1. INTRODUCCIÓN
La presente Política de Seguridad Externa de la Información establece las directrices y los procedimientos que deben seguirse para proteger la información, activos y sistemas de la organización cuando esta se maneja fuera de las instalaciones internas, ya sea a través de accesos remotos, interacciones con terceros o en la nube. Esta política se aplica a todos los empleados, proveedores, socios comerciales y cualquier parte externa que tenga acceso a la información de la organización.
1. OBJETIVO
1.1 Objetivos de la política de Seguridad Externa de la Información:
Definir los objetivos específicos de la política es fundamental para establecer un marco claro de seguridad. Algunos de los objetivos pueden ser:
• Proteger la confidencialidad, integridad y disponibilidad de la información cuando se maneja fuera de los sistemas internos de la organización.
• Minimizar los riesgos de exposición y acceso no autorizado a los datos por actores externos.
• Asegurar la alineación con normativas locales e internacionales, como la Ley de Protección de Datos Personales (Ley N° 21.096 en Chile) o el GDPR.
• Garantizar la correcta gestión de proveedores y socios externos que puedan acceder a datos de la organización.
• Prevenir y mitigar incidentes de seguridad relacionados con el manejo externo de la información.
• Cumplimiento con normativas y leyes: En Chile, la política debe alinearse con la Ley 19.496 sobre protección de datos personales, la Ley 20.285 sobre acceso a la información pública y otras normativas que regulan el tratamiento de la información sensible.
• Evaluación y control de riesgos: Gestionar adecuadamente los riesgos asociados con los servicios externos, evaluando las medidas de seguridad de terceros y garantizando que cumplan con los estándares adecuados.
• Fomento de buenas prácticas de seguridad: Promover la implementación de buenas prácticas, como el uso de protocolos de seguridad en las comunicaciones y almacenamiento de datos, cifrado, autenticación fuerte, etc.
2. ALCANCE
la política de seguridad de la información externa en Seguridad América SSL LTDA. Debe ser claramente definida para garantizar la protección de datos sensibles que se gestionan y procesan en colaboración con terceros. Este tipo de política está orientado a establecer las medidas de protección necesarias para mitigar los riesgos derivados de las interacciones con entidades externas como proveedores, clientes, colaboradores, y otros actores involucrados en los procesos de la empresa.
1. Relaciones con Terceros (Proveedores, Socios y Clientes)
• Contratos y Acuerdos de Nivel de Servicio (SLA): Asegurar que todos los contratos con proveedores, socios y clientes incluyan cláusulas de seguridad de la información que especifiquen las expectativas de protección de datos, confidencialidad y cumplimiento de normativas.
• Evaluación de Riesgos de Proveedores: Realizar evaluaciones periódicas de seguridad a los proveedores externos que manejen o tengan acceso a datos sensibles para garantizar que sus prácticas de seguridad sean adecuadas.
• Cumplimiento de Normativas: Asegurar que los terceros cumplan con las normativas locales e internacionales de protección de datos, como la Ley 19.496 en Chile o el Reglamento General de Protección de Datos (GDPR) en la UE, si aplica.
2. Protección de Datos Compartidos con Entidades Externas
• Cifrado de Datos: Asegurar que todos los datos sensibles que se transmiten o almacenan fuera de la empresa estén cifrados, tanto en tránsito como en reposo, para proteger la confidencialidad e integridad de la información.
• Control de Accesos: Establecer un control estricto de accesos para garantizar que solo personal autorizado de los terceros pueda acceder a la información compartida.
• Destrucción Segura de Información: Definir procesos y protocolos para la destrucción segura de los datos cuando estos ya no sean necesarios, ya sea a través de la eliminación segura de archivos o la destrucción física de soportes de almacenamiento.
3. Acceso Remoto y Gestión de Conexiones Externas
• Política de Acceso Remoto: Establecer reglas claras para el acceso remoto de empleados, clientes y proveedores, incluyendo el uso de tecnologías como VPN (Virtual Private Network) y autenticación multifactor (MFA) para acceder a sistemas internos.
• Monitoreo de Accesos Externos: Implementar un sistema de monitoreo continuo para rastrear y registrar los accesos de terceros a los sistemas de la empresa, con el fin de identificar comportamientos sospechosos o no autorizados.
4. Seguridad de las Comunicaciones con Entidades Externas
• Canales de Comunicación Seguros: Asegurar que las comunicaciones con partes externas, como proveedores o clientes, se realicen a través de canales seguros (por ejemplo, correo electrónico cifrado, mensajería segura).
• Intercambio de Información Sensible: Definir procedimientos para el intercambio de información confidencial o crítica, asegurando que solo las partes autorizadas tengan acceso a ella, y estableciendo protocolos de autenticación y verificación.
5. Monitoreo de Actividades Externas
• Revisión de la Actividad de Terceros: Implementar un proceso para realizar auditorías periódicas de las actividades que terceros realizan sobre la red o sistemas de la empresa de ciberseguridad, con el fin de detectar cualquier comportamiento sospechoso.
• Registros de Auditoría: Mantener registros detallados de todas las interacciones de los proveedores y otros terceros con los sistemas y datos de la empresa, para detectar vulnerabilidades o accesos no autorizados.
6. Incidentes de Seguridad Relacionados con Terceros
• Gestión de Incidentes de Seguridad: Establecer procedimientos para notificar y gestionar los incidentes de seguridad que involucren a terceros. Esto incluye la identificación, contención, mitigación y recuperación de incidentes relacionados con el acceso o manejo indebido de datos por parte de proveedores, socios o clientes.
• Responsabilidad y Colaboración en Respuesta a Incidentes: Asegurar que los acuerdos con terceros incluyan la responsabilidad de cada parte en caso de un incidente de seguridad. Esto incluye el compromiso de los proveedores y socios a colaborar en la investigación y resolución del incidente.
7. Auditoría y Evaluación Continua
• Auditoría de Seguridad Externa: Realizar auditorías regulares para evaluar la seguridad de las interacciones con entidades externas, la efectividad de las políticas de seguridad y el cumplimiento de los acuerdos establecidos.
• Evaluación de la Seguridad en la Cadena de Suministro: Evaluar la seguridad en la cadena de suministro, especialmente si se utilizan proveedores o socios externos que tienen acceso a recursos críticos o datos sensibles. Esta evaluación debe incluir controles de seguridad para prevenir riesgos derivados de la cadena de suministro.
8. Concientización y Capacitación
• Entrenamiento en Seguridad para Terceros: Proporcionar formación periódica sobre buenas prácticas de seguridad a los proveedores, socios y clientes que tengan acceso a los sistemas o datos de la empresa. Esto podría incluir capacitación en la gestión de contraseñas, protección contra phishing, y la importancia de la seguridad de la información.
• Concientización sobre los Riesgos Externos: Asegurarse de que todos los empleados de la empresa comprendan los riesgos de seguridad asociados con las relaciones externas y estén capacitados para identificar y gestionar dichos riesgos.
