Pasar al contenido principal

Buenas prácticas a la hora de contratar proveedores

Descripción

La contratación de proveedores es una función que toda organización debe llevar a cabo. Sin embargo, muchas organizaciones olvidan que la ciberseguridad también se debe considerar expresamente en dicho proceso. La dependencia que cualquier organización tiene de los servicios o productos proporcionados por estos proveedores va a provocar que cualquier vulnerabilidad, incidente o riesgo de ciberseguridad que se materialice en dichos proveedores afecte a sus clientes.  

Con el fin de evitar que se produzcan este tipo de situaciones, las organizaciones deben considerar la ciberseguridad a lo largo de todo el proceso de gestión de proveedores, de manera que desde este punto de vista se incorporen las buenas prácticas necesarias para garantizar que la dependencia de los proveedores está correctamente gestionada en términos de ciberseguridad.

De este modo, cualquier organización, grande o pequeña, pública o privada, debería implementar estas buenas prácticas de ciberseguridad en materia de contratación de proveedores.

Objetivos

Los objetivos de la gestión segura de proveedores se pueden resumir en los siguientes puntos:

  • Seleccionar a aquellos proveedores que, de partida, ofrezcan unas garantías de ciberseguridad que la organización considere suficientes.
  • Establecer las condiciones necesarias para que los servicios y/o productos proporcionados por estos proveedores incorporen a priori las garantías de seguridad suficientes.
  • Garantizar que las condiciones de seguridad que se establecen para cada proveedor son adecuadas a las características de los servicios y/o productos provistos y al papel que dichos servicios y/o productos juegan para la organización.
  • Establecer los mecanismos necesarios para asegurar que las garantías de seguridad incorporadas por los proveedores efectivamente han sido implementadas de acuerdo con lo establecido.
  • Establecer los procesos de gestión necesarios para asegurar que la relación cliente-proveedor se desarrolla con unas condiciones mínimas de seguridad.

Buenas prácticas

A continuación, se plantean buenas prácticas de seguridad que pueden ser desarrolladas a lo largo de todo el ciclo de gestión de proveedores, para cada una de sus fases.

Selección de proveedores

La selección de proveedores supone la fase inicial del proceso de gestión de proveedores, en la que la organización debería llevar a cabo un “filtrado” de los proveedores en función de las capacidades de seguridad que puedan ofrecer a priori, como organización.

Para llevar a cabo esta selección u homologación de proveedores sería conveniente considerar los siguientes aspectos:

  • Es aconsejable que el proveedor cuente con un sistema de gestión de la seguridad certificado, ya que dicho certificado permite garantizar que el proveedor tiene preocupación por la seguridad. En este sentido, existen diferentes opciones, como por ejemplo las siguientes:
    • La más general supondría que el proveedor esté certificado bajo la norma ISO 27001.
    • Para el sector público lo esperable es que sus proveedores estén certificados siguiendo el Esquema Nacional de Seguridad (ENS).
    • Para servicios en los que la disponibilidad fuese especialmente crítica se podría plantear que estuvieran certificados en la norma ISO 22301.
    • Para servicios, generalmente de TI, en los que la calidad fuese especialmente importante, se podría requerir que estuviesen certificados en la norma ISO 20000.
    • Para proveedores de servicios de pago se podría requerir que estén certificados en el estándar PCI DSS.
    • Para proveedores industriales se podría llegar a plantear que estén certificados contra la norma IEC 62443-2-1.
  • Así mismo, es aconsejable que los servicios y/o productos objeto de la contratación hayan sido objeto de un abordaje específico de la ciberseguridad. Para ello existen distintas opciones, como por ejemplo serían:
    • Requerir que el servicio objeto de la contratación esté dentro del alcance del sistema de gestión de la seguridad certificado.
    • En entornos industriales, requerir que el proceso productivo asociado al producto en cuestión esté certificado contra la norma IEC 62443-4-1, específica de dicho ámbito.
    • Requerir que el producto objeto de la contratación cuente con alguna certificación de seguridad de producto, como por ejemplo:
      • Certificaciones Common Criteria, para productos TIC.
      • Productos cualificados para cumplir con el ENS, para productos TIC destinados al sector público.
      • Certificaciones IEC 62443-4-2 para productos industriales.  
  • También sería aconsejable que el proveedor ofreciese garantías de cumplimiento del Reglamento General de Protección de Datos (RGPD). No obstante, pese a que el propio RGPD establece la futura existencia de certificaciones que avalen su cumplimiento, por el momento las entidades de certificación no han desarrollado dichos certificados, y por lo tanto este requisito no podría ser contrastable a priori.  

Estos criterios se deberían aplicar de manera preliminar para que fuesen cumplidos por cualquier proveedor que se vaya a contratar, y por lo tanto sería aconsejable que formasen parte de los procesos de homologación de proveedores y/o de los requisitos mínimos o de solvencia técnica que se aplican por defecto a cualquier proveedor en aquellos servicios y/o productos en los que se considere que la seguridad es relevante.

