Evaluación de la gestión de riesgos de terceros con ISO 27001
Ver más detalles →Descripción
La norma ISO 27001 es una norma de seguridad de la información reconocida internacionalmente y utilizada en más de 100 países. En lo que respecta a la gestión de riesgos de terceros, proporciona un marco claro para identificar y gestionar los riesgos de los proveedores.
Únase al experto en cumplimiento normativo Thomas Humphreys mientras explica cómo se aplica la norma ISO 27001 a la gestión de riesgos de terceros.
En este seminario web, Thomas:
- Presenta la norma ISO 27001.
- Explica cómo encaja el TPRM en el Sistema de Gestión de Seguridad de la Información (SGSI).
- Revisa los requisitos de seguridad de la información para las relaciones con los proveedores.
- Analiza cómo gestionar la prestación de servicios de los proveedores con la norma ISO 27001.
El marco ISO 27001 es una herramienta útil en su arsenal de cumplimiento normativo. Vea este seminario web bajo demanda para aprender a aplicarlo a su programa TPRM.
¿Le interesa saber cómo puede ayudarle Prevalent? Solicite una demostración y una llamada estratégica para hablar de su proyecto con uno de nuestros expertos.
Altavoces
Thomas Humphreys
Experto en cumplimiento
Transcripción
Amanda: Hola. Hola a todos. Aquí están los números creciendo. Siempre es muy divertido ver cómo empiezan a crecer los números. Hola a todos, muchas gracias por acompañarnos hoy. Mientras nos preparamos, voy a lanzar una pregunta para la encuesta. Creo que si han venido a estas, están muy acostumbrados a todas estas preguntas y queremos saber si alguna vez han cambiado su respuesta. Así que, mientras esperan, nos encantaría saber qué les ha traído hoy a este nuevo seminario web aquí en Prevalent. ¿Están investigando para un proyecto? ¿Están aquí por motivos educativos? No saben dónde están. No pasa nada. Aprenderán algo de un británico llamado Thomas Humphre, gestor de contenidos aquí en Prevalent. Y quizá sean clientes actuales. Si es así, gracias por acompañarnos hoy. Vamos a hablar sobre la evaluación de la gestión de riesgos de terceros con la norma ISO 2701. Soy Amanda, su anfitriona de hoy. Y Thomas, como he dicho, estará aquí con nosotros y les proporcionará todo el contenido relevante sobre este tema. Un par de cuestiones organizativas. Chicos, tienen el micrófono silenciado. Tampoco podemos verlos, pero nos gustaría mucho que participaran. Al final habrá una ronda de preguntas y respuestas. Y habrá otra pregunta de encuesta al final, pero si tienen algo que les interese preguntar, Thomas, pónganlo en la ronda de preguntas y respuestas, no en el chat, porque es mucho más fácil agilizar ese proceso a través de la ronda de preguntas y respuestas. Si tienen alguna otra pregunta, pónganla en el chat cuando no esté relacionada con el SL, con la conversación que tenemos hoy. Pero eso es todo por mi parte. Grabaremos la sesión y la grabación estará disponible mañana o hoy mismo para los que tengan acceso anticipado. Sed sinceros con vuestras respuestas cuando os hagamos preguntas, porque haremos un seguimiento. Mi compañera Melissa y yo haremos un seguimiento y queremos asegurarnos de que podemos ayudaros. Eso es todo. Thomas, te dejo a ti. Voy a terminar esta encuesta. Y cambiemos la diapositiva aquí. Esperen. ¿Dónde? ¿Cómo lo hago? ¿Dónde está eso? No lo veo. Ya tenemos un chat. Probablemente no sea para Super. Sí, algunos de ellos. Les responderemos sobre eso. Bien, veamos. Murray está fallando, chicos. No me deja. Orador: ¿Quieres que intente tomar el control, Amanda, o...?
Amanda: Ya sabes que normalmente hay unos puntos y no me deja hacerlo. Espera un momento. Estamos teniendo un gran comienzo, todos. Esperen. Déjenme detener la pantalla compartida por un segundo y volver a... Es como si se hubiera atascado en mi computadora portátil. Está bien, se ha congelado en mi computadora. Probablemente ese sea el problema. Esperen un segundo. Intentémoslo de nuevo. Aquí vamos. Ya está. Desde el principio de la presentación actual. No me deja hacerlo. Orador: ¿Quieres que lo intente? Amanda: Sí. ¿Quieres intentarlo? Es como, ¿oyes el ruido? Ahora mismo no me gusta. No sé por qué. Veréis, por eso no hago esto, chicos. Sí, se ha bloqueado en mi escritorio. Ha sido un gran comienzo. Pero el que me enviaste funcionaba bien. Ponente: Bueno, no te preocupes. Déjame ver si puedo compartir mi pantalla.
Amanda: Sí, no estoy compartiendo nada. Problemas técnicos. Por favor, esperen un momento. Muy bien. Mientras esperan, ¿les gustó el Super Bowl? ¿Qué les pareció el espectáculo del medio tiempo? A mí me trajo recuerdos. No sé si a ustedes también, pero en general fue muy divertido. Ponente: Muy bien. Veo tu pantalla. Ponente: Puedo ver tu pantalla. Ya está todo listo. Amanda: Mi pantalla. Me voy ya. Si me necesitáis, aquí estaré. Buena suerte con esto.
Thomas: Muchas gracias, Amanda. Y sí, hola a todos. Bienvenidos a este seminario web. Mi nombre es Thomas Humphre. Soy el gestor de contenidos de Prevalent. Elaboro evaluaciones y encuestas a terceros basadas en muchos marcos reconocidos, obviamente, entre ellos la norma ISO 27001 y otros marcos basados en la ciberseguridad y la privacidad. Obviamente, el objetivo de hoy es repasar la norma 27001 y comprender cómo se puede utilizar a la hora de gestionar los riesgos de terceros, centrándonos en algunos de los controles básicos que proporciona el marco. Haré una introducción general a la norma. Espero que sea una norma bastante familiar para muchos antes de entrar en cómo encaja la gestión de terceros en el SGSI en 2017 000 y luego centrarme en algunos de los aspectos fundamentales del marco y en lo que las organizaciones deben hacer y cómo pueden abordar estos controles clave. Y, por último, terminaré con lo que se puede hacer ahora para aquellos que se inician en la gestión de riesgos de terceros por primera vez, pero también para aquellos que ya cuentan con un programa y, con suerte, les resulte útil y les aporte algunas ideas interesantes sobre cómo se puede utilizar una norma como la 27 000. Um, brevemente sobre mí antes de unirme a Prevalent. Fui auditor ISO durante casi 10 años, trabajando en sus organismos de certificación en el Reino Unido y en Singapur, um, como muchos auditores que empiezan en ISO 90001 para la calidad, pero obviamente progresando y pasando a áreas como 27,Como ha indicado Amanda a lo largo de la jornada, no duden en plantear cualquier pregunta que tengan en la ventana de preguntas y respuestas o en la ventana de chat. Espero que, si el tiempo lo permite, al final podamos repasar algunas de esas preguntas y respuestas para comenzar con la introducción a las normas ISO 27000. Se trata de una norma internacional desarrollada por la ISO, la organización internacional de normalización, y es su marco básico para la seguridad de la información. El quid de la cuestión es ayudar a las organizaciones a estructurar la gobernanza y la gestión de riesgos en torno a la seguridad de la información y proporcionar una plataforma para identificar y aplicar controles de seguridad.