9. Cumplimiento de la Regulación
• Cumplimiento Legal y Normativo: Garantizar que las políticas de seguridad de la información externa se ajusten a las leyes y normativas locales e internacionales, como la Ley 19.496 (protección de datos personales en Chile), el GDPR(Reglamento General de Protección de Datos de la UE), y otras regulaciones aplicables a la industria de la ciberseguridad.
• Revisión de Contratos Legales: Asegurar que los acuerdos con terceros (proveedores, socios, etc.) contengan las cláusulas necesarias para cumplir con las leyes de privacidad y protección de datos.
10. Gestión de Riesgos de Seguridad Externa
• Identificación y Evaluación de Riesgos: Implementar un sistema para la identificación y evaluación de riesgos de seguridad provenientes de actores externos. Esto implica la evaluación del impacto potencial que un tercero pueda tener en la seguridad de la información, tanto en el corto como en el largo plazo.
• Manejo de Riesgos: Desarrollar planes de mitigación de riesgos y de respuesta ante posibles amenazas externas.
3. DEFINICIONES
La Política de Seguridad de la Información Externa en el contexto de las normas ISO 27001 e ISO 27701 se refiere a un conjunto de directrices y principios que regulan el manejo, la protección y el control de la información sensible o confidencial que es procesada, almacenada o transmitida fuera de la organización
Seguridad de la Información Externa:
Se refiere a la protección de la información que fluye hacia o desde fuera de la organización, garantizando su integridad, confidencialidad y disponibilidad, incluso cuando es gestionada por terceros o fuera de los controles directos de la organización. La política de seguridad debe incluir cómo gestionar riesgos asociados a la información externa.
Evaluación de Riesgos:
La política debe definir procedimientos para evaluar los riesgos relacionados con el intercambio de información con partes externas, incluidas las evaluaciones de proveedores, contratistas, y otros socios comerciales.
Control de Acceso Externo:
Debe regular cómo se otorgan y gestionan los accesos externos a la información y sistemas de la organización. Los accesos deben ser monitoreados y controlados, asegurando que solo personas autorizadas tengan acceso a la información sensible.
Cumplimiento Legal y Normativo:
Es necesario que la política garantice que la transferencia de información a entidades externas cumpla con las leyes, normativas y estándares aplicables, como la protección de datos personales (según la legislación como el GDPR o leyes locales).
Confidencialidad, Integridad y Disponibilidad:
La política debe garantizar que los principios fundamentales de la seguridad de la información sean respetados en todo momento, incluso cuando la información es manejada externamente.
Privacidad de Datos Personales Externos:
La política debe cubrir cómo la organización asegura que los datos personales transmitidos fuera de su control (por ejemplo, a proveedores o terceros) están protegidos adecuadamente según los principios de privacidad y las leyes de protección de datos (como el GDPR).
Contratos y Acuerdos con Terceros:
Se debe contar con acuerdos formales (como contratos de procesamiento de datos o cláusulas de confidencialidad) que aseguren que los proveedores externos manejen la información de acuerdo con las políticas de seguridad y privacidad establecidas por la organización.
Transparencia en el Uso de Información Externa:
Es esencial que la política defina cómo se manejará la información personal cuando esta sea compartida con terceros, incluidos detalles sobre el consentimiento y la notificación a los individuos cuyos datos puedan estar involucrados.
Gestión de Incidentes Relacionados con Información Externa:
La política debe establecer un plan de respuesta ante incidentes que involucre el manejo de información externa, asegurando que se sigan procedimientos adecuados en caso de una brecha de seguridad.
La Política de Seguridad de la Información Externa, según ISO 27001 e ISO 27701, abarca los siguientes puntos:
• Controles de acceso externo y seguridad de los datos.
• Evaluación de riesgos asociados con el intercambio de información fuera de la organización.
• Cumplimiento de regulaciones y normativas, especialmente en relación con la privacidad de los datos personales.
• Contratos y acuerdos con terceros, garantizando que los proveedores cumplan con los requisitos de seguridad establecidos por la organización.
• Planes de respuesta ante incidentes para proteger la información cuando se maneje fuera de los sistemas internos.
4. RESPONSABILIDADES
En el contexto de la ISO 27001 y ISO 27701, las responsabilidades dentro de la política de seguridad de la información externa están relacionadas con la protección de la información sensible, la gestión de la privacidad y la garantía de que los proveedores, contratistas o cualquier entidad externa cumpla con las políticas y controles de seguridad establecidos por la organización. Ambas normas tienen un enfoque en la gestión de la seguridad de la información, aunque ISO 27701 está específicamente enfocada en la gestión de la privacidad de los datos personales.
La ISO 27001 se basa en un Sistema de Gestión de Seguridad de la Información (SGSI) que debe incluir controles, roles y responsabilidades claras para gestionar la seguridad de la información relacionada con proveedores externos. Algunas de las responsabilidades estructurales son:
A. Alta Dirección
• Definición de Estrategias y Políticas: La alta dirección es responsable de establecer la estrategia general de seguridad de la información, que incluye la gestión de la seguridad externa. Esto abarca la aprobación de las políticas de seguridad de la información que se aplican a terceros y la asignación de recursos para garantizar su implementación.
• Compromiso con la Seguridad: La alta dirección debe garantizar que la seguridad de la información sea considerada una prioridad estratégica dentro de la organización, apoyando la política de seguridad con el compromiso y los recursos necesarios.
B. Comité de Seguridad de la Información o Equipo de Gestión del SGSI
• Supervisión y Evaluación de Proveedores: Este equipo tiene la responsabilidad de garantizar que todos los proveedores y partes externas sean evaluados en cuanto a riesgos de seguridad de la información. También son responsables de supervisar el cumplimiento de las políticas de seguridad.
• Monitoreo Continuo: Deben asegurarse de que los mecanismos de monitoreo estén en funcionamiento para revisar de manera continua el desempeño de la seguridad de la información de los proveedores.
C. Responsable de Seguridad de la Información (CISO o Similar)
• Implementación de Controles de Seguridad: El CISO (Chief Information Security Officer) es responsable de implementar, coordinar y mantener los controles de seguridad que abarcan tanto las operaciones internas como las externas. En relación con los terceros, supervisa que se cumpla con la política de seguridad en todas las actividades externas.
• Gestión de Incidentes de Seguridad Externos: El CISO debe gestionar los incidentes de seguridad relacionados con terceros, asegurándose de que se sigan los procedimientos adecuados para la notificación, investigación y mitigación de los riesgos.
D. Responsables de Gestión de Contratos
• Gestión de Acuerdos de Seguridad: Los equipos encargados de la gestión de contratos deben asegurarse de que todos los acuerdos con proveedores contengan cláusulas específicas de seguridad, definiendo claramente las responsabilidades del proveedor en relación con el manejo de la información sensible.
