10 Mar Control 5.22 de ISO 27001: seguimiento y revisión de los servicios de los proveedores
En cualquier organización que implemente un Sistema de Gestión de Seguridad de la Información (SGSI) basado en la norma ISO/IEC 27001, los proveedores juegan un papel clave. Muchos servicios críticos dependen de terceros, como proveedores cloud, plataformas tecnológicas, soporte técnico o servicios de almacenamiento de datos.
El control 5.22 del Anexo A de ISO/IEC 27001 se centra precisamente en este aspecto: garantizar que los proveedores continúan cumpliendo los requisitos de seguridad y servicio acordados a lo largo del tiempo.
En este artículo explicamos qué exige este control, por qué es importante y cómo aplicarlo en la práctica.
¿Qué exige el control 5.22?
El control 5.22 establece que las organizaciones deben supervisar, revisar y gestionar los cambios relacionados con los servicios y las prácticas de seguridad de sus proveedores.
Esto implica demostrar que la organización supervisa regularmente las prácticas de seguridad de los proveedores, revisa los cambios que puedan producirse en la prestación de los servicios, evalúa si dichos cambios afectan a la seguridad de la información y toma medidas cuando se detectan desviaciones o riesgos.
En otras palabras, no basta con definir requisitos de seguridad en los contratos con proveedores. También es necesario comprobar periódicamente que dichos requisitos continúan cumpliéndose.
Objetivo del control
El objetivo principal del control 5.22 es mantener el nivel de seguridad de la información y la calidad del servicio acordados con los proveedores.
Para conseguirlo, las organizaciones deben verificar de forma periódica que los proveedores siguen cumpliendo los compromisos establecidos en los contratos o acuerdos de servicio.
Este control cubre los tres pilares fundamentales de la seguridad de la información. La disponibilidad garantiza que los servicios funcionen según lo acordado. La integridad asegura que la información no sea alterada de forma indebida. La confidencialidad protege los datos frente a accesos no autorizados.
Una supervisión adecuada permite detectar problemas antes de que se conviertan en incidentes de seguridad.
Seguimiento de proveedores
Durante la prestación de un servicio pueden aparecer señales que indiquen problemas en el cumplimiento de los acuerdos. Por ejemplo, un servicio puede sufrir interrupciones con mayor frecuencia de lo previsto, pueden producirse cambios en la infraestructura tecnológica del proveedor, pueden aparecer incidentes de seguridad que afecten a los datos o pueden modificarse las políticas de seguridad o privacidad.
Además, los proveedores pueden experimentar cambios internos que afecten a sus servicios, como fusiones empresariales, reorganizaciones internas o dificultades financieras. Estas situaciones pueden tener un impacto directo en la disponibilidad, integridad o confidencialidad de la información.
Por este motivo, resulta recomendable asignar la gestión de las relaciones con proveedores a personas o equipos específicos dentro de la organización. Estos responsables deben disponer de los conocimientos técnicos necesarios y acceso a los contratos para evaluar correctamente el cumplimiento de los acuerdos.
Cómo supervisar a los proveedores
La supervisión de proveedores puede realizarse mediante diferentes mecanismos, dependiendo del nivel de riesgo asociado.
Entre las prácticas más habituales se encuentran el envío de cuestionarios de seguridad al proveedor, la realización de autoevaluaciones basadas en auditorías internas, la organización de reuniones periódicas para revisar el desempeño del servicio, la revisión de informes de seguridad o cumplimiento y la realización de auditorías independientes.
En algunos casos también pueden llevarse a cabo evaluaciones en las instalaciones del proveedor o revisiones técnicas más detalladas.
Sin embargo, no todos los proveedores permiten auditorías directas o acceso completo a sus prácticas de seguridad. En estas situaciones, la organización debe valorar si el nivel de transparencia ofrecido es suficiente para mantener la relación contractual.
Revisión de proveedores
Además del seguimiento continuo, el control 5.22 exige realizar revisiones periódicas del desempeño de los proveedores.
Durante estas revisiones se analiza la información recopilada en el proceso de supervisión para determinar si el proveedor continúa cumpliendo los acuerdos establecidos, si se han producido incidentes de seguridad relevantes, si es necesario modificar el contrato o los requisitos de seguridad o si conviene buscar un proveedor alternativo.
En muchos casos, los resultados de estas revisiones se presentan a la dirección durante la revisión del sistema de gestión de seguridad de la información.
Relación con el GDPR
Cuando los proveedores procesan datos personales, también es necesario considerar los requisitos del General Data Protection Regulation.
Este reglamento establece que el responsable del tratamiento debe revisar periódicamente si el tratamiento de datos se realiza conforme a las evaluaciones de impacto realizadas previamente, especialmente cuando cambian los riesgos asociados al tratamiento.
Esto significa que la supervisión de proveedores también es un elemento clave para cumplir con las obligaciones de protección de datos.
Evaluación y acciones correctivas
Una vez revisada la información sobre los proveedores, la organización debe decidir qué acciones tomar.
Si se detectan problemas o desviaciones respecto a lo acordado, pueden solicitarse mejoras en las prácticas de seguridad del proveedor, actualizar los acuerdos o requisitos contractuales, implementar controles adicionales o, en situaciones graves, finalizar la relación contractual.
La capacidad de tomar este tipo de decisiones demuestra que la organización gestiona activamente los riesgos asociados a sus proveedores.
Aplicabilidad del control
No todos los proveedores requieren el mismo nivel de supervisión. Por este motivo, el control 5.22 debe aplicarse teniendo en cuenta el análisis de riesgos de la organización.
Los proveedores que gestionan información sensible o servicios críticos deberían recibir un nivel de supervisión mayor que aquellos cuyo impacto en la seguridad es menor.
Conclusión
El control 5.22 de ISO 27001 recuerda que la seguridad de la información no termina en los límites de la organización. Los proveedores forman parte del ecosistema tecnológico y pueden influir directamente en la protección de los datos y en la continuidad de los servicios.
Supervisar, revisar y evaluar regularmente a los proveedores permite detectar riesgos a tiempo, mantener el cumplimiento de los acuerdos y garantizar que la seguridad de la información se mantiene en toda la cadena de suministro.
Aplicar correctamente este control no solo ayuda a cumplir con ISO 27001, sino que también fortalece la confianza en las relaciones con proveedores y clientes.