Thomas: Eh... y como verán a lo largo del seminario web de hoy, hay toda una serie de controles, algunos de los cuales son muy relevantes y afectan directamente a la gestión de terceros o proveedores. Es interesante señalar que esta no es la primera norma centrada en 27,01. La precursora de estas fue una norma llamada DS779. N o la norma británica desarrollada en 1995. Así que el concepto de un sistema de gestión de la seguridad de la información viene de lejos. En realidad, se desarrolló en colaboración con profesionales de la seguridad y también con el Gobierno del Reino Unido. No fue hasta principios de la década de 2000 cuando se impuso la norma ISO y se comprometió a internacionalizarla y convertirla en un marco más amplio. Y la primera evaluación 27,01205 se publicó, pero se basó en la norma británica 7799, como es de esperar de la mayoría de estas organizaciones de certificación, que revisan periódicamente estos marcos para asegurarse de que siguen siendo relevantes y están actualizados, y de que las nuevas tecnologías, las amenazas emergentes y las mejores prácticas siguen siendo adecuadas en la norma existente. En este caso, se identificó que no era necesario realizar cambios y eso nos llevó a la edición de 2013. Curiosamente, se han realizado revisiones posteriores de este marco. Pero desde entonces se ha decidido que la versión de 2013 debe seguir siendo la vigente, por lo que no hay planes inmediatos para cambiar la norma 2000 27,01. Sin embargo, cabe señalar que, como es de esperar de muchas de estas normas ISO, esta forma parte de una familia de normas. Así que, aunque no se ha modificado la norma 2000 27,01, se han publicado normas más amplias que se centran en cómo aplicar este marco a determinados sectores e industrias, así como normas de implementación sobre cómo aplicar e implementar los controles de seguridad. La más reciente de ellas, la 270002, y quizás la más conocida de las normas fuera de la 270001, se volvió a publicar ayer. Hoy.
Thomas: Entonces, 27,02 2022 es el marco más reciente y actualizado que alinea algunos temas más nuevos y realmente aborda algunos de los temas. Es un estándar bastante bien aceptado. Actualmente hay más de 40 000 certificaciones en circulación en más de 100 países. Por lo tanto, se trata de un marco y un estándar global. Es interesante observar dónde se están aplicando estos estándares y estas certificaciones. Dado el tema que vamos a tratar hoy y que sabemos que hay alrededor de 27 000, no es de extrañar que las organizaciones dedicadas al desarrollo de tecnologías de la información lo hayan adoptado de forma bastante generalizada. Pero también hay muchas otras organizaciones en el sector sanitario, la construcción, la fabricación de equipos, por nombrar algunas, que lo han adoptado abiertamente y han comprendido la necesidad de un marco 27 0001. Para aquellos de ustedes que no estén familiarizados con la ISO y, en particular, con muchos de sus marcos básicos 9 27 000 14 000, todos ellos se basan en el concepto de planificar, hacer, verificar y actuar, o PDCA, que volveré a explicar cómo se puede aplicar cuando se analiza realmente la gestión de terceros. Así que la fase de planificación consiste en identificar los riesgos, identificar las amenazas e identificar una estructura de gobierno. A continuación, se aplica una sección de implementación. Es decir, se implementan los riesgos, se implementan los controles de seguridad, las políticas y los procedimientos basados en esos riesgos. Un proceso continuo de verificación y supervisión. Es decir, revisiones continuas a través de medios internos y externos, auditorías, revisiones de gestión, revisiones técnicas, como el registro de auditorías, y, obviamente, actuar en función de los resultados de eso y de este concepto de mejora continua. Mejorar continuamente los controles de seguridad que se han implantado, las políticas, perfeccionándolos cuando sea necesario, e incluso revisando los riesgos para determinar si siguen siendo pertinentes para nosotros como organización o si están surgiendo nuevas amenazas emergentes y áreas que debemos tener en cuenta.
Thomas: Entonces, todo el concepto en torno a estos sistemas de gestión es que deben evolucionar continuamente, mejorar continuamente los procesos con el objetivo final, por supuesto, de madurar. Por ejemplo, madurar el panorama de seguridad de una organización. Cuando se piensa en los riesgos de seguridad de la información de terceros, hay muchos riesgos. Hay una amplia gama de categorías y tipos de riesgos. Quizás algunos de los más pertinentes o, supongo, de los más recientes, siempre merecen ser mencionados. Es evidente que está aumentando la cantidad de ataques maliciosos, como el ransomware, por citar algunos nombres clave, algunas palabras clave, SolarWinds, Caya, DSA, Log4j, por nombrar solo algunos, y es evidente que hemos visto que se trata de algo que va en aumento en una amplia gama de industrias y sectores, y lo importante aquí es pensar no solo en cómo nos afectan estos ataques, sino también en cómo afectan a nuestros terceros y a aquellas organizaciones de las quedependemos de que nos proporcionen un servicio crítico como producto o componente crítico, por ejemplo, y por lo tanto, ser conscientes de esto y poder ponernos en contacto con los proveedores y terceros y decirles: «Bueno, ¿cómo están lidiando con este problema de Log 4j? Es realmente importante para nosotros en nuestro sector, donde ustedes se vieron afectados. ¿Cómo lo abordaron? ¿Aplicaron las mejores prácticas de los organismos de seguridad, de los fabricantes, etc.?». Ya van a cumplir cuatro cinco años de existencia del RGPD y, obviamente, otras normas y reglamentos locales y nacionales, como la ley de privacidad del consumidor de California en los Estados Unidos, y los ajustes que se han realizado en otras leyes nacionales de protección de datos. Y, por supuesto, estamos viendo un aumento en el almacenamiento, la recopilación y el procesamiento de datos, ya sean datos personales o, para usar un término del RGPD, datos sensibles de identificación personal o SPI. Datos corporativos. El volumen de datos que se distribuye entre múltiples terceros en algunos casos vuelve a aumentar el nivel de riesgo y el nivel de mapeo de datos que se requiere.