• Monitoreo de Cumplimiento Contractual: Deben asegurar que se cumplan todas las obligaciones de seguridad en los contratos con terceros, lo que incluye revisar los acuerdos y garantizar que las medidas de seguridad sean adecuadas para proteger la información.
E. Departamentos de TI y Soporte Técnico
• Integración de Proveedores con los Sistemas Internos: Los departamentos de TI son responsables de asegurar que los proveedores que interactúan con los sistemas internos cumplan con las normas de seguridad, tanto en el acceso como en el uso de la infraestructura tecnológica.
• Soporte en la Evaluación de Proveedores: Deben participar en la evaluación de los riesgos tecnológicos de los proveedores, asegurando que estos no introduzcan vulnerabilidades o brechas de seguridad en los sistemas organizacionales.
F. Personal de Auditoría Interna
• Auditorías de Seguridad de Proveedores: La función de auditoría interna es responsable de llevar a cabo auditorías periódicas a los proveedores externos para verificar que cumplan con las políticas de seguridad de la información y privacidad acordadas.
• Verificación de Cumplimiento: Deben evaluar si los controles implementados por los proveedores son adecuados y si estos están funcionando correctamente.
2. ISO 27701 – Estructura Organizacional y Responsabilidades Externas en Gestión de Privacidad
La ISO 27701 se complementa con la ISO 27001 para gestionar la privacidad de la información personal, y establece responsabilidades adicionales para la protección de datos personales en las relaciones externas. A continuación, se presentan las responsabilidades estructurales relacionadas con la privacidad:
A. Alta Dirección
• Definición de la Política de Privacidad: La alta dirección es responsable de definir la política de privacidad que incluye la protección de datos personales procesados por terceros. Esta política debe ser alineada con las normativas legales de privacidad, como el GDPR u otras leyes locales.
• Asegurar el Cumplimiento Legal: Asegurarse de que la organización cumpla con las leyes y regulaciones aplicables en materia de protección de datos personales, incluyendo las que rigen la relación con proveedores externos.
B. Delegado de Protección de Datos (DPO)
• Supervisión de la Gestión de la Privacidad: El DPO debe supervisar que todas las relaciones con proveedores cumplan con las políticas de protección de datos personales, asegurándose de que se implementen medidas adecuadas para la seguridad y privacidad.
• Evaluación de Impacto en la Privacidad: Debe realizar evaluaciones de impacto en la privacidad (DPIA, por sus siglas en inglés) cuando se consideren riesgos altos al tratar datos personales con proveedores externos. Esto implica asegurarse de que las medidas para mitigar riesgos de privacidad sean adecuadas.
C. Responsables de Gestión de Contratos
• Contratos de Procesamiento de Datos: En el caso de que los proveedores actúen como procesadores de datos personales, se deben establecer contratos de procesamiento de datos que cumplan con los requisitos de la ISO 27701, regulaciones de privacidad y otras normativas aplicables.
• Evaluación de Proveedores de Servicios Externos: Asegurarse de que los proveedores externos sigan las medidas adecuadas para proteger los datos personales. Esto incluye revisar sus políticas de privacidad y seguridad de datos.
D. Departamento de TI
• Protección de Datos Personales en los Sistemas: El equipo de TI debe asegurarse de que los proveedores que tienen acceso a los sistemas de la organización implementen controles adecuados para proteger los datos personales, tales como cifrado y autenticación.
• Monitoreo de Acceso a los Datos Personales: Garantizar que los proveedores externos que gestionan o procesan datos personales tengan los controles de acceso apropiados para proteger la confidencialidad y la privacidad de los datos.
E. Personal de Auditoría Interna
• Auditorías de Cumplimiento de Privacidad: El equipo de auditoría debe realizar auditorías específicas sobre el cumplimiento de las políticas de privacidad con respecto a los proveedores externos, asegurándose de que cumplan con las normativas de privacidad y las cláusulas del contrato.
• Verificación de Brechas de Seguridad y Notificación: Auditar la forma en que los proveedores gestionan las brechas de seguridad de datos personales, asegurándose de que notifiquen y gestionen adecuadamente cualquier incidente.
F. Personal Responsable de la Capacitación
• Capacitación sobre Privacidad y Seguridad: El personal encargado de la capacitación debe asegurarse de que todos los empleados, incluidos los proveedores externos, reciban formación sobre la protección de datos personales y la importancia de mantener la privacidad en sus interacciones con la organización.
Responsabilidades Generales para la Estructura de la Política Externa:
1. Evaluación de Proveedores: Evaluar constantemente a los proveedores en cuanto a sus prácticas de seguridad y privacidad. Esta evaluación debe ser continua y no solo una actividad inicial al contratar un proveedor.
2. Monitoreo y Mejora Continua: El monitoreo de proveedores externos debe ser constante, y las políticas deben adaptarse y mejorarse conforme surjan nuevos riesgos o cambios en las regulaciones.
3. Colaboración entre Equipos Internos: Los equipos de seguridad, privacidad, contratos y TI deben colaborar estrechamente para asegurar que las políticas externas se implementen de manera efectiva y que se gestionen adecuadamente los riesgos asociados con las relaciones externas.
5. PAUTAS
Las pautas de una política de seguridad de la información externa bajo las normativas ISO 27001 y ISO 27701 deben abordar específicamente cómo se gestionan los riesgos y responsabilidades relacionados con las partes externas, como proveedores, contratistas y otras entidades que tengan acceso a los sistemas o datos de la organización. Ambas normas están enfocadas en garantizar la protección de la información y la privacidad de los datos personales a través de un marco estructurado que incluye controles de seguridad, evaluaciones de riesgos, y cumplimiento de normativas de privacidad.
1. Pautas de Política de Seguridad de la Información Externa según ISO 27001
A. Alcance y Propósito de la Política
• Definición clara del alcance de la política, especificando las relaciones con las partes externas (proveedores, contratistas, socios comerciales, etc.).
• Establecer el propósito de la política: garantizar la confidencialidad, integridad y disponibilidad de la información al interactuar con terceros y asegurar que estos cumplan con las normativas de seguridad establecidas.
B. Evaluación y Gestión de Riesgos
• Evaluación de riesgos asociados con terceros: Implementar un proceso formal para identificar, evaluar y mitigar los riesgos que puedan surgir al compartir datos o sistemas con terceros. Esta evaluación debe considerar el acceso a la información confidencial y la seguridad física, lógica y organizativa.
• La política debe exigir que los riesgos sean evaluados antes de establecer relaciones contractuales con proveedores externos. Esto debe incluir auditorías previas y el análisis de riesgos cibernéticos, físicos y de privacidad.
C. Selección de Proveedores
• Criterios de selección de proveedores: Definir qué requisitos de seguridad y privacidad deben cumplir los proveedores antes de ser seleccionados. Esto incluye la evaluación de sus sistemas de seguridad, cumplimiento de normativas, procesos de auditoría y políticas internas de protección de datos.
