14 Adquisicin, desarrollo y mantenimiento del sistema

14.1 Requisitos de seguridad de los sistemas de informacin

Objetivo:
Asegurar que la seguridad de la informacin es una parte integral de los
sistemas de informacin a lo largo de todo el ciclo de vida. Esto tambin incluye
los requisitos para los sistemas de informacin, que proporcionan servicios
sobre las redes pblicas.

14.1.1 Anlisis y especificaciones de los requisitos de seguridad de

la informacin
Controlar
Los requisitos relacionados con la seguridad de la informacin deben incluirse
en los requisitos para nuevos sistemas de informacin o mejoras en los
sistemas de informacin existentes.

Gua de implementacin
Los requisitos de seguridad de la informacin deben identificarse usando varios
mtodos tales como derivar requisitos de cumplimiento de polticas y
regulaciones, modelado de amenazas, revisiones de incidentes o uso de
umbrales de vulnerabilidad. Los resultados de la identificacin deben ser
documentados y revisados por todas las partes interesadas.

Los requisitos y controles de seguridad de la informacin deben reflejar el valor

comercial de la informacin involucrada (ver 8.2) y el posible impacto negativo
en el negocio que puede resultar de la falta de seguridad adecuada

La identificacin y gestin de los requisitos de seguridad de la informacin y los

procesos asociados deben integrarse en las etapas iniciales de los proyectos
de sistemas de informacin. La consideracin temprana de los requisitos de
seguridad de la informacin, por ejemplo, en la fase de diseo, puede conducir
a soluciones ms eficaces y rentables.

Los requisitos de seguridad de la informacin tambin deberan considerar:

a) El nivel de confianza requerido para la identidad reclamada de los

usuarios, con el fin de derivar los requisitos de autenticacin del usuario;
b) Acceso a procesos de aprovisionamiento y autorizacin, tanto para
usuarios empresariales como para usuarios privilegiados o tcnicos;
 c) Informar a los usuarios y operadores de sus funciones y
responsabilidades;
d) Las necesidades de proteccin requeridas de los activos
involucrados, en particular en cuanto a disponibilidad, confidencialidad e
integridad;
e) Los requisitos derivados de los procesos empresariales, tales como el
registro y seguimiento de transacciones, los requisitos de no rechazo;
f) Requisitos exigidos por otros controles de seguridad, por ejemplo,
interfaces con los sistemas de registro y vigilancia o de deteccin de
fugas de datos.

Para las aplicaciones que proporcionan servicios a travs de redes pblicas o

que implementan transacciones, deben considerarse los controles dedicados
14.1.2 y 14.1.3.

Si se adquieren productos, se debe seguir un proceso formal de prueba y

adquisicin. Los contratos con el proveedor deben abordar los requisitos de
seguridad identificados. Cuando la funcionalidad de seguridad en un producto
propuesto no cumpla con el requisito especificado, el riesgo introducido y los
controles asociados deben ser reconsiderados antes de comprar el producto.

Se debe evaluar e implementar la gua disponible para la configuracin de

seguridad del producto alineada con el software final / servicio de ese sistema.

Los criterios de aceptacin de los productos deben definirse por ejemplo en

funcin de su funcionalidad, lo que garantiza que se cumplen los requisitos de
seguridad identificados. Los productos deben evaluarse en funcin de estos
criterios antes de la adquisicin. Se debe revisar la funcionalidad adicional para
asegurarse de que no introduce riesgos adicionales inaceptables.

Otra informacin
ISO / IEC 27005 [11] e ISO 31000 [27] proporcionan orientacin sobre el uso de
los procesos de gestin de riesgos para identificar los controles que cumplan
los requisitos de seguridad de la informacin.

14.1.2 Asegurar servicios de aplicacin en redes pblicas

Controlar
La informacin involucrada en los servicios de aplicacin que pasan por redes
pblicas debe estar protegida contra actividades fraudulentas, conflictos
contractuales, divulgacin y modificaciones no autorizadas.

Gua de implementacin
Las consideraciones de seguridad de la informacin para los servicios de
aplicacin que pasan por redes pblicas deben incluir lo siguiente:

a) El nivel de confianza que cada parte requiere en la identidad

reivindicada de los dems, por ejemplo mediante la autenticacin;
b) Los procesos de autorizacin asociados con quienes pueden aprobar
contenido, emitir o firmar documentos transaccionales clave;
c) Velar por que los interlocutores que se comuniquen estn plenamente
informados de sus autorizaciones para la prestacin o utilizacin del
servicio;
d) Determinar y cumplir los requisitos de confidencialidad, integridad,
prueba de envo y recepcin de los documentos clave y no rechazo de
los contratos, por ejemplo, relacionados con licitaciones y procesos
contractuales;
e) El nivel de confianza requerido en la integridad de los documentos
clave;
f) Los requisitos de proteccin de cualquier informacin confidencial;
g) La confidencialidad e integridad de cualquier transaccin de rdenes,
informacin de pago, detalles de direccin de entrega y confirmacin de
recibos;
h) El grado de verificacin adecuado para verificar la informacin de
pago suministrada por un cliente;
i) Seleccionar la modalidad de pago ms adecuada para protegerse
contra el fraude;
j) El nivel de proteccin requerido para mantener la confidencialidad e
integridad de la informacin de la orden;
k) Evitar la prdida o duplicacin de la informacin de la transaccin;
l) Responsabilidad asociada con cualquier transaccin fraudulenta;
m) Requisitos de seguro.