Thomas: Eh... cadenas de suministro complejas... bueno, desde el punto de vista de la continuidad del negocio y la recuperación ante desastres... bueno, sin duda estamos viendo en algunos casos que está aumentando el volumen de proveedores. No estamos hablando solo de terceros, obviamente. Ahora estamos hablando de cuartos, quintos, sextos, séptimos y octavos proveedores para algunos casos especialmente complejos o industrias complejas. Y, por supuesto, eso conlleva toda una serie de cambios y toda una serie de riesgos y retos. Están pensando en cuestiones y acontecimientos geopolíticos y medioambientales. Por lo tanto, es necesario comprender la planificación de la continuidad y la contingencia, tanto a nivel interno como organización, como a nivel de terceros y cómo gestionan la cadena de suministro cuando procede. Y, por supuesto, las presiones legales y normativas siguen aumentando en algunas áreas, como los sectores financieros y los sectores legales, y estamos observando que se hace más hincapié y se ejerce más presión sobre la necesidad de contar con mayores controles de privacidad y seguridad. Y, por supuesto, si usted se encuentra en uno de estos sectores en los que hay más presión por parte de las fuerzas del orden o de los reguladores, se hace más hincapié en que se asegure de haber hecho su debida diligencia para contratar a esos terceros en los que podría haber problemas que podrían dar lugar a sanciones financieras y legales y a problemas más adelante. Por supuesto, estos son solo algunos de los muchos riesgos de seguridad y tipos de riesgos de terceros. Pero es importante destacar que es un buen momento para empezar a pensar en un uso más amplio de su información, sus activos de información y cómo utiliza y se relaciona con terceros y, si es necesario, con cuartos y quintos. Entonces, la pregunta es: ¿cómo encaja la gestión de riesgos de terceros (TPRM) en el sistema de gestión de seguridad de la información (ISMS)? Un término que se utiliza para describir o etiquetar la norma ISO 27001.
Thomas: Así que, aunque en general siempre se han generado 27 000 para ayudar a las empresas a obtener la certificación por sí mismas, basándonos en lo que hemos descrito, un enfoque de gestión de riesgos claro y estructurado, un conjunto de controles de seguridad y este concepto PDCA, es decir, mejora continua, supervisión, revisión, diseño y aplicación. Pero también podemos aplicarlo cuando consideramos, en el sentido más amplio, cómo se involucra, discute, revisa y supervisa a sus terceros. Por lo tanto, sin duda, al pensar en los riesgos de terceros en sí mismos, la norma 27 0001 señala con bastante detalle la necesidad de identificar los activos de información y la necesidad de identificar una estructura de gestión y cálculo del riesgo. Por ejemplo, el impacto del riesgo sobre la probabilidad del riesgo, este concepto de confidencialidad, integridad y disponibilidad de la información, podemos aplicarlo diciendo: «Bueno, se puede utilizar el mismo enfoque para analizar los riesgos de terceros y tener un enfoque sistemático para identificar lo que es crítico para nosotros y lo que es crítico para nuestros activos de información y aquellos que están siendo respaldados y gestionados por terceros, o cuando hay un componente individual que ayuda a proporcionar una visión más amplia, un producto o servicio final más amplio. Así que, utilizando ese enfoque sistemático, la norma 2701 desde el principio. Podemos utilizar esto para ayudar a enmarcar cómo identificamos y gestionamos los riesgos de terceros para proporcionar una estructura y un enfoque claros para iniciar la documentación y asumir la responsabilidad y la visibilidad de los riesgos que le afectarían. Hay un catálogo de 114 controles de seguridad. En 27,01 se denomina anexo A. Se trata de una lista de controles y el concepto es que, una vez que una organización ha identificado su riesgo a través de la estructura de alto nivel de 27,0001,hay un conjunto de controles bastante amplio, que abarca desde el control de acceso, la seguridad del personal, la seguridad operativa y de la red, la continuidad del negocio y el desarrollo seguro, por nombrar solo algunos, y la idea es que, una vez identificados los riesgos, se pueda aplicar el control adecuado o varios controles para ayudar a gestionar ese riesgo, tratarlo y reducirlo cuando sea necesario.
Thomas: Bueno, obviamente la lista no es exhaustiva, pero de manera similar, ahora que hemos identificado nuestros riesgos de terceros y los riesgos que más nos van a afectar, ¿qué controles debemos utilizar nosotros mismos o pedir a terceros que implementen para abordar el acceso, el uso o el soporte de terceros a la información y los activos de información a los que tienen acceso? Y así, utilizando esos controles de seguridad y entendiendo qué controles serán los más adecuados dado el tipo de acceso e interacción que un tercero tiene con nuestros datos, nuestra información o nuestros activos de información. Y, por último, con este concepto de mejora continua y el ciclo PDCA, si se quiere, he explicado que el sistema de gestión de la seguridad de la información 270001 ya establece procesos claros que pueden implementarse para la auditoría interna y externa, las revisiones de la gestión, el registro de auditorías de los sistemas, la gestión de la respuesta a incidentes y la gestión de incidentes, el registro de vulnerabilidades y amenazas, y la gestión de amenazas. Pero, por supuesto, estos son aspectos que, obviamente, usted puede utilizar y que las organizaciones también pueden utilizar para colaborar con terceros y asegurarse de que existe un nivel de supervisión y una frecuencia de supervisión y, además de esto, por supuesto, la supervisión del rendimiento real y los informes de servicio que, obviamente, se pueden solicitar y hacer cumplir a través de acuerdos contractuales con sus terceros. Siempre es importante mencionar el riesgo al final. He mencionado el riesgo y puede que lo mencione unas cuantas veces más hoy, pero se trata de un proceso continuo de decir cuándo tenemos una estructura para identificar los riesgos de nuestros terceros, de identificar qué controles son necesarios y, a continuación, como verán, cómo los aplicamos desde una perspectiva contractual, eh, desde una perspectiva de supervisión, basándonos en los cambios en el panorama, basándonos en esos controles, basándonos en el panorama cambiante del riesgo, ¿cómo está funcionando nuestro sistema de gestión de riesgos? ¿Tenemos que volver continuamente y revisar si nos está funcionando? ¿Funciona en función del tipo de riesgos a los que nos enfrentamos con nuestros terceros y, en algunos casos, con la cadena de suministro en general?
Thomas: Entonces, lo que vamos a hacer ahora es profundizar en dos elementos fundamentales que se dividen en cinco controles como parte de este catálogo de 114 controles de seguridad. Esto forma parte de A.15, que es la gestión de proveedores en el SGSI, y comenzamos con los subtítulos de seguridad de la información y relaciones con terceros, pasando a las políticas de seguridad de la información. A las relaciones con terceros y, a medida que avanzamos, analizando los acuerdos y arreglos contractuales, así como la gestión y el conocimiento de la cadena de suministro. Entonces, ¿qué queremos decir con definir una política de seguridad de la información de terceros? 27 000 establece algunas pautas y requisitos claros sobre cómo se deben identificar, gestionar y revisar las políticas y, por supuesto, uno de ellos es una política para hablar sobre cómo se relaciona y cómo gestiona a sus terceros. Entonces, ¿qué queremos decir aquí? Bueno, en primer lugar, estamos analizando los tipos de terceros, la relación de riesgo de terceros y las relaciones con terceros. En cuanto a los tipos de terceros, pensemos si podemos clasificar los tipos de terceros en función del servicio que prestan, ya sea mantenimiento, desarrollo, desarrollo de aplicaciones o software, o si hay otros aspectos que debemos tener en cuenta, como el acceso a la información y los activos. Y luego están las relaciones con terceros. ¿Cómo nos relacionamos con estos terceros? ¿Con qué frecuencia interactuamos con ellos? El tipo de contratos que debemos establecer, el nivel de supervisión y la relación de servicio que debemos construir con estos terceros. Y una vez que tengamos esto bajo control, una vez que lo hayamos entendido, podremos empezar a analizar qué tipos de acceso a la información necesitan los terceros. Sin duda, pensar en... perdón, pensar en el tipo de proveedor, el tipo de servicio de TI, tal vez un tipo de servicio financiero, pensar en el tipo de acceso que pueden necesitar. ¿Tenemos terceros con los que colaboramos que puedan tener acceso a nuestros datos confidenciales?