• Se debe verificar que los proveedores estén alineados con los principios de seguridad de la información, como la gestión de accesos, protección contra malware y cifrado de datos.
D. Acuerdos Contractuales con Terceros
• Acuerdos de seguridad con proveedores: Formalizar acuerdos contractuales que detallen las responsabilidades de cada parte en relación con la seguridad de la información. Los contratos deben abordar:
❖ Requisitos de seguridad que los proveedores deben cumplir.
❖ Gestión de acceso y confidencialidad: Qué controles se implementarán para proteger la información sensible.
❖ Plan de gestión de incidentes: Procedimientos claros para la notificación y respuesta ante incidentes de seguridad.
❖ Derecho de auditoría: La organización debe tener el derecho de auditar las prácticas de seguridad del proveedor.
E. Monitoreo y Supervisión de Proveedores
• Monitoreo continuo: Implementar mecanismos para supervisar el cumplimiento continuo de las políticas de seguridad por parte de los proveedores. Esto incluye auditorías regulares y revisiones de los controles de seguridad que los proveedores aplican.
• Verificación de la seguridad: Asegurar que los controles de seguridad establecidos por los proveedores sean auditados y validados con regularidad.
F. Gestión de Incidentes y Notificación
• Política de gestión de incidentes: Especificar cómo los proveedores deben notificar los incidentes de seguridad que puedan afectar la información de la organización. Incluir plazos, procedimientos de notificación y acciones correctivas.
• La política debe contemplar la resolución de incidentes de manera oportuna y efectiva, minimizando los riesgos y el impacto en la organización.
G. Capacitación y Concienciación
• Formación a proveedores y personal: Establecer programas de capacitación continua para los empleados internos y proveedores sobre políticas de seguridad de la información, gestión de accesos y manejo de datos sensibles.
• Concienciación sobre riesgos externos: Promover una cultura organizacional de concienciación sobre los riesgos relacionados con terceros y cómo proteger la información compartida.
2. Pautas de Política de Seguridad de la Información Externa según ISO 27701 (Privacidad de Datos Personales)
A. Cumplimiento Legal de Privacidad
• Cumplimiento con normativas de privacidad: Asegurar que todos los proveedores cumplan con las normativas aplicables sobre privacidad de datos, como el Reglamento General de Protección de Datos (GDPR), la Ley de Privacidad de los Consumidores de California (CCPA), o cualquier otra legislación relevante de protección de datos.
• Definir los derechos de privacidad de los individuos cuyos datos son procesados por terceros (acceso, rectificación, supresión, etc.), y asegurar que los proveedores los respeten.
B. Evaluación de Impacto en la Privacidad (DPIA)
• Evaluación de impacto en la privacidad: Exigir que se realicen Evaluaciones de Impacto en la Privacidad (DPIA) cuando se traten datos personales sensibles a través de proveedores externos. Esto incluye identificar los riesgos asociados con el procesamiento de datos personales por terceros y garantizar que se implementen medidas adecuadas para mitigarlos.
C. Acuerdos de Procesamiento de Datos Personales
• Contratos de procesamiento de datos: Los contratos con proveedores deben incluir cláusulas específicas que definan claramente el tratamiento de datos personales. Estos contratos deben abordar aspectos como:
❖ Propósito del tratamiento.
❖ Medidas de seguridad y protección de datos.
❖ Condiciones para la subcontratación de actividades de procesamiento de datos.
❖ Procedimientos de notificación de violaciones de datos personales.
D. Monitoreo de Cumplimiento de Privacidad
• Monitoreo continuo de proveedores: Implementar un sistema para verificar que los proveedores sigan cumpliendo con las políticas de privacidad de datos. Esto incluye auditorías periódicas, revisiones de las políticas de privacidad y la implementación de controles de protección de datos.
• Evaluaciones periódicas de privacidad: Las políticas deben especificar la realización de auditorías de privacidad y seguridad para asegurar que los proveedores mantengan prácticas adecuadas de protección de datos.
E. Seguridad de los Datos Personales
• Protección de datos personales: Asegurar que los proveedores implementen medidas de protección apropiadas, como el cifrado de datos, control de acceso, y anonimización o pseudonimización de datos cuando sea necesario.
• Acceso restringido: Definir procedimientos para garantizar que solo el personal autorizado tenga acceso a datos personales, tanto dentro de la organización como en el caso de proveedores externos.
F. Notificación de Brechas de Seguridad de Datos Personales
• Procedimientos para la notificación de brechas: Establecer procesos claros que exijan a los proveedores que notifiquen inmediatamente cualquier brecha de seguridad que afecte datos personales. Especificar plazos de notificación (por ejemplo, dentro de las 72 horas en caso de GDPR) y las acciones a seguir para mitigar el impacto.
G. Gestión de Subprocesadores
• Control sobre subcontratistas: Si los proveedores subcontratan el procesamiento de datos personales, la política debe exigir que estos subprocesadores también cumplan con las mismas normas de seguridad y privacidad que el proveedor principal. Esto debe quedar reflejado en los contratos, especificando que el proveedor es responsable del cumplimiento de los subprocesadores.
H. Derecho de Auditoría sobre la Privacidad
• Derecho de auditoría en privacidad: Garantizar que la organización tenga el derecho de auditar las prácticas de privacidad de los proveedores, incluyendo el acceso a registros y actividades relacionadas con la protección de datos personales.
6. POLÍTICAS, PROCEDIMIENTOS Y REGISTROS
Políticas, procedimientos y registros son componentes esenciales de la Política de Seguridad de la Información Externa bajo las normas ISO 27001 y ISO 27701. Estas normas exigen un enfoque sistemático y estructurado para proteger la información y los datos personales, especialmente cuando se gestionan con proveedores o terceros. A continuación, se detallan los elementos clave que deben formar parte de estas políticas, procedimientos y registros para cumplir con los requisitos de seguridad de la información externa y privacidad.
1. Políticas de Seguridad de la Información Externa (ISO 27001 y 27701)
Las políticas deben establecer principios y directrices claras para gestionar la seguridad de la información y la privacidad de los datos personales en las relaciones con terceros. La política debe ser aprobada por la alta dirección y comunicada a todas las partes involucradas.
A. Política General de Seguridad de la Información Externa (ISO 27001)
• Propósito: Garantizar que las relaciones con proveedores, socios y otras partes externas no comprometan la confidencialidad, integridad y disponibilidad de la información sensible de la organización.
• Alcance: Definir los límites de la política, especificando que cubre tanto la seguridad de la información como la gestión de riesgos asociados con terceros.
• Responsabilidades: Asignar responsabilidades para la gestión de la seguridad externa, incluyendo la identificación y evaluación de riesgos, auditorías y la supervisión de proveedores.
• Requisitos de Seguridad para Proveedores: Establecer los requisitos mínimos de seguridad que los proveedores deben cumplir (por ejemplo, cifrado de datos, control de accesos, respuesta ante incidentes, etc.).