Muchas de las consideraciones anteriores pueden abordarse mediante la

aplicacin de controles criptogrficos (vase la Clusula 10), teniendo en
cuenta el cumplimiento de los requisitos legales (ver Clusula 18,
especialmente ver 18.1.5 para la legislacin de criptografa).
Los acuerdos de servicios de aplicacin entre los socios deberan estar
respaldados por un acuerdo documentado que comprometa a ambas partes en
los trminos de los servicios acordados, incluyendo detalles de la autorizacin.

Deben considerarse los requisitos de resistencia contra ataques, que pueden

incluir requisitos para proteger los servidores de aplicaciones involucrados o
asegurar la disponibilidad de interconexiones de red necesarias para entregar
el servicio.

Otra informacin
Las aplicaciones accesibles a travs de redes pblicas estn sujetas a una
serie de amenazas relacionadas con la red, tales como actividades
fraudulentas, disputas contractuales o divulgacin de informacin al
pblico. Por lo tanto, son indispensables las evaluaciones detalladas del riesgo
y la seleccin adecuada de los controles. Los controles necesarios incluyen a
menudo mtodos criptogrficos para la autenticacin y la transferencia de
datos.

Los servicios de aplicacin pueden hacer uso de mtodos seguros de

autenticacin, por ejemplo, utilizando criptografa de clave pblica y firmas
digitales (ver Clusula 10) para reducir los riesgos. Adems, se pueden utilizar
terceros de confianza, donde se necesitan dichos servicios.

14.1.3 Proteccin de transacciones de servicios de aplicaciones

Controlar
La informacin involucrada en las transacciones de servicios de aplicaciones
debe estar protegida para evitar la transmisin incompleta, el enrutamiento
errneo, la alteracin no autorizada de mensajes, la divulgacin no autorizada,
la duplicacin no autorizada de mensajes o la repeticin.

Gua de implementacin
Las consideraciones de seguridad de la informacin para transacciones de
servicios de aplicaciones deben incluir lo siguiente:

a) El uso de firmas electrnicas por cada una de las partes involucradas

en la transaccin;
b) Todos los aspectos de la transaccin, es decir, garantizar que:
 1) La informacin de autenticacin secreta del usuario de todas
las partes es vlida y verificada;
2) La transaccin sigue siendo confidencial;
3) La privacidad asociada con todas las partes implicadas se
conserva;
c) El camino de comunicaciones entre todas las partes involucradas est
cifrado;
d) Asegurar los protocolos utilizados para comunicar todas las partes
involucradas;
e) Garantizar que el almacenamiento de los datos de la transaccin se
encuentre fuera de cualquier entorno accesible al pblico, por ejemplo,
en una plataforma de almacenamiento existente en la intranet de la
organizacin y no retenido y expuesto en un medio de almacenamiento
directamente accesible desde Internet;
f) Cuando se utiliza una autoridad de confianza (por ejemplo, con el
propsito de emitir y mantener firmas digitales o certificados digitales), la
seguridad se integra en todo el proceso completo de gestin de
certificados.

Otra informacin
El alcance de los controles adoptados debe ser proporcional al nivel del riesgo
asociado con cada forma de transaccin de servicio de aplicacin.

Es posible que las transacciones tengan que cumplir con los requisitos legales
y reglamentarios en la jurisdiccin de la que se genera la transaccin,
procesada a travs de, completada o almacenada en.

14.2 Seguridad en los procesos de desarrollo y soporte

Objetivo:
Asegurar que la seguridad de la informacin est diseada e implementada
dentro del ciclo de vida del desarrollo de los sistemas de informacin.

14.2.1 Asegurar la poltica de desarrollo

Controlar
Las reglas para el desarrollo de software y sistemas deben ser establecidas y
aplicadas a los desarrollos dentro de la organizacin.

Gua de implementacin
El desarrollo seguro es un requisito para construir un servicio, una arquitectura,
un software y un sistema seguros.

Dentro de una poltica de desarrollo segura, deben considerarse los siguientes

aspectos:

a) Seguridad del entorno de desarrollo;

b) Orientacin sobre la seguridad en el ciclo de vida del desarrollo de
software:
1) Seguridad en la metodologa de desarrollo de software;
2) Guas de codificacin seguras para cada lenguaje de
programacin utilizado;
c) Requisitos de seguridad en la fase de diseo;
d) Puntos de control de seguridad dentro de los hitos del proyecto;
e) Repositorios seguros;
f) Seguridad en el control de versiones;
g) Conocimiento de seguridad de los requerimientos de la aplicacin;
h) La capacidad de los desarrolladores de evitar, encontrar y corregir
vulnerabilidades.