Thomas: Bueno, hay datos internos, datos de nuestros empleados, datos de nuestros propios clientes a los que necesitan acceder, que necesitan almacenar en función del tipo de servicio que prestan. Y en función de eso, podemos empezar a desglosar el nivel de seguridad, el nivel de escrutinio y los requisitos que debemos exigirles, que debemos dictarles que deben implementar. Y una vez que hayamos comprendido el tipo de acceso a la información que necesitan los terceros en función del nivel de servicio o del producto y servicio que suministran, identificando esos requisitos y controles mínimos de seguridad, es obvio que esto nos lleva de vuelta a la selección más amplia del anexo que se encuentra en 27,0001. Algunos de ellos serán de bastante alto nivel yesperaríamos de todos los terceros, en particular de aquellos que tratan o manejan cualquiera de sus activos de información, por ejemplo, la forma en que responden a los incidentes, la forma en que responden a la continuidad y la contingencia, la forma en que acceden a los activos de información, ya sea cuando vienen al sitio para realizar un poco de trabajo de soporte o mantenimiento, por ejemplo, o cuando usted les envía información y ellos la gestionan en su sitio, en su infraestructura. Um, y así, empezando a reunir um basándonos en los tipos de terceros, en el tipo de información y en el nivel de acceso requerido, ¿cuáles son los controles de seguridad más adecuados que debemos exigir a nuestros terceros? Y entonces llegamos a esta etapa, en la que se analizan los requisitos de supervisión. Y, de nuevo, esto puede depender de la gravedad de los terceros. Si estamos empezando a llegar a la etapa en la que calculamos o determinamos los niveles de los terceros, digamos nivel uno, nivel dos, nivel tres para los más críticos, que proporcionan un componente o servicio de misión crítica. El nivel tres proporciona servicios de apoyo que no tienen una influencia determinante en el producto final o en el sistema. Entonces podemos empezar a determinar qué nivel de supervisión necesitamos. ¿Necesitamos reuniones de revisión del servicio mensuales, trimestrales, semestrales o anuales?
Thomas: ¿Necesitamos informes que proporcionen cierto nivel de estadísticas e informes estadísticos basados en la disponibilidad del servicio, el tiempo de actividad del sistema, basados en el cambio y la gestión del cambio, así como en aquellas áreas en las que todos los proveedores pueden necesitar proporcionar una respuesta ante incidentes, por ejemplo, y luego formación en dos partes? Así que, desde una perspectiva de formación interna, concienciar al personal sobre los requisitos de seguridad cuando se relacionan con terceros. Si hay algunos matices o controles particulares que deben conocer y tener en cuenta a la hora de realizar las preguntas pertinentes. También si es necesario formar a los terceros si hay algún requisito. Por ejemplo, si se contrata a terceros para que acudan a las instalaciones a realizar tareas de mantenimiento, ¿hay alguna formación básica sobre seguridad y privacidad que usted, como empresa, exija que los terceros asistan? Y luego, por supuesto, la confidencialidad... Hemos hablado de la privacidad y del posible manejo, almacenamiento o uso del acceso a información confidencial y, por supuesto, de la confidencialidad y la no divulgación, algo común en muchos contratos y acuerdos con terceros. Estas son las seis áreas clave que pedimos a las empresas que tengan en cuenta al empezar a desarrollar una política de seguridad de la información y un marco normativo. Se trata de una estructura que ayuda a identificar y gestionar de forma coherente a los terceros. Y, por supuesto, a partir de ahí pasamos a abordar la seguridad en los acuerdos con los proveedores. Se trata de recoger los requisitos de seguridad de la información en los acuerdos, incluyendo el establecimiento de controles mínimos tanto normativos como técnicos. Cualquier requisito legal desde el punto de vista de la protección de datos, la propiedad intelectual, las comunicaciones, la respuesta y la visibilidad de incidentes y problemas, la continuidad del negocio, los eventos y las amenazas, el derecho a auditar y los derechos de auditoría, y la consideración de cuartos o terceros que empiezan a pensar en la cadena de suministro más amplia. Empiece con los controles mínimos.
Thomas: Bueno, a estas alturas deberíamos haber llegado a una fase en la que ya hayamos identificado esos riesgos y tengamos bastante claro el tipo de controles y mejores prácticas que necesitamos para poder confiar en la transferencia a terceros, lo que nos da la seguridad de que nuestros datos y nuestra información están protegidos de la mejor manera posible. Entonces, ¿qué quiero decir con control basado en políticas y control técnico? Siempre habrá cierto solapamiento entre ambos. En términos generales, nos referimos a la clasificación de la información. Por lo tanto, en función del tipo de datos e información que se pueda transmitir o enviar a un proveedor, a un tercero que se encargue de ellos. Y la empresa, sin duda, tendrá algún nivel de clasificación en cuanto a cómo protege los datos, qué normas deben aplicarse y cómo se manejan los datos, cómo se etiquetan, por ejemplo, y cómo se pueden procesar. Eh... ¿Se le exigirá que solicite a los terceros que acceden a su información o a sus sistemas de información que realicen algunas comprobaciones básicas de diligencia debida cuando incorporen a nuevos empleados para trabajar en el proyecto? Eh... Si, por ejemplo, externaliza el proceso empresarial clave a un tercero y hay sistemas que contienen información a nivel de cuentas, cuentas por pagar, información financiera, por ejemplo, incluso información sobre los salarios de los empleados, si está subcontratando todo el proceso de pago y quiere asegurarse de que los empleados que se encargan de ello y que ayudan a gestionar ese proceso de pago han sido debidamente investigados, um, um, cuando sea necesario, y que al menos exista la diligencia debida, uh, para que el tercero pueda compartir los enfoques que ha adoptado. Obviamente, políticas de uso aceptable, respuesta instantánea, que hemos cubierto en parte, y, obviamente, privacidad, pensando en el RGPD, pensando en la CCPA, hay marcos o regulaciones localizados en vigor e incluso si no hubiera otros controles básicos basados en políticas de privacidad. Por lo tanto, una política de privacidad de datos, por ejemplo, requisitos de privacidad de datos y gestión de respuestas y, por supuesto, controles técnicos para proteger los datos.
