09 Mar Control 5.19 de ISO 27001: Seguridad de la información en las relaciones con proveedores
En la mayoría de las organizaciones modernas, una parte importante de los servicios y sistemas depende de terceros. Desde plataformas cloud hasta servicios de mantenimiento, soporte técnico o gestión de datos, los proveedores forman parte esencial del funcionamiento del negocio. El control 5.19 de ISO/IEC 27001 aborda precisamente este aspecto: la gestión de los riesgos de seguridad de la información asociados a los proveedores.
Este control tiene como objetivo garantizar que las organizaciones identifiquen, evalúen y gestionen adecuadamente los riesgos derivados del uso de productos o servicios proporcionados por terceros.
¿Qué exige el control 5.19?
Para cumplir con este control, una organización debe demostrar que ha identificado y evaluado los riesgos de seguridad asociados a los proveedores. Además, debe haber definido procesos y procedimientos que permitan gestionar estos riesgos y establecer controles adecuados en las relaciones con terceros que puedan afectar a la seguridad de la información.
En otras palabras, no basta con contratar un proveedor para un servicio o producto. La organización debe asegurarse de que esa relación no compromete la confidencialidad, integridad o disponibilidad de la información.
Riesgos de seguridad relacionados con proveedores
Los proveedores pueden introducir riesgos en diferentes ámbitos. Muchas organizaciones dependen de terceros para almacenar datos, mantener sistemas, procesar información o proporcionar servicios esenciales para el negocio.
Por ejemplo, un proveedor de servicios cloud puede sufrir un incidente de seguridad que exponga datos de clientes. También puede producirse una interrupción del servicio de infraestructura que impida a la organización operar durante varias horas o incluso días.
Otro riesgo frecuente se produce cuando un proveedor procesa datos en países con legislación de protección de datos insuficiente. Asimismo, un proveedor que no aplica medidas de seguridad adecuadas puede permitir accesos no autorizados a información sensible.
Es importante tener en cuenta que estos riesgos no se limitan a proveedores tecnológicos. También pueden surgir en servicios aparentemente menos críticos, como empresas de limpieza, proveedores de archivo documental o servicios de impresión que puedan tener acceso a información confidencial.
Riesgos asociados a productos de proveedores
Los riesgos no solo aparecen cuando se contratan servicios, sino también cuando se adquieren productos de terceros. Equipos defectuosos, software vulnerable o dispositivos mal configurados pueden afectar directamente a la seguridad de los sistemas de la organización.
Por ejemplo, un fallo en hardware adquirido a un proveedor puede provocar la interrupción de sistemas importantes. Del mismo modo, el uso de software con errores puede generar información incorrecta o afectar al funcionamiento de procesos críticos.
También existen riesgos asociados a dispositivos conectados a Internet que cuentan con configuraciones de seguridad débiles. Incluso pueden encontrarse equipos de red con componentes inseguros o software malicioso integrado.
Por este motivo, las organizaciones deben evaluar no solo los servicios que contratan, sino también los productos que adquieren.
Política de relaciones con proveedores
Una de las principales recomendaciones del control 5.19 es establecer una política específica para la gestión de proveedores. Esta política debe definir cómo se gestionan las relaciones con terceros y qué requisitos de seguridad deben cumplir.
Un enfoque habitual consiste en clasificar a los proveedores según el tipo de servicio que prestan y el nivel de riesgo que representan para la organización. De esta forma se pueden diferenciar proveedores de servicios cloud, proveedores de software, proveedores de infraestructura, proveedores de servicios administrativos o proveedores de servicios auxiliares.
Una vez realizada esta clasificación, la organización puede establecer requisitos de seguridad específicos para cada categoría.
Por ejemplo, en el caso de proveedores tecnológicos, puede exigirse que dispongan de certificaciones reconocidas de seguridad de la información, que cumplan con la normativa de protección de datos, que notifiquen incidentes de seguridad y que garanticen niveles mínimos de disponibilidad del servicio. También es recomendable incluir la posibilidad de realizar auditorías de seguridad cuando sea necesario.
Procesos para gestionar proveedores
Además de establecer una política, el control 5.19 recomienda definir procesos que permitan gestionar los riesgos asociados a los proveedores durante todo el ciclo de vida de la relación.
En primer lugar, es necesario realizar una evaluación previa antes de contratar un proveedor. En esta fase se analizan los riesgos asociados a los productos o servicios que ofrece.
Posteriormente, deben definirse los requisitos de seguridad que se incluirán en las especificaciones del servicio o producto que se desea contratar.
Durante el proceso de selección, los proveedores deben evaluarse no solo por criterios económicos o técnicos, sino también por su capacidad para cumplir con los requisitos de seguridad establecidos.
Una vez elegido el proveedor, los contratos deben incluir cláusulas relacionadas con la seguridad de la información y las responsabilidades de cada parte.
En el caso de servicios cloud, también es importante definir una estrategia de salida que permita recuperar los datos o migrar los servicios si se decide cambiar de proveedor.
Finalmente, la organización debe realizar una supervisión continua del proveedor para verificar que se mantienen los niveles de seguridad acordados.
Importancia de la gestión de proveedores
Una gestión adecuada de los proveedores permite reducir los riesgos asociados a la cadena de suministro y proteger los activos de información de la organización.
En muchos casos, los incidentes de seguridad no se originan dentro de la propia empresa, sino en proveedores externos que tienen acceso a datos o sistemas. Por esta razón, las relaciones con proveedores deben gestionarse con el mismo nivel de atención que los sistemas internos.
Conclusión
El control 5.19 de ISO 27001 pone de manifiesto que la seguridad de la información no depende únicamente de las medidas internas de la organización. Los proveedores también forman parte del ecosistema de seguridad.
Identificar los riesgos asociados a terceros, establecer requisitos claros y supervisar su cumplimiento permite reducir significativamente la probabilidad de incidentes y proteger la información de la organización.
En un entorno cada vez más dependiente de servicios externos, gestionar adecuadamente las relaciones con proveedores se convierte en un elemento clave dentro del sistema de gestión de seguridad de la información.