Las tcnicas de programacin seguras deben utilizarse tanto para nuevos

desarrollos como para escenarios de reutilizacin de cdigo en los que los
estndares aplicados al desarrollo no se conozcan o no sean consistentes con
las mejores prcticas actuales. Deben considerarse las normas de codificacin
segura y, cuando sea pertinente, deben ser utilizadas.

Los desarrolladores deben ser entrenados en su uso, las pruebas y la revisin

del cdigo debe verificar su uso.

Si el desarrollo es externalizado, la organizacin debe obtener garantas de que

la parte externa cumple con estas reglas para un desarrollo seguro (vase
14.2.7).

Otra informacin
El desarrollo tambin puede tener lugar dentro de aplicaciones, como
aplicaciones de oficina, scripts, navegadores y bases de datos.

14.2.2 Procedimientos de control del cambio del sistema

Controlar
Los cambios en los sistemas dentro del ciclo de vida del desarrollo deben ser
controlados mediante el uso de procedimientos formales de control de cambios.
Gua de implementacin
Los procedimientos formales de control de cambios deben documentarse y
aplicarse para garantizar la integridad del sistema, las aplicaciones y los
productos, desde las primeras etapas de diseo hasta todos los esfuerzos
subsiguientes de mantenimiento.

La introduccin de nuevos sistemas y cambios importantes en los sistemas

existentes debera seguir un proceso formal de documentacin, especificacin,
pruebas, control de calidad y aplicacin gestionada.

Este proceso debe incluir una evaluacin del riesgo, un anlisis de los impactos
de los cambios y la especificacin de los controles de seguridad
necesarios. Este proceso tambin debe garantizar que los procedimientos de
seguridad y control existentes no se vean comprometidos, que los
programadores de soporte slo tengan acceso a las partes del sistema
necesarias para su trabajo y que se obtenga un acuerdo y aprobacin formal
para cualquier cambio.

Siempre que sea posible, se deben integrar los procedimientos de control de la

aplicacin y de los cambios operativos (vase 12.1.2). Los procedimientos de
control de cambios deben incluir pero no estar limitados a:

a) Mantener un registro de los niveles acordados de autorizacin;

b) Asegurar que los cambios sean presentados por usuarios autorizados;
c) Revisar los controles y los procedimientos de integridad para asegurar
que no se vern comprometidos por los cambios;
d) Identificacin de todo el software, informacin, entidades de base de
datos y hardware que requieran modificacin;
e) Identificar y verificar el cdigo crtico de seguridad para minimizar la
probabilidad de debilidades de seguridad conocidas;
f) Obtener la aprobacin formal de propuestas detalladas antes de que
comience el trabajo;
g) Garantizar que los usuarios autorizados acepten cambios antes de su
implementacin;
h) Garantizar que el conjunto de documentos del sistema se actualiza al
completar cada cambio y que la documentacin antigua se archiva o se
elimina;
i) Mantener un control de versiones para todas las actualizaciones de
software;
 j) Mantener una pista de auditora de todas las solicitudes de cambio;
k) Asegurarse de que la documentacin operacional (vase 12.1.1) y los
procedimientos del usuario se cambien segn sea necesario para seguir
siendo apropiados;
l) Asegurar que la implementacin de los cambios se realice en el
momento adecuado y no perturbe los procesos de negocio involucrados.

Otra informacin
El cambio de software puede afectar el entorno operativo y viceversa.

Las buenas prcticas incluyen la prueba de un nuevo software en un entorno

separado de los entornos de produccin y desarrollo (vase 12.1.4). Esto
proporciona un medio de control sobre el nuevo software y permite una
proteccin adicional de la informacin operacional que se utiliza para fines de
prueba. Esto debera incluir parches, paquetes de servicios y otras
actualizaciones.

Cuando se consideran las actualizaciones automticas, el riesgo para la

integridad y la disponibilidad del sistema debe sopesarse frente al beneficio de
un rpido despliegue de actualizaciones. Las actualizaciones automatizadas no
deben utilizarse en sistemas crticos, ya que algunas actualizaciones pueden
provocar fallas en las aplicaciones crticas.

14.2.3 Revisin tcnica de las aplicaciones despus de los cambios

en la plataforma operativa
Controlar
Cuando se cambian las plataformas operativas, las aplicaciones crticas para el
negocio deben ser revisadas y probadas para asegurar que no haya ningn
impacto adverso en las operaciones de la organizacin o en la seguridad

Gua de implementacin
Este proceso debe abarcar:

a) Revisin de los procedimientos de control e integridad de las

aplicaciones para asegurar que no hayan sido comprometidos por los
cambios en la plataforma operativa;
b) Asegurarse de que la notificacin de los cambios en las plataformas
de operaciones se proporcione a tiempo para permitir que se lleven a
cabo pruebas y revisiones apropiadas antes de su implementacin;
 c) Asegurar que se hagan cambios apropiados en los planes de
continuidad de negocio.

Otra informacin
Las plataformas operativas incluyen sistemas operativos, bases de datos y
plataformas middleware. El control tambin debe aplicarse para cambios de
aplicaciones.