Thomas: Por lo tanto, deben subrayar e identificar los controles de acceso, las restricciones de acceso a sus sistemas de información basadas, por ejemplo, en privilegios de arrendamiento. Los métodos de almacenamiento de datos y los niveles de cifrado. Si la organización tiene requisitos mínimos para el cifrado AES de 256 bits, por ejemplo, para los datos en el pecho, y un mínimo de seguridad de la capa de transporte TLS 1.2 1.3, porque hay otras versiones obviamente anticuadas que ahora están obsoletas y tienen una seguridad deficiente. Puede que sea necesario que insista y trate de hacer cumplir, cuando sea apropiado, que se aplique el mismo nivel de cifrado cuando esos datos se transfieran a un sitio o a las operaciones de un tercero. Retención y eliminación de datos. ¿Qué ocurre después de que se cierre un proyecto? ¿Le parece bien que terceros eliminen los sistemas que contienen datos de forma segura y según determinados estándares de seguridad? ¿Exige que dichos sistemas sean seguros? ¿Que se devuelvan de forma segura a la organización a través de un canal seguro y otros medios y, obviamente, que se apliquen controles técnicos para gestionar la privacidad mediante la restricción del acceso, los niveles de cifrado y la prevención de la pérdida de datos? Por lo tanto, hay toda una serie de controles y la idea es que empecemos a incorporarlos como parte del acuerdo, como parte de los requisitos contractuales. Obviamente, existen requisitos legales, como la protección de datos que he mencionado, y puede que sea necesario un método para aplicar una protección adicional basada en los requisitos del RGPD, en función del tipo de tratamiento de datos y del uso de los datos que gestiona un tercero. La comunicación es, por supuesto, muy importante para empezar a identificar los puntos de contacto clave, tanto a nivel interno como desde la perspectiva del tercero. Así pues, si se produce una infracción o un incidente, ¿cómo van a responder a ello? ¿Cómo se lo comunicarán a ustedes como organización? Y lo mismo ocurre con la continuidad del negocio. Obviamente, el derecho a adjudicarlo es una cláusula común que se encuentra ahora en muchos acuerdos.
Thomas: Bueno, no siempre se lleva a cabo, pero, por supuesto, si se hace, ofrece una excelente oportunidad para profundizar en una organización, delimitando y definiendo adecuadamente el alcance de una auditoría, pero la capacidad de revisar realmente, ya sea físicamente, mediante evaluaciones remotas o mediante encuestas, si los controles están en marcha y son eficaces, es siempre un aspecto clave a tener en cuenta en este tipo de contratos. Y luego, por supuesto, hay que tener en cuenta a las cuartas partes y a las partes finales. De modo que la visibilidad de que les estamos pasando nuestros activos de información o que existe un acuerdo para que ustedes nos ayuden a desarrollarlos o nos proporcionen una parte del desarrollo. ¿Están subcontratando algunos de esos componentes a sus propios terceros? Tengan paciencia conmigo. Pido disculpas por ponerme un poco sombrío. Y entonces, cómo gestionan y la visibilidad de las cuartas partes y la visibilidad de qué niveles de datos o acceso a los sistemas de información tienen también esas cuartas partes. Así que pensar en cómo capturan los requisitos para las cuartas partes o, al menos, los requisitos para los terceros en términos de la diligencia debida que esperarían que hicieran, lo que podría incluir la aplicación de algunos de los controles de seguridad de la información que también piden a sus terceros que cumplan. A continuación, pasamos a la cadena de suministro de la tecnología de la información y la comunicación en sí. Ser conscientes de cómo se respaldan, utilizan o suministran los activos de información en toda la cadena de suministro e identificar los controles para supervisar y gestionar los riesgos de seguridad asociados a ellos. Creo que hay cuatro aspectos clave que debemos tener en cuenta a la hora de incorporar y considerar cómo capturar la cadena de suministro en un acuerdo con terceros. Sin duda, uno de ellos es el de los componentes críticos y la procedencia. ¿Conocemos el origen de un componente concreto? ¿Existe una trazabilidad adecuada desde el proveedor original o el tercero hasta nuestro compromiso inmediato y hasta que nos llega? ¿Ha identificado los componentes críticos que son generalmente fundamentales para la misión y sin los cuales podría haber un problema que podría dar lugar a una debilidad en la seguridad de un producto, una posible pérdida de datos, una pérdida de marca o un daño a la reputación?
Thomas: Por lo tanto, siendo conscientes de esto y de hasta qué punto de la cadena de suministro conocemos los productos y servicios, obviamente los controles de seguridad de la información. Así que he mencionado, obviamente, los controles que pueden ser necesarios aplicar a nuestros terceros y que puede ser necesario extenderlos a cuartos, quintos y sextos, cuando sea apropiado. Por ejemplo, si hay un sistema concreto que he mencionado, la externalización de procesos empresariales, digamos que su tercero gestiona esos procesos por usted. Gestionan las finanzas de la organización, las cuentas por pagar, los pagos a los empleados, etc. Y ellos mismos contratan a otra parte para que les ayude con el mantenimiento de esos sistemas. Bueno, el hecho de que esos cuartos terceros estén ahora contratando a su tercero para ayudar a mantener esos sistemas, cuando hay problemas, cuando hay errores, usted necesita estar seguro de que esos cuatro terceros han alcanzado el nivel de diligencia debida, formación, concienciación, quizás también controles de restricción de acceso, y que han firmado los acuerdos de confidencialidad adecuados para garantizar que son conscientes de los sistemas, que los terceros son conscientes de los sistemas con los que trabajan los cuartos, y que han aplicado los controles de seguridad adecuados, obviamente. Obviamente, la garantía juega un papel importante aquí y es a través de las revisiones de rendimiento, mediante la supervisión regular del tercero y el nivel de compromiso que, obviamente, se puede ver para obtener esa garantía, tanto desde la perspectiva de la procedencia, de que los productos y servicios que aplica el cuarto participante son adecuados para su finalidad, como de que han aplicado los controles y capacidades de seguridad necesarios. Luego, también el tipo de controles, como hemos mencionado en el ejemplo del tercero que proporciona externalización de procesos empresariales, que esos controles también se han aplicado adecuadamente. Simplemente obtener esa garantía y validación del tercero de que están realizando las comprobaciones clave que se esperaría que realizaran en el cuarto. Y luego, por supuesto, revisar los riesgos de seguridad.
Thomas: Entonces, cuando surgen riesgos o amenazas, y al comprender el recorrido de los cuatro componentes, y cuántos cuartos, quintos y sextos intermediarios son necesarios para entregarle el producto final, eso debería ayudarle y debería utilizarse para revisar sus propios riesgos de seguridad. Volviendo a los riesgos de terceros que hemos establecido desde el principio, ¿necesitamos revisarlos? ¿Debemos ajustarlos basándonos en el conocimiento de las complejidades de la cadena de suministro? ¿Es necesario aumentar el riesgo basándonos en este nivel de complejidad o estamos cómodos con el nivel de diligencia debida, planificación de contingencias y continuidad del negocio que se ha promulgado y aplicado, y con que el tercero está gestionando al cuarto de la manera que esperamos desde el punto de vista de la seguridad e incluso de la privacidad? Pasemos ahora a la segunda parte, que es la gestión de la prestación de servicios por parte de terceros, y que se divide en dos aspectos. Uno de ellos es la supervisión, auditoría y revisión, y luego la gestión de los cambios. Cuando pensamos en la supervisión, auditoría y revisión, es decir, en la validación del cumplimiento de los términos y condiciones de seguridad de la información, podemos lograrlo de tres maneras. Una de ellas es realizar una revisión periódica de la supervisión del tercero, las evaluaciones de rendimiento y los informes de servicio. En segundo lugar, mediante el uso de la cláusula de derechos de auditoría, cuando sea aplicable. Y, por último, recibiendo comunicaciones oportunas relacionadas con la respuesta a incidentes y la gestión de problemas. De nuevo, cuando sea necesario. Volviendo al principio, realizar revisiones de supervisión periódicas. Ya lo he explicado desde una perspectiva de 27 000. Hay muchas revisiones y revisiones de gestión diferentes que se podrían llevar a cabo si se analiza esto internamente. Y, por supuesto, hay revisiones de servicio y revisiones de rendimiento que se pueden realizar. Con los terceros. La frecuencia de las mismas depende, por supuesto, de la importancia de esa relación, de la importancia del tercero. No es raro ver revisiones mensuales del rendimiento de terceros.