• Gestión de Accesos: Definir cómo se gestionará el acceso a la información sensible por parte de los proveedores (acceso basado en necesidad, acceso restringido, etc.).
• Gestión de Incidentes de Seguridad: Detallar los procedimientos para la notificación y gestión de incidentes de seguridad que involucren a proveedores externos.
• Cumplimiento con Normativas: Asegurar el cumplimiento con regulaciones de seguridad aplicables, como el GDPR para la privacidad de los datos personales y otros estándares internacionales.
B. Política de Privacidad Externa (ISO 27701)
• Propósito: Proteger los datos personales de los individuos en todas las relaciones externas, garantizando que los proveedores gestionen los datos personales de acuerdo con las leyes y regulaciones aplicables.
• Alcance: Especificar qué datos personales se comparten con los proveedores y las condiciones bajo las cuales se procesan esos datos.
• Derechos de los Sujetos de Datos: Establecer cómo los proveedores deben garantizar los derechos de los individuos (acceso, rectificación, cancelación, etc.).
• Requisitos de Privacidad: Incluir requisitos específicos para los proveedores sobre la gestión de datos personales, como el uso de cifrado y pseudonimización, así como la obligación de realizar evaluaciones de impacto en la privacidad (DPIA).
• Notificación de Brechas de Seguridad: Detallar cómo los proveedores deben informar cualquier brecha de seguridad que comprometa la privacidad de los datos personales.
• Cumplimiento con Legislación de Privacidad: Asegurar que los proveedores cumplan con normativas locales e internacionales de privacidad (por ejemplo, GDPR, CCPA, etc.).
2. Procedimientos de Seguridad de la Información Externa (ISO 27001 y 27701)
Los procedimientos son las actividades detalladas que deben seguirse para garantizar el cumplimiento de la política de seguridad de la información externa. Estos procedimientos deben ser claros, operativos y documentados.
A. Procedimiento de Evaluación de Riesgos de Proveedores
• Objetivo: Identificar y evaluar los riesgos asociados con las relaciones externas antes de que un proveedor o tercero sea contratado.
• Acciones:
❖ Realizar un análisis de riesgo previo para evaluar los posibles impactos de seguridad y privacidad que un proveedor puede representar.
❖ Evaluar el tipo de acceso a la información que el proveedor necesitará (sistemas, bases de datos, redes, etc.).
❖ Verificar si el proveedor tiene controles de seguridad apropiados (certificaciones, prácticas de seguridad, etc.).
❖ Realizar una evaluación de impacto en la privacidad (DPIA) cuando se procesen datos personales.
B. Procedimiento de Selección y Contratación de Proveedores
• Objetivo: Asegurar que los proveedores seleccionados cumplan con los requisitos de seguridad y privacidad de la organización.
• Acciones:
❖ Evaluar las capacidades de seguridad del proveedor, sus prácticas de gestión de datos y su historial de cumplimiento de normativas.
❖ Establecer acuerdos contractuales que especifiquen las responsabilidades del proveedor en cuanto a seguridad y privacidad.
❖ Incluir cláusulas sobre auditorías, acceso a registros y procedimientos en caso de incidentes de seguridad.
C. Procedimiento de Gestión de Incidentes de Seguridad Externos
• Objetivo: Definir cómo se manejarán los incidentes de seguridad que involucren a proveedores y terceros.
• Acciones:
❖ Definir el proceso de notificación de incidentes de seguridad (tiempos de respuesta, niveles de escalamiento, responsabilidades).
❖ Establecer un protocolo para investigar y mitigar incidentes de seguridad.
❖ Coordinar con proveedores para evaluar el impacto y determinar acciones correctivas.
D. Procedimiento de Auditoría y Monitoreo de Proveedores
• Objetivo: Monitorear y auditar las prácticas de seguridad de los proveedores durante el contrato para asegurar el cumplimiento continuo.
• Acciones:
❖ Realizar auditorías periódicas de seguridad y privacidad de los proveedores.
❖ Establecer indicadores de desempeño y métricas de seguridad para evaluar el cumplimiento de los proveedores.
❖ Implementar un sistema para la revisión de los informes de auditoría y las acciones correctivas.
E. Procedimiento de Gestión de Subprocesadores (ISO 27701)
• Objetivo: Asegurar que los subprocesadores de los proveedores cumplan con los mismos estándares de seguridad y privacidad.
• Acciones:
❖ Verificar que los subprocesadores cumplan con los requisitos de protección de datos.
❖ Incluir cláusulas en los contratos que exijan a los proveedores subcontratar solo a aquellos que cumplan con las normativas de privacidad y seguridad.
3. Registros de Seguridad de la Información Externa (ISO 27001 y 27701)
Los registros son evidencias documentales que demuestran que se están llevando a cabo las actividades definidas en las políticas y procedimientos. Los registros deben ser accesibles, controlados y conservados por el tiempo requerido para cumplir con las normativas.
A. Registros de Evaluación de Riesgos
• Descripción: Documentación de las evaluaciones de riesgos realizadas a los proveedores antes de la selección y durante el ciclo de vida de la relación comercial.
• Elementos clave: Evaluación de los riesgos potenciales, la clasificación de los activos, el impacto potencial y las medidas de mitigación recomendadas.
B. Registros de Contratos y Acuerdos con Proveedores
• Descripción: Copias de los contratos que incluyen los requisitos de seguridad y privacidad acordados con los proveedores.
• Elementos clave: Cláusulas de seguridad, acuerdos de procesamiento de datos, obligaciones de privacidad, términos de auditoría y medidas en caso de incidentes.
C. Registros de Incidentes de Seguridad Externos
• Descripción: Detalles de los incidentes de seguridad que involucren a proveedores, incluyendo el tipo de incidente, la respuesta, las acciones correctivas y las lecciones aprendidas.
• Elementos clave: Descripción del incidente, evaluación del impacto, medidas correctivas y preventivas adoptadas.
D. Registros de Auditorías de Proveedores
• Descripción: Registros de las auditorías realizadas para evaluar el cumplimiento de los proveedores con las políticas de seguridad y privacidad.
• Elementos clave: Resultados de la auditoría, hallazgos, acciones correctivas y fecha de la siguiente auditoría programada.
E. Registros de Formación y Capacitación de Proveedores
• Descripción: Registros de las actividades de formación realizadas tanto para los empleados internos como para los proveedores sobre las políticas de seguridad y privacidad.
• Elementos clave: Fecha, contenido de la formación, participantes y evaluación de la efectividad.
7. DISTRIBUCIÓN E IMPLEMENTACIÓN
La distribución e implementación de la Política de Seguridad de la Información Externa bajo las normas ISO 27001 y ISO 27701 es crucial para garantizar que todos los stakeholders involucrados en la cadena de suministro, incluyendo proveedores, socios comerciales, y subcontratistas, comprendan y cumplan con los requisitos establecidos para proteger la información y los datos personales. La implementación efectiva de estas políticas no solo fortalece la seguridad y la privacidad, sino que también asegura el cumplimiento con las normativas internacionales.