14.2.4 Restricciones a los cambios en los paquetes de software

Controlar
Las modificaciones a los paquetes de software deberan ser rechazados,
limitados a cambios necesarios y todos los cambios deben estar estrictamente
controlados.

Gua de implementacin
En la medida que sea posible y factible, los paquetes de software
suministrados por el proveedor deben utilizarse sin modificaciones. Cuando un
paquete de software necesita ser modificado, deben tenerse en cuenta los
siguientes puntos:

a) El riesgo de que los controles internos y procesos de integracin sean

comprometidos;
b) Se debe obtener el consentimiento del vendedor;
c) La posibilidad de obtener los cambios requeridos del proveedor como
actualizaciones de programas estndar;
d) El impacto si la organizacin se hace responsable de mantenimiento
futuro del software como resultado de los cambios;
e) Compatibilidad con otro software en uso.

Si los cambios son necesarios el software original debe ser guardado y los
cambios aplicados a una copia designada. Se debe implementar un proceso de
administracin de actualizaciones de software para asegurar que los parches
aprobados y actualizaciones de aplicaciones ms recientes estn instalados
para todos los programas autorizados (Consulte 12.6.1). Todos los cambios
deben ser completamente probados y documentados, de modo que puedan ser
replicados, si es necesario, a futuras actualizaciones de software. Si es
necesario, las modificaciones deben ser probadas y validadas por un
organismo de evaluacin independiente.
14.2.5 Principios seguros de ingeniera de sistemas
Controlar
Los principios para la ingeniera de sistemas seguros deben establecerse,
documentarse, mantenerse y aplicarse a cualquier esfuerzo de implementacin
de sistema de informacin.

Gua de implementacin
Los procedimientos de ingeniera de sistemas seguros de informacin basados
en los principios de ingeniera de seguridad deben ser establecidos,
documentados y aplicados a las actividades de ingeniera de sistema de
informacin interna. La seguridad debe disearse en todas las capas de la
arquitectura (negocios, datos, aplicaciones y tecnologa) equilibrado la
necesidad de seguridad de la informacin con la necesidad de accesibilidad.
Se debe analizar la nueva tecnologa para los riesgos de seguridad y el diseo
debe ser revisado contra patrones de ataques conocidos.

Estos principios y procedimientos de ingeniera establecidos deben ser

revisados regularmente para asegurar que estn contribuyendo efectivamente
a mejorar las normas de seguridad dentro del proceso de ingeniera. Tambin
deberan revisarse peridicamente para asegurarse de que se mantengan
actualizados en lo que respecta a la lucha contra las nuevas amenazas
potenciales y al seguir aplicndose a los avances en las tecnologas y
soluciones aplicadas.

Los principios de ingeniera de seguridad establecidos deben aplicarse cuando

sea aplicable, a los sistemas de informacin subcontratados a travs de los
contratos y otros acuerdos vinculantes entre la organizacin y el proveedor a
quien la organizacin subcontrata. La organizacin debera confirmar que el
rigor de los principios de ingeniera de seguridad de los proveedores en
comparable con el suyo propio.

Otra informacin
Los procedimientos de desarrollo de aplicaciones deben aplicar tcnicas de
ingeniera seguras en el desarrollo de las aplicaciones que tengan interfaces de
entrada y salida. Las tcnicas de ingeniera seguras proporcionan orientacin
sobre tcnicas de autenticacin de usuarios, control de sesin seguro y
validacin de datos, limpieza y eliminacin de cdigos de depuracin.
14.2.6 Entorno de desarrollo seguro
Controlar
Las organizaciones deben establecer y proteger apropiadamente los entornos
de desarrollo seguro para el desarrollo del sistema y los esfuerzos de
integracin que cubren todo el ciclo de vida del desarrollo de sistema.

Gua de implementacin
Un entorno de desarrollo seguro incluye personas, procesos y tecnologas
asociados con el desarrollo e integracin de sistemas.

Las organizaciones deben evaluar los riesgos asociados con los esfuerzos
individuales de desarrollo del sistema y establecer entornos de desarrollo
seguros para los esfuerzos especficos de desarrollo del sistema,
considerando.

a) Sensibilidad de los datos a procesar, almacenar y transmitir por el

sistema;
b) Requisitos externos e internos aplicables, por ejemplo, reglas o polticas;
c) Controles de seguridad ya implementados por la organizacin que
apoyan el desarrollo del sistema;
d) Fiabilidad del personal que trabaja en el entorno (vase 7.1.1);
e) El grado de subcontratacin asociado con el desarrollo del sistema;
f) La necesidad de segregacin entre diferentes entornos de desarrollo;
g) Control del acceso al entorno de desarrollo;
h) Control de cambio del entorno y del cdigo almacenado en el mismo;
i) Las copias de seguridad se almacenan en ubicaciones externas
seguras;
j) Controlar el movimiento de datos desde y hacia el entorno.

Una vez que se determina el nivel de proteccin para un entorno de desarrollo

especifico, las organizaciones deben documentar los procesos
correspondientes en procedimientos seguros de desarrollo y proporcionarlos a
todas las personas que lo necesiten.