Thomas: Tampoco es raro ver informes trimestrales y semestrales si, obviamente, el rendimiento es muy bueno, si la relación es muy sólida o si la gravedad del riesgo o la importancia de ese tercero es tal que solo quiere una revisión semestral o incluso anual del rendimiento. Pero pensando en el tipo de controles que hemos aplicado en la fase contractual y ayudando a incorporarlos en los informes de servicio que usted puede solicitar recibir. Y esto podría ser cualquier cosa, desde informes y estadísticas sobre vulnerabilidades, cambios, incluso cambios en los proveedores y los controles de gestión de proveedores que buscamos para el proveedor tercero o cuarto, como se ha descrito. Así que empezamos a pensar en qué tipo de estadísticas necesitamos para asegurarnos de que se cumplen los controles de seguridad que hemos pedido al tercero que aplique, controles de acceso, controles de incidentes, controles de clasificación de la información, sea lo que sea, ¿cómo podemos estar seguros de que se cumplen esos controles? Y es a través de estas revisiones periódicas del rendimiento, estas actualizaciones y, potencialmente, incluso a través de acuerdos de nivel de servicio, objetivos, ya sabes, SLA y metas, que podemos ayudar a medir estos basándonos en la frecuencia y, obviamente, la complejidad de estos controles. El derecho a auditar que he mencionado, como digo, es algo habitual. Y cuando hablamos del derecho a ello, obviamente es importante, especialmente hoy en día, tener en cuenta que esto no significa simplemente presentarse físicamente en las instalaciones de un tercero y realizar una evaluación completa. La clave aquí, y lo importante, es obviamente comprenderlo, delimitarlo y definir su alcance correctamente. Por lo tanto, está claro que si se ejerce el derecho a auditar, se trata de una auditoría de estas funciones, estos procesos, estos controles, para asegurarse de que, si se están entregando activos de información clave, que obviamente podrían ser hardware, software, datos, sea cual sea el caso, se quiere ejercer el derecho a auditar para verificar que esos sistemas son seguros de la manera acordada con el tercero.
Thomas: Y luego, comunicaciones oportunas relacionadas con la respuesta inmediata y la gestión de problemas. Por lo tanto, considero que la comunicación es muy importante, especialmente la puntualidad de la misma, sobre todo cuando se producen amenazas o vulnerabilidades, ya sean amenazas que afectan directamente a un sistema de información, por ejemplo, gestionado por un tercero, o incluso aquellas que tienen un impacto indirecto, pero que se perciben de inmediato. Pero puede haber otros sistemas que hayan sufrido algún tipo de infracción o algún tipo de ataque dirigido, por ejemplo. Por lo tanto, basta con que justifique una investigación más profunda, una discusión más profunda con un tercero para decir qué planes de acción está poniendo en marcha, cuál es su proceso de respuesta, cómo lo está abordando desde la perspectiva de la gestión de problemas. Por lo tanto, hay muchos enfoques y técnicas diferentes que se pueden adoptar en términos de supervisión y revisión de auditorías. Obviamente, es importante identificarlos y incluirlos como parte de los acuerdos y contratos con terceros. A continuación, pasamos a la gestión de los cambios en los servicios de terceros. Es decir, establecer los cambios en los terceros y el impacto en los sistemas y procesos de información empresarial. Una vez más, hay que tener en cuenta tres áreas: el cambio organizativo, los cambios en la prestación de servicios y los cambios en los acuerdos. Empezaré por el principio. Eso es... eso es... eso es... supongo que así queda más claro. Obviamente, siempre será necesario revisar formalmente los acuerdos contractuales, especialmente cuando cambian los procesos, cambian los sistemas, si es necesario ampliar la prestación de servicios para reducir la prestación de servicios y tener ese proceso formal de trabajar con un tercero y comprender cómo estos cambios afectan tanto a uno mismo como a ellos mismos. Y, obviamente, los riesgos que pueden surgir, el aumento o la reducción del riesgo en algunos casos, en función de cómo se modifique o ajuste un acuerdo desde la perspectiva del cambio organizativo. Volviendo al cambio organizativo, el desarrollo de nuevos sistemas, la modificación de políticas, los nuevos controles.
Thomas: Entonces, si la organización, el tercero con el que usted se ha comprometido, está actualizando sus políticas de seguridad, políticas de privacidad, por ejemplo, las políticas de contratación de empleados, cualquier cosa que pueda tener un impacto, o si están aplicando nuevos controles. Han mejorado algunos controles de seguridad y tienen un sistema de autenticación más fuerte, por ejemplo, o están reforzando otros controles basados en la sustitución del sistema de edad, por ejemplo. Por supuesto, todos estos son cambios positivos y, con suerte, deberían beneficiarles a ustedes como organización. Por lo tanto, estar atentos y ser conscientes de dichos cambios puede ayudar a comprender y reducir algunos de los riesgos que inicialmente aplicaron al tercero. Y, de manera similar, los cambios en la prestación de servicios, la adopción de nuevos productos o versiones más recientes y lanzamientos de sistemas. Por lo tanto, si los terceros han tomado la decisión de mejorar, por ejemplo, los sistemas para capturar información relacionada con incidentes y la gestión de cambios, eso puede ser algo positivo. Significa que ustedes pueden estar sujetos a mayores niveles de detalle cuando se produzcan cambios. Si se produce un incidente, puede haber un mayor nivel de conocimiento que se captura como parte de estos productos mejorados o versiones actualizadas. Pero también hay otras áreas críticas que deben tenerse en cuenta. Por ejemplo, el cambio de ubicación de las instalaciones de servicio. Si ha contratado a un tercero para que gestione parte de su información o activos de información y el acuerdo inicial era que estos se mantendrían en una zona geográfica concreta. Sin duda, pensando en la privacidad de los datos, por ejemplo, y digamos que el RGPD desde una perspectiva europea, si el tercero ahora solicita o propone un traslado de esas instalaciones a otras diferentes, eso obviamente puede tener un impacto enorme en la organización.
