la seguridad de la información, los costes de administración y monitoreo de riesgos y aumentando la capacidad de respuesta ante un incidente generador de riesgo.

Mejorar la Gestión de Proveedores en ISO 27001 con la plataforma ISOTools Excellence

El uso de la plataforma tecnológica de ISOTools Excellence permite a las organizaciones elaborar auditorías sobre sus proveedores y hacer uso de las múltiples aplicaciones que tiene diseñadas para garantizar la seguridad de la información, de acuerdo con ISO 27001. Si está interesado en ampliar la información sobre ISOTools Excellence, no dude en contactar a uno de nuestros consultores.