14.2.7 Desarrollo externalizado

Controlar
La organizacin debe supervisar y monitorear la actividad del desarrollo de
sistemas externalizados.

Gua de implementacin:
Cuando se subcontrata el desarrollo del sistema, se deben considerar los
siguientes puntos en toda la cadena de suministros externa de la organizacin.

a) Los acuerdos de licencia, la propiedad del cdigo y derechos de

propiedad intelectual relacionados con el contenido externalizado (vase
18.1.2);
b) Requisitos contractuales para practicas seguras del diseo , codificacin
y pruebas (vase 14.2.1);
c) Proporcionar al desarrollador externo el modelo de amenaza aprobado;
d) Pruebas de aceptacin de la calidad y exactitud de las entregas;
e) Proporcionar pruebas de que se utilizaron umbrales de seguridad para
establecer niveles mnimos aceptables de seguridad y calidad de la
privacidad;
f) Aportar pruebas de que se han aplicado pruebas suficientes para evitar
la ausencia de contenido malicioso tanto intencional como no deliberado
en el momento de la entrega;
g) Proporcionar pruebas de que se han aplicado suficientes pruebas para
prevenir la presencia de vulnerabilidades conocidas;
h) Acuerdos de custodia, por ejemplo, si el cdigo fuente ya no est
disponible;
i) Derecho contractual a auditar desarrollo de procesos y control;
j) Documentacin eficaz del entorno de compilacin utilizado para crear los
entregables;
k) La organizacin sigue siendo responsable del cumplimiento de las leyes
aplicables y verificacin de la eficiencia del control.

Otra informacin
Puede encontrar ms informacin sobre las relaciones con los proveedores en
ISO / IEC 27036.

14.2.8 Pruebas de seguridad del sistema

Controlar
Las pruebas de funcionalidad de seguridad deben realizarse durante el
desarrollo.

Gua de implementacin
Los sistemas nuevos y actualizados requieren pruebas y verificaciones
minuciosas durante los procesos de desarrollo, incluyendo la preparacin de un
calendario detallado de actividades e insumos de prueba y resultados
esperados bajo una serie de condiciones. Para los desarrollos internos, estas
pruebas deben ser realizadas inicialmente por el equipo de desarrollo. Debern
realizarse pruebas de aceptacin independientes (tanto para desarrollo internos
como externos) para asegurar que el sistema trabaje como se esperaba y solo
como se esperaba (vase 14.1.1 y 14.1.9). El grado de prueba debe ser
proporcional a la importancia y naturaleza del sistema.

14.2.9 Pruebas de aceptacin del Sistema

Control
Se deben establecer programas de pruebas de aceptacin y criterios
relacionados para los nuevos sistemas de informacin, actualizaciones y
nuevas versiones.

Gua de Implementacin
Las pruebas de aceptacin del sistema deben incluir pruebas de los requisitos
de seguridad de la informacin (ver 14.1.1 y 14.1.2) y unirse a las prcticas
seguras de desarrollo del sistema (ver 14.2.1). Las pruebas tambin deben
realizarse sobre los componentes recibidos y los sistemas integrados. Las
organizaciones pueden aprovechar herramientas automatizadas, como
herramientas de anlisis de cdigo o escneres de vulnerabilidad, y deben
verificar la correccin de defectos relacionados con la seguridad.

Las pruebas deben realizarse en un entorno de prueba realista para garantizar

que el sistema no introduzca vulnerabilidades en el entorno de la organizacin
y que las pruebas sean confiables.

14.3 Datos de Prueba

Objetivo:
Asegurar la proteccin de los datos utilizados para las pruebas.

14.3.1 Proteccin de los Datos de Prueba

Control
Los datos de la prueba deben seleccionarse cuidadosamente, protegerse y
controlarse.

Gua de Implementacin
Debe evitarse el uso de datos operativos que contengan informacin de
identificacin personal o cualquier otra informacin confidencial para fines de
prueba. Si se utiliza informacin de identificacin personal o informacin
confidencial para fines de prueba, todos los detalles y contenido sensibles
deben ser protegidos por remocin o modificacin (ver ISO / IEC 29101 [26]).

Se deben aplicar las siguientes reglas para proteger los datos operativos,
cuando se usen para fines de pruebas:

a) Los procedimientos de control de acceso, que se aplican a los

sistemas operativos de aplicacin, tambin deben aplicarse a los
sistemas de aplicacin de prueba;
b) Debe haber autorizacin separada cada vez que la informacin
operacional es copiada a un ambiente de prueba;
c) La informacin operacional debe ser borrada de un entorno de prueba
inmediatamente despus de que la prueba est completa;
d) La copia y el uso de la informacin operacional deben registrarse para
proporcionar una pista de auditora.

Otra informacin
Las pruebas de sistema y de aceptacin generalmente requieren volmenes
sustanciales de datos de prueba que estn lo ms cerca posible de los datos
operacionales.

15 Relaciones de Proveedores
15.1 Seguridad de la informacin en las relaciones con proveedores
Objetivo:
Asegurar la proteccin de los activos de la organizacin a los que pueden
acceder los proveedores.