1. Distribución de la Política de Seguridad de la Información Externa (ISO 27001 y 27701)
A. Asegurar la Aprobación y Compromiso de la Alta Dirección
• La política debe ser aprobada por la alta dirección antes de su implementación. Esto garantiza el compromiso de los líderes de la organización con la seguridad de la información y la privacidad.
• La alta dirección debe comunicar la importancia de la política a todas las partes interesadas y garantizar que se le dé el debido soporte y recursos.
B. Comunicación Interna
• La política debe ser distribuida internamente a todos los empleados y departamentos que tengan contacto con proveedores, socios externos o manejan datos personales.
❖ Enviar copias electrónicas de la política a los empleados a través del sistema de gestión interna de la organización.
❖ Publicar la política en una intranet accesible para todos los miembros de la organización.
❖ Proveer formación y sesiones informativas periódicas para los empleados sobre las implicaciones de la política.
C. Comunicación con Proveedores y Partes Externas
• Enviar la política a los proveedores, socios y terceros con los que la organización interactúa. Esta distribución debe realizarse como parte del proceso de contratación y se debe incluir como un anexo en los contratos o acuerdos.
• Incluir los requisitos de seguridad y privacidad en los contratos de servicio o acuerdos de procesamiento de datos, detallando los compromisos que los proveedores deben asumir en relación con la protección de la información.
• Exigir que los proveedores firmen un acuerdo que demuestre que han leído y aceptan las políticas de seguridad y privacidad.
D. Uso de Herramientas de Comunicación Formal
• Utilizar herramientas formales como boletines electrónicos, plataformas de gestión de contratos y sistemas de gestión de proveedores para asegurar que todos los interesados estén al tanto de la política y sus implicaciones.
• Las organizaciones deben mantener un registro formal de la distribución de la política y la confirmación de recepción por parte de proveedores y partes externas.
2. Implementación de la Política de Seguridad de la Información Externa (ISO 27001 y 27701)
A. Establecimiento de un Plan de Implementación
La implementación de la política debe ser gestionada a través de un plan detallado que cubra los siguientes aspectos:
• Identificación de Responsables: Nombrar a los responsables de llevar a cabo la implementación de la política tanto a nivel interno (por ejemplo, responsables de seguridad de la información, privacidad, gestión de proveedores) como externo (gestores de contratos, responsables de seguridad de proveedores).
• Cronograma de Implementación: Establecer un cronograma con plazos claros para la introducción de la política y la ejecución de los controles de seguridad con los proveedores.
• Recursos Necesarios: Determinar los recursos necesarios para la implementación, como herramientas de gestión de riesgos, plataformas de auditoría, equipos de formación y recursos humanos.
B. Integración con el Sistema de Gestión de Seguridad de la Información (SGSI)
• La política de seguridad externa debe integrarse con el Sistema de Gestión de Seguridad de la Información (SGSI) de la organización, según lo estipulado en la norma ISO 27001.
• El SGSI debe incluir:
❖ Gestión de riesgos: Incorporar la identificación y mitigación de riesgos relacionados con terceros en el proceso de gestión de riesgos.
❖ Controles de seguridad: Asegurarse de que los controles establecidos en la política de seguridad externa se implementen adecuadamente, como el acceso restringido, el cifrado de datos y la protección contra malware.
❖ Monitoreo: Establecer sistemas de monitoreo continuo para garantizar que los proveedores cumplan con los requisitos de seguridad y privacidad.
C. Capacitación y Concienciación
La formación es un componente clave en la implementación exitosa de la política, tanto para los empleados internos como para los proveedores externos.
• Formación interna: Organizar sesiones de capacitación sobre la política de seguridad de la información externa, haciendo hincapié en el manejo seguro de la información, la gestión de datos personales y los requisitos para tratar con proveedores.
• Formación para proveedores: Proveer materiales de formación o talleres informativos a los proveedores sobre los requisitos específicos de seguridad y privacidad establecidos en la política.
• Concienciación continua: Asegurar que los empleados y proveedores estén actualizados sobre las mejores prácticas y cambios en las normativas de seguridad y privacidad.
D. Implementación de Acuerdos Contractuales con Proveedores
La política debe ser formalizada a través de acuerdos contractuales con los proveedores y partes externas. Estos acuerdos deben incluir:
• Condiciones de seguridad: Asegurar que los proveedores implementen controles de seguridad adecuados, tales como cifrado de datos, autenticación, y protección contra accesos no autorizados.
• Compromiso con la privacidad: Incluir cláusulas específicas que obliguen a los proveedores a cumplir con los requisitos de privacidad de los datos personales (según ISO 27701), como la realización de Evaluaciones de Impacto en la Privacidad (DPIA) y el cumplimiento de regulaciones locales (GDPR, CCPA, etc.).
• Derechos de auditoría: Establecer el derecho de la organización para auditar y verificar el cumplimiento de la política de seguridad de los proveedores, incluyendo revisiones periódicas y la obligación de reportar cualquier incidente de seguridad.
E. Monitoreo y Auditoría
Es necesario implementar un proceso de monitoreo continuo para evaluar la efectividad de la política y garantizar que se mantenga el cumplimiento con las normativas ISO 27001 y 27701:
• Auditorías regulares: Realizar auditorías periódicas de los proveedores y las relaciones externas para asegurarse de que cumplan con los requisitos establecidos en la política. Estas auditorías pueden ser realizadas de manera interna o por terceros.
• Revisión de controles de seguridad: Evaluar la efectividad de los controles implementados por los proveedores y cómo estos contribuyen a proteger la información sensible y los datos personales.
• Informes de cumplimiento: Recopilar y revisar los informes de cumplimiento de los proveedores, asegurándose de que se documenten todas las medidas correctivas y las acciones adoptadas frente a incumplimientos.
3. Registros y Documentación para la Implementación
Es fundamental llevar un control riguroso de los registros y la documentación relacionados con la distribución e implementación de la política de seguridad de la información externa.
• Registro de distribución: Mantener un registro detallado de las partes internas y externas a las que se ha distribuido la política de seguridad de la información, junto con las fechas de distribución y confirmaciones de recepción.
• Documentación de auditoría: Guardar todos los informes de auditoría realizados a proveedores, incluidos los hallazgos, las medidas correctivas y los resultados de las verificaciones.
• Registros de capacitación: Documentar las actividades de formación realizadas tanto para empleados internos como para proveedores, incluyendo los temas tratados, las fechas de las sesiones y la asistencia.
8. PROHIBICIONES
Las prohibiciones dentro de la Política de Seguridad de la Información Externa bajo las normativas ISO 27001 y ISO 27701 son esenciales para proteger tanto la seguridad de la información como la privacidad de los datos personales cuando se gestionan en colaboración con proveedores y otras partes externas. Estas prohibiciones establecen lo que no se debe hacer para evitar brechas de seguridad, uso indebido de datos o cualquier otra acción que comprometa la confidencialidad, integridad o disponibilidad de la información.