Thomas: Bueno, de nuevo, dependiendo del tipo de traslado de instalaciones o de ubicación, puede ser positivo o negativo, por lo que es absolutamente fundamental estar al tanto de ello de manera oportuna, sobre todo si ello implica una revisión de los controles de seguridad o de los controles basados en la privacidad, si se trata de un traslado geográfico o de ubicación y, por supuesto, un cambio de proveedores, así como, por ejemplo, la cadena de suministro, que está en constante crecimiento yhay algunos sectores en los que está aumentando hasta el cuarto, quinto, sexto y séptimo grado, por lo que, por supuesto, si su tercero cambia de proveedores y añade un nuevo proveedor para ayudar a prestar un mejor servicio, por ejemplo, o porque ha habido un incidente que ha afectado a uno de sus proveedores en la cadena y quieren trasladarse y cambiar de proveedores. Si esto le afecta directa o indirectamente, es obvio que es fundamental que la organización sea consciente de ello y tenga el tiempo necesario para considerarlo, revisarlo y hacer que el tercero comprenda el riesgo, la complejidad y, por supuesto, lo cuestione también. Especialmente si se trata de algo que va a tener un gran impacto en los sistemas de información, las soluciones o los activos de información que utiliza el tercero. Por lo tanto, en esta fase hacemos una revisión rápida. Hemos analizado en términos generales cómo se puede utilizar la norma ISMS ISO 27001 para ayudar a identificar los riesgos de terceros y aplicar e identificar los controles adecuados a través de ella. Proceso de gestión de riesgos claramente definido, uso de los controles del anexo 114 y, por supuesto, los procesos que hay que llevar a cabo para captar esos requisitos de seguridad de la información desde una perspectiva contractual y, a continuación, tener el proceso de supervisión continua, revisión continua, gestión y revisión, supervisión de los cambios y ser consciente de la cadena de suministro en general. Entonces, ¿qué debemos hacer ahora? Si acaba de empezar con este proceso, el primer paso es realmente empezar a identificar a sus terceros.
Thomas: Empiece a identificar, analizar e incluso perfilar a sus terceros en función de su importancia para el negocio, basándose en el tipo de activos de información que utilizan, a los que acceden y a los que se les da acceso. Empiece a adoptar una clasificación para los terceros basada en la importancia. Alta, media, baja, roja, ámbar, verde, nivel 1, nivel 2, nivel 3, según sea el caso. Esto le ayudará a estructurar sus terceros y a determinar cuáles son los más importantes y cuáles son fundamentales para nuestro producto final y la prestación de servicios o para nuestro cliente final. Y estos son críticos para nosotros, pero no nos van a preocupar demasiado desde el punto de vista del riesgo y, obviamente, perfilar a los terceros para ayudar a cumplir eso también y ayudar a identificar la categoría tal. Así que el tipo de servicio que se presta, el tipo de datos que se manejan, la ubicación geográfica, lo que sea suficiente para hacerse una idea de lo que hace ese tercero y de los proveedores y cuartos con los que trabaja. Y, obviamente, una vez que tengamos esto bajo control, podremos empezar a desarrollar este proceso de evaluación de riesgos. Como he dicho, la fuerza del 27.0001 con el enfoque de riesgo claramente definido. Identificar y gestionar los riesgos, empezando por identificar el acceso o el apoyo de terceros a sus activos de información. ¿Qué activos de información tiene como empresa y cuáles están siendo utilizados, gestionados y apoyados por terceros? Identificar el cálculo del riesgo, es decir, el impacto sobre la probabilidad más la CIA, la confidencialidad, la integridad y la disponibilidad. Es decir, la confidencialidad de la información, la integridad de la información y la disponibilidad de la información. Por lo tanto, hay que pensar en el riesgo de pérdida de la CIA o tenerlo en cuenta al crear y calcular su riesgo, su marco de riesgo. Y, por último, identificar un método para registrar el riesgo. ¿Registra el riesgo mediante hojas de cálculo, plataformas o una combinación de ambas? ¿Qué enfoque está adoptando? Para asegurarse de estar al tanto y poder actualizar y revisar continuamente sus riesgos. En tercer lugar, obviamente, llevar a cabo la evaluación de riesgos de terceros en sí.
Thomas: Identificar el acceso de terceros a los activos, identificar las amenazas y la capacidad. Así que, en primer lugar, los riesgos de ciberseguridad, los riesgos para la continuidad del negocio, los riesgos geopolíticos, los riesgos medioambientales y de privacidad, sea cual sea el caso. Identificar las amenazas y vulnerabilidades más críticas para la organización y cómo se verán afectadas por los terceros. Es decir, cómo le afectarán los terceros. Obviamente, la probabilidad de que se produzcan esas amenazas y vulnerabilidades. Y luego identificar y seleccionar esos controles. Una vez más, mencionando que, obviamente, los 27 000 no son exhaustivos, pero los 114 controles que sí incluyen, desde el acceso a la seguridad de la red operativa, etc., proporcionan un buen respaldo o base para empezar a crear un conjunto de controles que sean los más adecuados y que usted debe aplicar a sus terceros. Y, por último, crear y, obviamente, ejecutar un plan para abordar los riesgos. Por lo tanto, desarrollar esa política de seguridad de la información de terceros, subrayar los factores de control, los controles de seguridad, los controles de privacidad dentro de los acuerdos y contratos con terceros e incorporar los requisitos de la cadena de suministro cuando sea apropiado. Y, por último, obviamente, verificar y actuar. Es decir, la parte PDCA, la comprobación y la actuación sobre sus terceros. Por lo tanto, la revisión continua de la supervisión, la revisión del rendimiento, el establecimiento de objetivos y el SLA, y la mejora continua mediante la revisión de los riesgos, la revisión de nuevos riesgos, áreas nuevas y emergentes que tal vez deba mejorar, y la introducción de nuevos controles para hacerles frente, obviamente basados en la participación de terceros en función del tipo de activos de información que gestionan para usted. Um, voy a hacer una pausa aquí por ahora. Um, creo que hay algunas secciones más que um mi colega Scott puede cubrir. Um, así que en este momento te devuelvo la palabra, Amanda.
Amanda: Sí. Scottva a tomar el relevo. Thomas, si quieres pasar un par de diapositivas para que veamos aquí. Scott: Sí, vamos. Sí, vamos directamente a las diapositivas de la lista de verificación. Scott: La lista de verificación estaría genial. Ahí lo tienes. Eso es todo. Eso es todo lo que quería compartir. Solo una nota rápida para resumir lo que Thomas ha dicho sobre las mejores prácticas y la configuración de su marco de trabajo y la unificación de sus estructuras de preguntas. Las capacidades de la plataforma de Prevalent le ayudan a evaluar a sus proveedores basándose en estos estándares de una manera que unifica la inteligencia y le ayuda a aclarar rápidamente cuáles son esas deficiencias de control y qué debe hacer para solucionarlas. A partir de ahí, para daros una ventaja, hemos publicado algo llamado «Lista de verificación de la gestión de riesgos de terceros y de la ISO». Repasa los requisitos que se aplican a la gestión de riesgos de terceros y proveedores en lo que respecta al SGSI. A continuación, define las capacidades específicas que debéis buscar en una solución y, luego, ya sabéis, mapea Prevalent a esos requisitos también. Le proporcionaremos un enlace para que pueda descargar el documento por su cuenta, pero también lo hemos incluido aquí, por si puede escribir muy rápido. Es un gran recurso para comparar los requisitos y prácticas ISO existentes con las mejores prácticas desde la perspectiva de terceros. Bueno, eso es todo lo que quería ofrecerles. Veo que hay un montón de preguntas y todas son muy interesantes. Así que voy a dejar de hablar y volver a ceder la palabra al experto.
