Sécurité

ISO 27036 – Seguridad de la información para las relaciones con los proveedores

🕑 5 minutes read

¿Qué es la norma ISO 27036?

La ISO 27000 es una serie de normas de seguridad de la información desarrolladas y publicadas por la Organización Internacional de Normalización (ISO), que proporciona un marco reconocido mundialmente para las mejores prácticas en el desarrollo del Sistema de Gestión de Seguridad de la información (SGSI ).

La norme ISO 27036, divisée en quatre parties, fait partie de la famille ISO 27000, relative à la sécurité de l’information pour les relations avec les fournisseurs. Elle fournit des orientations sur l’évaluation et le traitement des risques liés à l’information impliqués dans l’acquisition de biens et de services auprès de fournisseurs.

ISO 27000, referida a la Seguridad de la información para las relaciones con proveedores , que ofrece orientación sobre la evaluación y el tratamiento de los riesgos de información involucrados en la adquisición de bienes y servicios de proveedores.

Organización y usos de la ISO 27036

¿Cómo está divida la norma?

La norma ISO/IEC 27036 está dividida en las siguientes cuatro partes:

  1. ISO/IEC 27036-1:2014: Recoge la descripción general y los conceptos principales. Elle sert d’introduction aux quatre parties de cette norme, en donnant des informations générales sur les antécédents normatifs (ISO 27000, Technologies de l’information – Techniques de sécurité – Systèmes de gestion de la sécurité de l’information – Vue d’ensemble et vocabulaire), et en introduisant les termes et concepts clés, y compris les risques, en relation avec la sécurité de l’information dans les relations avec les fournisseurs.
  2. ISO/IEC 27036-2:2014: Especifica los requisitos fundamentales de la seguridad de la información relativa a las relaciones comerciales entre proveedores y adquirientes. Las medidas de control recomendadas abarcan diversos aspectos de la gobernanza, la gestión empresarial y la gestión de la seguridad de la información (habilitación de proyectos organizacionales, planificación de la relación con el proveedor, acuerdos de relación, gestión de relaciones con proveedores, etc.).
  3. ISO/IEC 27036-3:2013: Proporciona las directrices para la seguridad de la cadena de suministro de las TIC. Recoge las pautas tanto para los proveedores como para los adquirientes sobre gestión de riesgos de seguridad de la información, relacionados con la cadena de suministro (malware, productos falsificados, riesgos organizativos, integración de la gestión de riesgos con los procesos del ciclo de vida del sistema y del software, etc).
  4. ISO/IEC 27036-4:2016 : Décrit les lignes directrices pour la sécurité des services dans le cloud. Elle fournit aux clients et aux fournisseurs de services cloud des orientations sur les risques de sécurité de l’information associés à l’utilisation des services cloud et la gestion efficace de ces risques grâce à la mise en œuvre de contrôles spécifiques pour leur atténuation.

¿Dónde se aplica la ISO 27036?

La norma se aplica a las relaciones comerciales entre compradores y proveedores de diversos bienes y servicios, tales como:

  • Suministro de hardware, software y servicios TIC, incluidos los servicios de telecomunicaciones e Internet.
  • Externalización de servicios de computación en la nube.
  • Otros servicios como guardias de seguridad, limpiadores, mensajería, mantenimiento de equipos, servicios de consultoría y asesoramiento especializado, etc.
  • Productos y servicios a medida donde el adquirente especifica los requisitos y normalmente tiene un papel activo en el diseño del producto.
  • Servicios públicos como energía eléctrica, combustibles y agua.

Fases de la ISO 27036:

Se dan las pautas para la detección y evaluación de los riesgos de información involucrados en la adquisición de bienes y servicios y la implantación de los controles necesarios para su mitigación, a lo largo de todo el ciclo de vida o fases de la relación entre adquirientes y proveedores:

¿Cuál es el ciclo de vida de la relación?

El ciclo de vida de la ISO 27036 se compone de varias fases:

  • Análisis de coste-beneficio, comparación de opciones de desarrollo interno o externalización, o mezcla de ambos.
  • Definición de requisitos.
  • Selección, evaluación y contratación con los proveedores.
  • Aplicación de los acuerdos de suministro.
  • Operación: gestión y supervisión de relaciones, cumplimiento, incidentes y cambios, etc.
  • Actualización en la posible renovación del contrato, con la revisión de términos y condiciones, rendimiento, problemas, procesos de trabajo, etc.
  • Fin de la relación comercial.

Riesgos en la seguridad de la información:

Las situaciones donde se ve comprometida la seguridad de la información se clasifican en:

  • Dependencia del adquirente de los proveedores.
  • Acceso y protección de activos de información de terceros.
  • Responsabilidades compartidas respecto a la seguridad de la información en lo referente al cumplimiento de políticas, normas, leyes, reglamentos, contratos y otros compromisos/obligaciones de seguridad de la información.
  • Coordinación adquirente-proveedor para adaptar o responder a los nuevos requisitos de seguridad de la información.

Controles de seguridad de la información:

Los controles de seguridad que se refieren a la información, se deben llevar a cabo a cabo en:

  • El análisis preliminar de riesgos, controles, costes y beneficios asociados con el mantenimiento de una seguridad de la información adecuada.
  • La creación de objetivos estratégicos compartidos para alinear en materia de seguridad de la información a comprador y proveedor.
  • La especificación de requisitos de seguridad de la información: exigencia a los proveedores de cumplimiento de la norma ISO / IEC 27001 en contratos, acuerdos de nivel de servicio, etc.
  • En los procedimientos de gestión de la seguridad: análisis de riesgos, diseño de seguridad, gestión de incidentes, planes de continuidad de negocio, entre otros.
  • Para la responsabilidad por la protección de activos críticos de información (registros de seguridad, registros de auditoría, pruebas, etc).
  • El derecho de auditoría y cumplimiento, con sanciones o responsabilidades en caso de incumplimiento o bonificaciones en caso de pleno cumplimiento.

Chez GlobalSuite Solutions, nous offrons l’aide et les conseils nécessaires à la mise en œuvre de votre Système de Gestion de la Sécurité de l’Information (SMSI) basé sur les exigences de la norme ISO 27001.

De plus, nous disposons du logiciel GlobalSuite®, entièrement développé par notre équipe, qui permet la mise en œuvre, la gestion et le maintien des exigences requises par la norme ISO 27001 dans tous les types d’organisations et de secteurs.