1. Prohibiciones Relacionadas con el Acceso y Uso de la Información (ISO 27001)
A. Acceso No Autorizado a la Información
• Prohibición: No se permite que ningún proveedor, tercero o empleado tenga acceso a la información sensible o confidencial sin la debida autorización.
o Razonamiento: Asegura que solo las personas o entidades necesarias y con un propósito legítimo tengan acceso a la información.
o Ejemplo: Prohibición de acceso sin permisos explícitos, sin una razón de negocio o sin cumplir con controles adecuados de autenticación y autorización.
B. Uso de la Información para Fines No Acordados
• Prohibición: Los proveedores y terceros no deben utilizar la información proporcionada para fines distintos a los especificados en el contrato o acuerdo de servicio.
❖ Razonamiento: Previene el uso indebido o explotación de información que no ha sido autorizada para otros fines.
❖ Ejemplo: No se permite que los proveedores utilicen datos internos de clientes o información sensible para realizar marketing o fines comerciales sin el consentimiento expreso.
C. Modificación No Autorizada de la Información
• Prohibición: Los proveedores o terceros no deben modificar, alterar o eliminar datos sin la debida autorización.
❖ Razonamiento: Protege la integridad de los datos, asegurando que no se realicen alteraciones no autorizadas que puedan comprometer su precisión.
❖ Ejemplo: Prohibición de que un proveedor cambie los parámetros de seguridad de un sistema de información sin la aprobación explícita de la organización.
D. Compartir Información con Terceros No Autorizados
• Prohibición: Los proveedores no deben compartir ni divulgar la información proporcionada por la organización a otros terceros sin el consentimiento explícito y por escrito.
o Razonamiento: Previene la filtración no autorizada de información sensible.
o Ejemplo: Prohibición de que un proveedor de servicios de almacenamiento en la nube subcontrate el almacenamiento de datos sin la autorización correspondiente.
2. Prohibiciones Relacionadas con la Protección de Datos Personales (ISO 27701)
A. Procesamiento de Datos Personales sin Cumplir con la Legislación de Privacidad
• Prohibición: Los proveedores y terceros no deben procesar datos personales de forma que infrinja las leyes y regulaciones de privacidad aplicables, como el GDPR o la CCPA.
❖ Razonamiento: Garantiza que la privacidad de los datos personales de los individuos sea respetada y que se cumpla con las normativas legales.
❖ Ejemplo: No procesar datos personales fuera de la jurisdicción permitida por la ley o sin las medidas de protección adecuadas.
B. Transferencia de Datos Personales sin la Debida Protección
• Prohibición: La transferencia de datos personales a países fuera de la región de origen debe estar prohibida a menos que se implementen medidas de protección adecuadas, como cláusulas contractuales estándar o mecanismos de transferencia aprobados.
❖ Razonamiento: Protege la privacidad de los datos personales y asegura que se cumpla con las normativas internacionales sobre protección de datos.
❖ Ejemplo: No permitir que los proveedores transfieran datos personales fuera de la UE sin mecanismos de protección adecuados como las cláusulas contractuales estándar aprobadas por la Comisión Europea.
C. Uso de Datos Personales Sin el Consentimiento Adecuado
• Prohibición: Los proveedores no deben utilizar los datos personales para fines distintos a los que fueron originalmente proporcionados, a menos que se haya obtenido el consentimiento explícito de los individuos.
❖ Razonamiento: Evita el procesamiento excesivo o no autorizado de datos personales, asegurando el cumplimiento con los principios de minimización de datos.
❖ Ejemplo: No se debe permitir que los proveedores utilicen datos personales de clientes para realizar investigaciones de mercado o promociones sin el consentimiento expreso.
3. Prohibiciones Relacionadas con la Gestión de Seguridad de la Información (ISO 27001)
A. Falta de Implementación de Medidas de Seguridad
• Prohibición: Los proveedores y terceros deben implementar medidas de seguridad adecuadas para proteger la información de acuerdo con los requisitos establecidos en la política y los acuerdos contractuales.
❖ Razonamiento: Asegura que los proveedores implementen controles de seguridad para prevenir incidentes como accesos no autorizados o fugas de información.
❖ Ejemplo: Prohibición de que un proveedor maneje información sensible sin cifrado, sin autenticación multifactor o sin controles adecuados de acceso.
B. No Notificar Incidentes de Seguridad
• Prohibición: Los proveedores deben notificar inmediatamente cualquier incidente de seguridad que afecte a la información de la organización.
❖ Razonamiento: Garantiza que la organización pueda tomar las medidas correctivas necesarias para mitigar el impacto de un incidente de seguridad.
❖ Ejemplo: Prohibición de que un proveedor no reporte de manera oportuna un incidente de seguridad que comprometa datos personales o información confidencial.
C. Uso de Dispositivos No Seguros
• Prohibición: Está prohibido el uso de dispositivos o sistemas que no cumplan con los estándares de seguridad establecidos para el acceso a la información sensible.
❖ Razonamiento: Protege la información de accesos no autorizados o vulnerabilidades relacionadas con dispositivos inseguros.
❖ Ejemplo: Prohibición de que un proveedor acceda a sistemas de la organización desde dispositivos no protegidos o fuera de las redes autorizadas.
4. Prohibiciones Relacionadas con la Gestión de Contratos con Proveedores (ISO 27001 y 27701)
A. Subcontratación de Servicios sin Consentimiento
• Prohibición: Los proveedores no deben subcontratar servicios o actividades relacionadas con la gestión de la información sin el consentimiento previo y por escrito de la organización.
❖ Razonamiento: Impide que los proveedores transfieran responsabilidades de seguridad y privacidad a terceros sin el conocimiento y control adecuado de la organización.
❖ Ejemplo: Prohibición de que un proveedor subcontrate el servicio de almacenamiento de datos sin que la organización evalúe y apruebe el subcontratista.
B. Modificación de Acuerdos Contractuales sin Aprobación
• Prohibición: Los proveedores no deben modificar las condiciones del contrato relacionadas con la seguridad de la información y la privacidad sin la aprobación explícita de la organización.
❖ Razonamiento: Protege la integridad de los acuerdos y asegura que los términos de seguridad y privacidad sean respetados durante la relación comercial.
❖ Ejemplo: Prohibición de que un proveedor modifique sin consentimiento los términos de acceso a los sistemas de la organización o los procedimientos para gestionar incidentes de seguridad.
5. Prohibiciones Relacionadas con la Responsabilidad y Cumplimiento (ISO 27001 y 27701)
A. Ignorar Auditorías de Seguridad
• Prohibición: Los proveedores no deben ignorar o eludir las auditorías de seguridad o las revisiones de cumplimiento solicitadas por la organización.
❖ Razonamiento: Garantiza que los proveedores estén cumpliendo con los estándares de seguridad y privacidad acordados en los contratos y políticas.