15.1.1 Poltica de seguridad de la informacin para las relaciones

con proveedores
Control
Los requisitos de seguridad de la informacin para mitigar los riesgos
asociados con el acceso del proveedor a los activos de la organizacin deben
ser acordados con el proveedor y documentados.
Gua de Implementacin
La organizacin debe identificar y mandar controles de seguridad de la
informacin para abordar especficamente el acceso del proveedor a la
informacin de la organizacin en una poltica. Estos controles deben abordar
los procesos y procedimientos a ser implementados por la organizacin, as
como aquellos procesos y procedimientos que la organizacin debe requerir
que el proveedor implemente, incluyendo:

a) Identificar y documentar los tipos de proveedores, Ej. Servicios de TI,

servicios logsticos, servicios financieros, componentes de
infraestructura de TI, a los que la organizacin permitir acceder a su
informacin;
b) Un proceso normalizado y un ciclo de vida para gestionar las
relaciones con los proveedores;
c) Definir los tipos de acceso a la informacin que se permitir a los
diferentes tipos de proveedores y supervisar y controlar el acceso;
d) Requisitos mnimos de seguridad de la informacin para cada tipo de
informacin y tipo de acceso que sirvan de base para acuerdos de
proveedores individuales basados en las necesidades y requisitos de
negocio de la organizacin y su perfil de riesgo;
e) Procesos y procedimientos para monitorear el cumplimiento de los
requisitos establecidos de seguridad de la informacin para cada tipo de
proveedor y tipo de acceso, incluyendo la revisin por parte de terceros
y la validacin del producto;
f) Precisin e integridad para garantizar la integridad de la informacin o
el procesamiento de la informacin proporcionado por cualquiera de las
partes;
g) Tipos de obligaciones aplicables a los proveedores para proteger la
informacin de la organizacin;
h) Manejo de incidentes y contingencias asociadas con el acceso de
proveedores, incluyendo las responsabilidades tanto de la organizacin
como de los proveedores;
i) Resistencia y, en caso necesario, mecanismos de recuperacin y
contingencia para garantizar la disponibilidad de la informacin o el
procesamiento de informacin proporcionados por cualquiera de las
partes;
 j) Entrenamiento de concientizacin para el personal de la organizacin
involucrado en adquisiciones con respecto a polticas, procesos y
procedimientos aplicables;
k) Entrenamiento de concientizacin para el personal de la organizacin
que interacta con el personal del proveedor con respecto a reglas
apropiadas de compromiso y comportamiento basado en el tipo de
proveedor y el nivel de acceso del proveedor a los sistemas e
informacin de la organizacin;
l) Las condiciones bajo las cuales los requisitos y controles de seguridad
de la informacin sern documentados en un acuerdo firmado por
ambas partes;
m) Gestionar las transiciones necesarias de informacin, instalaciones
de procesamiento de la informacin y cualquier otra cosa que deba
moverse y garantizar que la seguridad de la informacin se mantenga a
lo largo del perodo de transicin.

Otra informacin
La informacin puede ser puesta en riesgo por los proveedores con una gestin
inadecuada de la seguridad de la informacin. Los controles deben ser
identificados y aplicados para administrar el acceso de los proveedores a las
instalaciones de procesamiento de informacin. Por ejemplo, si hay una
necesidad especial de confidencialidad de la informacin, se pueden usar
acuerdos de no divulgacin. Otro ejemplo son los riesgos de proteccin de
datos cuando el acuerdo de proveedor implica la transferencia de informacin a
travs de las fronteras o el acceso a ella. La organizacin debe ser consciente
de que la responsabilidad legal o contractual de proteger la informacin recae
en la organizacin.

15.1.2 Abordar la seguridad dentro de los acuerdos de proveedores

Control
Todos los requisitos relevantes de seguridad de la informacin deben
establecerse y acordarse con cada proveedor que pueda acceder, procesar,
almacenar, comunicar o proporcionar componentes de infraestructura de TI
para la informacin de la organizacin.
Gua de Implementacin
Los acuerdos de proveedores deben establecerse y documentarse para
asegurar que no haya malentendidos entre la organizacin y el proveedor
respecto a las obligaciones de ambas partes de cumplir con los requisitos de
seguridad de la informacin pertinentes.

Los siguientes trminos deberan considerarse para su inclusin en los

acuerdos a fin de satisfacer los requisitos identificados de seguridad de la
informacin:

a) Descripcin de la informacin que debe proporcionarse o acceso y

mtodos para proporcionar o acceder a la informacin;
b) Clasificacin de la informacin de acuerdo con el esquema de
clasificacin de la organizacin (ver 8.2); Si es necesario, el mapeo entre
el propio sistema de clasificacin de la organizacin y el esquema de
clasificacin del proveedor;
c) Los requisitos legales y reglamentarios, incluida la proteccin de
datos, los derechos de propiedad intelectual y los derechos de autor, y
una descripcin de la forma en que se garantizar su cumplimiento;
d) Obligacin de cada parte contratante de implementar un conjunto
acordado de controles incluyendo control de acceso, revisin de
desempeo, monitoreo, reporte y auditora;
e) Reglas de uso aceptable de la informacin, incluyendo el uso
inaceptable si es necesario;
f) Ya sea una lista explcita del personal del proveedor autorizado para
acceder o recibir la informacin de la organizacin o los procedimientos
o condiciones para la autorizacin y la remocin de la autorizacin para
el acceso o recepcin de la informacin de la organizacin por parte del
personal del proveedor;
g) Polticas de seguridad de la informacin relevantes para el contrato
especfico;
h) Requisitos y procedimientos de gestin de incidentes (especialmente
notificacin y colaboracin durante la remediacin de incidentes);
i) Requisitos de formacin y sensibilizacin para procedimientos
especficos y requisitos de seguridad de la informacin, p.
Procedimientos de autorizacin;
j) Los reglamentos pertinentes para la subcontratacin, incluidos los
controles que deben aplicarse;
 k) Los socios de los acuerdos pertinentes, incluida una persona de
contacto para cuestiones de seguridad de la informacin;
l) Los requisitos de cribado, si los hubiere, para el personal del
proveedor, incluidas las responsabilidades de llevar a cabo los
procedimientos de cribado y notificacin si no se ha completado el
cribado o si los resultados dan lugar a dudas o inquietudes;
m) Derecho a auditar los procesos y controles del proveedor
relacionados con el acuerdo;
n) Resolucin de defectos y procesos de resolucin de conflictos;
o) La obligacin del proveedor de presentar peridicamente un informe
independiente sobre la eficacia de los controles y el acuerdo sobre la
correccin oportuna de las cuestiones pertinentes planteadas en el
informe;
p) Obligaciones del proveedor de cumplir con los requisitos de seguridad
de la organizacin.

Otra informacin
Los acuerdos pueden variar considerablemente para diferentes organizaciones
y entre los diferentes tipos de proveedores. Por lo tanto, se debe tener cuidado
de incluir todos los riesgos y requisitos de seguridad de la informacin
pertinentes. Los acuerdos de proveedores tambin pueden implicar a otras
partes (por ejemplo, sub-proveedores).

Los procedimientos para continuar el procesamiento en caso de que el

proveedor se vea incapaz de suministrar sus productos o servicios deben ser
considerados en el acuerdo para evitar cualquier retraso en la organizacin de
productos o servicios de reemplazo.

15.1.3 Cadena de suministro de tecnologa de la informacin y las

comunicaciones
Controlar
Los acuerdos con proveedores deben incluir requisitos para abordar los riesgos
de seguridad de la informacin asociados con los servicios de tecnologa de la
informacin y comunicacin y la cadena de suministro de productos.

Gua de implementacin
Los siguientes temas deben considerarse para su inclusin en los acuerdos de
proveedores acerca de la seguridad de la cadena de suministro:

a) Definir los requisitos de seguridad de la informacin para aplicar a la

adquisicin de productos o servicios de tecnologa de la informacin y la
comunicacin, adems de los requisitos generales de seguridad de la
informacin para las relaciones con los proveedores;
b) Para los servicios de tecnologa de la informacin y la comunicacin,
se requiere que los proveedores divulguen los requisitos de seguridad
de la organizacin a travs de la cadena de suministros si los
proveedores subcontratan partes del servicio de tecnologa de la
informacin y la comunicacin proporcionadas a la organizacin;
c) Para los productos de tecnologa de la informacin y la comunicacin,
se requiere que los proveedores divulguen las prcticas de seguridad
apropiadas en toda la cadena de suministros si estos productos incluyen
componentes conseguidos de otros proveedores;
d) Implementar un proceso de monitoreo y mtodos aceptables para
validar que los productos y servicios de tecnologa de informacin y
comunicacin entregados cumplan con los requisitos de seguridad
establecidos;
e) Implementar un proceso para identificar componentes de productos o
servicios que son crticos para mantener la funcionalidad y por lo tanto
requieren mayor atencin e indagacin cuando se construyen fuera de la
organizacin, especialmente si el proveedor de nivel superior
subcontrata aspectos de componentes de productos o servicios a otros
proveedores;
f) Obtener garantas, en el que los componentes crticos y su origen
puedan rastrearse en toda la cadena de suministro;
g) Obtener garantas, en el que los productos de tecnologa de
informacin y comunicacin entregados funcionan como se espera sin
ninguna caracterstica inesperada o no deseada;
h) Definir reglas para compartir informacin sobre la cadena de
suministro y cualquier posible problema y compromiso entre la
organizacin y los proveedores;
i) Implementar procesos especficos para gestionar el ciclo de vida y la
disponibilidad de componentes de tecnologa de la informacin y la
comunicacin y los riesgos de seguridad asociados. Esto incluye la
 gestin de los riesgos en el que los componentes ya no estn
disponibles debido a que los proveedores ya no estn en el negocio o
los proveedores ya no proporcionan estos componentes debido a los
avances tecnolgicos.

Otra informacin

Las prcticas especficas de gestin de riesgos de la cadena de suministro de

las tecnologas de informacin y comunicacin se basan en la seguridad
general de la informacin, la calidad, la gestin de proyectos y las prcticas de
ingeniera de sistemas, pero no las reemplazan.