Cláusulas contractuales de seguridad

Pese a que se establezca un primer “filtro” básico para proveedores que se tomen suficientemente en serio la seguridad, a nivel contractual sería necesario establecer una serie de cláusulas contractuales que garanticen a la organización que sus proveedores van a satisfacer los requisitos mínimos de seguridad que ésta considere necesarios. En este sentido, sería conveniente establecer cláusulas contractuales con relación a diferentes aspectos relacionados con la seguridad:

  • Que el proveedor determine las características específicas que en materia de seguridad tienen los productos y/o servicios contratados.
  • Que se acuerden las funcionalidades y/o niveles de servicio mínimos que van a garantizar, en materia de seguridad, los productos y/o servicios contratados, así como los mecanismos utilizados para su medición y verificación.
  • Que se acuerden las medidas mínimas de seguridad que van a implementar los productos y/o servicios contratados.
  • Que se acoten las responsabilidades de ambas partes en materia de seguridad respecto de los productos y/o servicios contratados.
  • Que el proveedor establezca funciones y responsabilidades específicas en materia de seguridad respecto de los productos y/o servicios contratados.
  • Que se determinen los mecanismos específicos articulados para gestionar cualquier cambio que se pueda producir en materia de seguridad respecto de los productos y/o servicios contratados.
  • Que se establezcan los mecanismos necesarios para gestionar cualquier incidente de seguridad y/o desastre que se pueda producir respecto de los productos y/o servicios contratados.
  • Que se establezcan los mecanismos necesarios para gestionar cualquier vulnerabilidad que se pueda identificar respecto de los productos y/o servicios contratados.
  • Que se regulen los mecanismos de supervisión y verificación que, en materia de seguridad, puede utilizar la organización para verificar el cumplimiento de las exigencias establecidas.

Estas cláusulas deberían formar parte del contrato que se firme entre el proveedor y la organización, con el fin de que todos los aspectos básicos relacionados con la seguridad se incorporen a los compromisos formalmente adquiridos por el proveedor.

Gestión de riesgos de proveedores

Las cláusulas contractuales de seguridad aplicables a cada uno de los proveedores de productos y/o servicios no deberían ser iguales para todos. El nivel de exigencia debería ir en consonancia con la criticidad que la seguridad de cada proveedor represente para la organización. Por ello, la organización debería incluir en su análisis de riesgos de seguridad cada uno de los proveedores de la organización, y modular el contenido de las cláusulas de seguridad aplicables a cada uno de ellos en función del riesgo que cada proveedor entrañe para la organización.

Seguimiento de la seguridad de los proveedores

El establecimiento de condiciones de seguridad a los proveedores a través de las cláusulas contractuales correspondientes no debería considerarse suficiente, ya que es posible que los compromisos contractuales adquiridos por éstos puedan no cumplirse de manera satisfactoria, por múltiples motivos. Por ello, para articular una buena gestión segura de proveedores sería necesario articular mecanismos de seguimiento que permitan verificar el cumplimiento de las cláusulas contractuales establecidas. Dicho seguimiento se podría articular, entre otras, de las siguientes formas:

  • Estableciendo reuniones de seguimiento de los servicios en las que se revisen los aspectos de seguridad de los mismos.
  • Estableciendo protocolos mediante los cuales los proveedores deban remitir a la organización diferentes evidencias del cumplimiento de las cláusulas de seguridad establecidas, de manera que ésta los analice y verifique.
  • Estableciendo un programa de auditorías de segunda parte, donde la organización audite de manera periódica el cumplimiento de las medidas de seguridad comprometidas por el proveedor.
  • Requiriendo al proveedor que lleve a cabo auditorías de tercera parte en las que se verifiquen las condiciones de seguridad aplicables.
  • Articulando mecanismos en los que participen tanto la organización como el proveedor para llevar a cabo el seguimiento de la implementación de las medidas de seguridad por parte del proveedor, tanto las iniciales como las derivadas de deficiencias identificadas en alguna de las actuaciones anteriormente indicadas.

¿Dónde recibir asesoramiento sobre la gestión segura de proveedores?

Desde el BCSC, se pone a disposición tanto de los organismos públicos como de las empresas privadas el “Libro Blanco de la Ciberseguridad en Euskadi”, un documento que recoge la visión de conjunto de nuestro ecosistema local con diferentes perspectivas de innovación, investigación, emprendimiento, etc. y en el que se incluye el catálogo de proveedores de ciberseguridad que ofrecen este tipo de servicios, con el objetivo de que las organizaciones interesadas en demandarlos tengan un punto de referencia que contribuya a facilitar la toma de decisiones.

El catálogo sirve de resumen o instantánea del mercado de la ciberseguridad en Euskadi, siendo un listado vivo, revisado y actualizado periódicamente, dada la constante evolución y el avance en la digitalización de los servicios y las oportunidades que se generan.

BCSC Libro Blanco

Referencias

https://www.cisa.gov/publication/risk-considerations-msp-customers