❖ Ejemplo: Prohibición de que un proveedor no coopere con las auditorías de seguridad internas o de terceros.
B. No Cumplir con las Normas de Seguridad
• Prohibición: Los proveedores no deben incumplir las normas de seguridad de la información establecidas en la política, especialmente en lo que respecta al manejo de información confidencial o datos personales.
❖ Razonamiento: Evita que los proveedores incumplan las medidas de seguridad acordadas, lo que podría poner en riesgo la información sensible.
❖ Ejemplo: Prohibición de que un proveedor acceda a datos personales sin cumplir con los requisitos de protección de datos establecidos en la política de privacidad.
9. DISPOSICIONES FINALES
Las disposiciones finales de una Política de Seguridad de la Información Externa bajo las normas ISO 27001 y ISO 27701 tienen como objetivo establecer las directrices para asegurar la continuidad, la revisión, la mejora continua y el cumplimiento con las políticas de seguridad de la información y protección de datos personales. Estas disposiciones suelen ser las que consolidan la implementación efectiva de la política y permiten su actualización en caso de ser necesario.
1. Revisión y Actualización Periódica
• Disposición: La política de seguridad de la información externa debe ser revisada y actualizada periódicamente, al menos una vez al año, o cuando se produzcan cambios importantes en las actividades de la organización o en las regulaciones de seguridad de la información o privacidad.
❖ Razonamiento: La tecnología, los riesgos de seguridad y las normativas cambian con el tiempo, por lo que es importante asegurar que la política siga siendo relevante y efectiva.
❖ Acción: Se debe asignar una responsabilidad clara para la revisión de la política y sus procedimientos, con un proceso formal para aprobar las actualizaciones.
2. Aseguramiento del Cumplimiento
• Disposición: La organización debe garantizar que todos los proveedores, socios y terceros cumplan con los requisitos establecidos en la política de seguridad de la información y protección de datos personales, según lo estipulado en los contratos o acuerdos de servicio.
❖ Razonamiento: El cumplimiento continuo de las políticas es esencial para reducir riesgos y proteger la información sensible.
❖ Acción: Implementar un sistema de auditoría y monitoreo para verificar que los proveedores y partes externas cumplan con las directrices de seguridad y privacidad de la organización.
3. Consecuencias por Incumplimiento
• Disposición: La política debe establecer las consecuencias para aquellos proveedores o partes externas que no cumplan con las normas de seguridad de la información o privacidad de datos.
❖ Razonamiento: Las consecuencias claras sirven como un disuasivo y aseguran la seriedad en el cumplimiento de la política.
❖ Acción: Incluir una cláusula en los contratos de proveedores que establezca las consecuencias por no cumplir con los requisitos de seguridad, como sanciones contractuales o la terminación de la relación contractual.
4. Excepciones a la Política
• Disposición: La política debe especificar si existen situaciones excepcionales donde se puedan conceder excepciones a los procedimientos o controles establecidos.
❖ Razonamiento: En algunos casos, puede haber razones justificadas para desviar de ciertos procedimientos, pero siempre debe haber un proceso formal para autorizar estas excepciones.
❖ Acción: Definir un proceso formal para la aprobación de excepciones, asegurando que no se comprometa la seguridad o la privacidad en la organización ni con los proveedores.
5. Aceptación y Compromiso de los Proveedores y Terceros
• Disposición: Se debe obtener la confirmación por escrito de todos los proveedores y partes externas de que entienden, aceptan y cumplirán con las disposiciones de la política de seguridad de la información externa.
❖ Razonamiento: Asegurar que todos los involucrados estén comprometidos con los principios de seguridad y privacidad desde el inicio de la relación comercial.
❖ Acción: Incluir una cláusula en los contratos que exija que los proveedores firmen un compromiso de cumplimiento con la política y los procedimientos relacionados.
6. Mejora Continua
• Disposición: La organización debe fomentar la mejora continua de la política de seguridad de la información externa y sus controles relacionados.
❖ Razonamiento: La mejora continua es un principio clave de la norma ISO 27001 y ISO 27701, que permite a la organización adaptarse a nuevos riesgos, amenazas o requisitos regulatorios.
❖ Acción: Establecer mecanismos de retroalimentación, como encuestas de evaluación de proveedores, auditorías internas y revisiones de incidentes de seguridad, para identificar áreas de mejora.
7. Confidencialidad y Protección de la Información
• Disposición: Se debe garantizar la confidencialidad de la información contenida en la política y en los registros relacionados con su implementación.
❖ Razonamiento: La política de seguridad de la información es un documento sensible que debe ser manejado con cuidado para evitar divulgaciones no autorizadas.
❖ Acción: Establecer procedimientos claros sobre quién tiene acceso a la política y cómo se gestionan las copias físicas y electrónicas.
8. Documentación y Registros
• Disposición: Todos los registros relacionados con la implementación, revisión, auditoría y actualización de la política deben ser documentados y almacenados de manera segura.
❖ Razonamiento: La documentación adecuada es esencial para garantizar la trazabilidad y la responsabilidad, además de cumplir con los requisitos de auditoría y control.
❖ Acción: Implementar un sistema de gestión de documentos que permita almacenar los registros de manera segura y acceder a ellos en caso de ser necesarios para auditorías o revisiones de cumplimiento.
9. DEFINICIÓN DE RESPONSABILIDADES
• Disposición: La organización debe definir claramente las responsabilidades de todas las partes involucradas en la implementación y monitoreo de la política de seguridad de la información externa.
❖ Razonamiento: Es importante que cada actor sepa exactamente qué se espera de él para garantizar la implementación efectiva de la política.
❖ Acción: Asignar responsabilidades específicas para la gestión de la política a empleados internos, responsables de proveedores y otros stakeholders clave.
10. Respaldo Legal y Normativo
• Disposición: La política debe alinearse con las leyes locales, regionales e internacionales de seguridad de la información y protección de datos, como el Reglamento General de Protección de Datos (GDPR), la Ley de Privacidad de California (CCPA), y otras regulaciones aplicables.
❖ Razonamiento: Cumplir con las leyes y regulaciones es esencial no solo para evitar sanciones, sino también para mantener la confianza de los clientes y proveedores.
❖ Acción: Incluir referencias a las normativas relevantes y asegurar que la política se actualice conforme a las modificaciones de las leyes de seguridad de la información y privacidad.
11. Aplicabilidad
• Disposición: La política debe especificar claramente su aplicabilidad, indicando que se aplica tanto a las partes internas de la organización como a los proveedores y terceros con los que se maneja información sensible o datos personales.
❖ Razonamiento: Establece que todas las partes que interactúan con la información de la organización deben cumplir con los requisitos de seguridad de la información y protección de datos.
❖ Acción: Definir de manera explícita a quiénes afecta la política y asegurar que todas las partes involucradas la reconozcan.
10. NATURALEZA DE LOS CAMBIOS
| | | | |
| | Preparación inicial del documento | | |