Se aconseja a las organizaciones que trabajen con los proveedores para

comprender la cadena de suministro de las tecnologas de informacin y
comunicacin y cualquier asunto que tenga un impacto importante en los
productos y servicios que se proporcionan. Las organizaciones pueden influir
en las prcticas de seguridad de la informacin de la cadena de suministro de
las tecnologas de informacin y comunicacin, dejando claro en acuerdos con
sus proveedores los problemas que deberan abordar otros proveedores en la
cadena de suministro de tecnologas de informacin y comunicacin.

La cadena de suministro de tecnologas de informacin y comunicacin, tal

como se trata aqu, incluye servicios de computacin en nube.

15.2 Gestin de la entrega de servicios de proveedores

Objetivo:
Para mantener un nivel acordado de seguridad de la informacin y prestacin
de servicios de acuerdo con los acuerdos con los proveedores.

15.2.1 Seguimiento y revisin de los servicios de proveedores

Controlar
Las organizaciones deben monitorear, revisar y evaluar regularmente la
prestacin de servicios de los proveedores.

Gua de implementacin
El monitoreo y revisin de los servicios de proveedores debe asegurar que los
trminos y condiciones de seguridad de la informacin de los acuerdos se
estn cumpliendo y que los incidentes y problemas de seguridad de la
informacin se gestionan adecuadamente.

Esto debe implicar un proceso de relacin de gestin de servicios entre la

organizacin y el proveedor para:

a) Monitorear los niveles de desempeo del servicio para verificar el

cumplimiento de los acuerdos;
b) Revisar los informes de servicio producidos por el proveedor y
organizar reuniones peridicas de progreso como lo requieren los
acuerdos;
c) Realizar auditoras de los proveedores, junto con la revisin de los
informes de auditores independientes, si estn disponibles, y darle
seguimiento a las cuestiones identificadas;
d) Proporcionar informacin sobre incidentes de seguridad de la
informacin y revisar esta informacin como lo requieren los acuerdos y
cualquier gua y procedimiento de apoyo;
e) Revisar los senderos de auditora de los proveedores y los registros
de los eventos de seguridad de la informacin, los problemas operativos,
los fallos, el seguimiento de las fallas y las interrupciones relacionadas
con el servicio prestado;
f) Resolver y gestionar cualquier problema identificado;
g) Revisar los aspectos de seguridad de la informacin de las relaciones
del proveedor con sus propios proveedores;
h) Asegurar que el proveedor mantiene suficiente capacidad de servicio
junto con planes viables diseados para asegurar que los niveles de
continuidad de servicio acordados se mantengan despus de fallas
importantes de servicio o desastre (ver Clusula 17).

La responsabilidad de gestionar las relaciones con los proveedores debe

asignarse a un equipo de gestin de servicios o de personal designado.
Adems, la organizacin debe asegurar que los proveedores asignen
responsabilidades para revisar el cumplimiento y hacer cumplir los requisitos de
los acuerdos. Debern disponerse de suficientes conocimientos y recursos
tcnicos para supervisar el cumplimiento de los requisitos del acuerdo, en
particular los requisitos de seguridad de la informacin se cumplen. Se deben
tomar medidas apropiadas cuando se observan deficiencias en la prestacin
del servicio.
La organizacin debe mantener un control y una visibilidad suficientes en todos
los aspectos de seguridad de la informacin sensible o crtica o de las
instalaciones de procesamiento de informacin accesibles, procesadas o
gestionadas por un proveedor. La organizacin debe mantener la visibilidad de
las actividades de seguridad, tales como la gestin del cambio, la identificacin
de vulnerabilidades y la informacin de incidentes de seguridad de la
informacin y la respuesta a travs de un proceso de informe definido.

15.2.2 Gestin de cambios en los servicios de proveedores

Controlar
Los cambios en la prestacin de servicios por parte de los proveedores,
incluido el mantenimiento y mejora de las polticas, procedimientos y controles
de seguridad de la informacin existentes, deben ser gestionados teniendo en
cuenta la importancia de la informacin comercial, los sistemas y procesos
implicados y la reevaluacin de los riesgos.

Gua de implementacin
Deben tenerse en cuenta los siguientes aspectos:

a) Cambios en acuerdos con proveedores;

b) Cambios realizados por la organizacin para implementar:
1) Mejoras en los servicios actuales ofrecidos;
2) Desarrollo de nuevas aplicaciones y sistemas;
3) Modificaciones o actualizaciones de las polticas y
procedimientos de la organizacin;
4) Controles nuevos o modificados para resolver incidentes de
seguridad de la informacin y mejorar la seguridad.
c) Cambios en los servicios de proveedores para implementar:
1) Cambios y mejoras a las redes;
2) El uso de nuevas tecnologas;
3) Adopcin de nuevos productos o versiones ms recientes;
4) Nuevas herramientas y entornos de desarrollo;
5) Cambios en la ubicacin fsica de las instalaciones de servicio;
6) Cambios de proveedores
7) Subcontratacin a otro proveedor.