ISO 27001 Gestión en la entrega de servicios por terceros y planificación de los sistemas

ISO 27001

ISO 27001, al igual que el resto de normas de la familia ISO 27000, se ocupa de numerosos aspectos relativos a la Seguridad de la Información. Entre esos aspectos se encuentran los que se detallan en este post: la gestión de la entrega de servicios realizada por terceros y la planificación y admisión del sistema.

Ambos son temas que mantienen en vilo a multitud de PYMEs, y que de no ejecutarlas correctamente podrían poner en peligro una buena parte de la información que estas manejan.

Gestión de la entrega de servicios realizada por terceros

Todas las organizaciones deberían tener un control sobre los servicios entregados, y verificar que la entrega se ha realizado según los requisitos acordados previamente.

Si la entrega de servicios se realiza mediante terceros, existirá un contrato en el que se expongan los compromisos respecto a la ejecución de los controles de seguridad apropiados y siempre en consonancia con el SGSI de ISO-27001. Antes de establecer ningún control es necesario realizar una evaluación de riesgos para garantizar que el servicio de entrega cumple con los niveles acordados.

Si estos terceros que hemos contratado necesitasen para el desempeño de su actividad que la organización le ceda información sensible, ésta deberá haber definido con anterioridad unos requisitos que ofrezcan la garantía de que no se va a afectar ni su confidencialidad, ni su integridad ni su disponibilidad.

Como medida de seguridad, si la empresa lo quiere así, se llevarán a cabo auditorías internas a los terceros contratados. Es un método para asegurar que están gestionando correctamente los incidentes de seguridad, que tienen un plan de continuidad de negocio apropiado y respetan los requisitos que establece el Sistema de Gestión de Seguridad de la Información ISO27001.

Finalmente, cuando dentro de una organización se produzca algún cambio, como puede ser en la evaluación de riesgos o en las políticas y procedimientos de la misma, que afecte a los servicios que prestan terceros, se debe supervisar su implantación.

Sea cual sea el servicio que una organización externalice, ésta tiene la obligación de planificar la transferencia de información que necesiten las terceras partes para asegurar que van a mantener los niveles de seguridad apropiados.

Planificación y admisión del sistema

Para garantizar la disponibilidad y capacidad del sistema se necesita una planificación previa para que funcione correctamente.

En esta planificación hay que tener en cuenta tanto los requisitos de capacidad futuros de los sistemas como los requisitos operacionales de los nuevos sistemas.

Cada actividad necesita de unos recursos que den respuesta a unas necesidades identificadas.

Por ello, resulta esencial prever los requisitos que el sistema necesita o va a necesitar para garantizar el comportamiento que se espera de él, y además considerar las nuevas actividades que puedan aparecer o actualizaciones de los sistemas ya existentes.

Cualquier actualización o un nuevo sistema no deben ponerse en marcha sin que antes sea aceptado formalmente. Para que esto ocurra se deben cumplir:

• Requisitos de funcionamiento.
• Procedimientos de recuperación y contingencia.
• Éxito de pruebas acordada.
• Requisitos de seguridad.

Además, se debe considerar el efecto que tendrá instalar un nuevo sistema en el resto de sistemas y en el conjunto global de la seguridad.

Sistema de Gestión de Riesgos y Seguridad

Si le gustaría saber más sobre la norma ISO 27001 u otras relacionadas con la familia de riesgos y seguridad visite: https://www.isotools.us/normas/riesgos-y-seguridad/