Amanda: que no soy yo, pero voy a preguntar. Muy bien, chicos. Sé que tenemos poco tiempo. Acabo de lanzar una pregunta en la encuesta. Se explica por sí sola. Ni siquiera la voy a leer. La veis ahí. Pasemos directamente a las preguntas y respuestas. Voy a ir lo más rápido posible desde el principio. Si lo ponéis en el chat, lo siento, pero ahora mismo no puedo desplazarme por él. Es demasiado. Pero bueno, la primera es: ¿por qué algunos sectores, como el sanitario, se han mostrado más receptivos a la aplicación de la norma 27,01? Thomas: Esa es una pregunta muy buena. Es una pregunta que intentamos mantener al día. Ya sabes, qué sectores están más interesados que otros. Creo que, sin duda, en el Reino Unido ha habido algunos ataques maliciosos en los últimos años que sin duda han afectado a algunos sistemas sanitarios y organizaciones sanitarias, y a veces eso es todo lo que se necesita para que los organismos reguladores digan que tenemos que empezar a implementar la plataforma 27 000, dado lo global que es y lo reconocida que está como norma de buenas prácticas. A veces eso es todo lo que se necesita.es todo lo que se necesita para que los organismos reguladores digan que hay que empezar a implementar una plataforma 27 000, dado lo global que es y lo reconocida que está como norma de buenas prácticas. A veces, eso es todo lo que se necesita para impulsar eso. Normalmente, cuando un sector la adopta, es por presión de los líderes del sector o de los reguladores. Ahí es donde solemos encontrar más casos. Siempre hay algunas sorpresas. Creo que mencioné el sector de la construcción. Creo que actualmente tienen solo un par de 300 certificaciones y algunas de las industrias manufactureras tienen entre 300 y 400 certificaciones, lo que obviamente es a escala global, por supuesto, es más alto señalar que sí.
Amanda: Muy bien, perfecto, entonces lo siguiente es si los 114 controles están clasificados por importancia . Thomas: No, el concepto es que estos 114 controles se dividen en una amplia variedad de temas y materias. Mencioné el control de acceso y el desarrollo de sistemas, pero no, no están priorizados en ese sentido. El objetivo es que, cuando una organización realiza una evaluación de riesgos mediante la norma 2701, una vez que se conocen los riesgos y, en particular, una vez que se conoce el riesgo para la confidencialidad, integridad y disponibilidad de la CIA. La teoría dice que, una vez que se sabe, por ejemplo, que el riesgo mayor es la pérdida de confidencialidad de los datos. Por ejemplo, entonces puedes determinar, a través de los 140 controles, cuáles son los mejores controles que debes aplicar para ayudar a reducir el riesgo de pérdida de confidencialidad de los datos. Pero no, definitivamente no son prioritarios. Depende en gran medida del tipo de negocio, del sector en el que te encuentres y, obviamente, del tamaño y la complejidad del negocio.
Amanda: Bien, la siguiente pregunta es: si un riesgo ya se ha mitigado mediante un control, ¿qué se hace con él? ¿No se incluye en la evaluación de riesgos o se clasifica como riesgo residual bajo, o acaso no es un riesgo en primer lugar? Thomas: ¿Puedes repetir la pregunta , Amanda? Amanda: Si un riesgo ya se ha mitigado mediante un control, ¿qué se hace con él? Thomas: El riesgo ya está mitigado. Si has identificado un riesgo y sabes que hay mitigaciones, hay controles, políticas, procedimientos, lo que sea, formación, que han ayudado a reducir el riesgo hasta tal punto que puedes decir con seguridad que lo hemos mitigado. Podría ser tan sencillo como mantener la visibilidad de ese riesgo, pero es posible que no tengas que hacer nada más al respecto. Es posible que tengas que abordarlo y volver a él, por supuesto, si algo cambia que justifique que exista la posibilidad de que el riesgo aumente. Por ejemplo, si los controles originales que se aplicaron cuando creías que habías mitigado ese riesgo han cambiado, se han reducido o si el riesgo en sí mismo se ha incrementado debido a nuevas amenazas emergentes. Por eso es tan importante revisar continuamente los riesgos, para asegurarse de que los riesgos que se identificaron inicialmente y que, con suerte, se han mitigado o tratado, siguen siéndolo. Y si no es así, y si han aumentado, podemos volver a revisarlos y decir: «Bueno, ¿qué controles adicionales o qué medidas adicionales podemos tomar o debemos tomar para volver a reducirlo a un nivel con el que nos sintamos cómodos como empresa?». Así que voy a dar una respuesta aleatoria para todos. Otra pregunta es: ¿hay ejemplos, hay ejemplos de cláusulas de auditoría que se puedan incorporar a un acuerdo? ¿Se penalizaría a un proveedor de servicios en la nube?
Thomas: Um, ¿se penalizará al proveedor de servicios en la nube? Eh... Eso es interesante. Um, se les penalizará. Supongo que todo se reduce, en parte, al aspecto legal de los contratos. Es un tema interesante que nos encontramos a menudo cuando hablamos con algunas de estas grandes empresas multinacionales y les decimos que nos gustaría auditarles, y la respuesta típica suele ser que no, que no aceptan auditorías. Supongo que en parte porque, si permitieran una, permitirían que todo el mundo pudiera auditarles. Y lo que solemos ver es que dicen: «Sin embargo, tenemos múltiples certificaciones. Tenemos 27 0001. Tenemos 22 certificaciones de continuidad del negocio. Tenemos evaluaciones de calcetines y podemos proporcionarle muchas de estas certificaciones que tenemos en todos nuestros centros de datos, por ejemplo, o en nuestra infraestructura crítica. Si no puede aplicar el derecho, obviamente hay otros métodos, debería haber otras formas de revisar los controles de seguridad que se han implementado, en particular algunas de esas organizaciones que dicen que tenemos 27 000 certificaciones,000, por ejemplo, nosotros tenemos la certificación Sock, tenemos la 22301 para la continuidad del negocio, hay otra información que puede averiguar para asegurarse de que tienen suficiente capacidad de control y eso puede ser suficiente, pero sí, el derecho a eso puede ser a veces un tema polémico, pero si tiene la capacidad de ponerlo en práctica para decir, basándonos en nuestro acuerdo con usted, basándonos en el nivel de servicio que está proporcionando, um, nos gustaría solicitar, um, ya sabe, requerimos una evaluación, um, de sus controles que hemos acordado que aplicará, por así decirlo, y lo interesante aquí es que tradicionalmente habría significado una auditoría física in situ, ya que usted querría que un auditor de ISO viniera al lugar, pero hoy en día podría ser, um, una revisión remota. Um, podría ser otra revisión que se considere una auditoría.
Amanda: Sí. Bueno, muchas gracias, Thomas. Por desgracia, eso es todo lo que nos da tiempo. Ya nos hemos pasado unos minutos, pero si no hemos respondido a tu pregunta, ponte en contacto con nosotros en [email protected]. Nos aseguraremos de responderlas, pero te agradecemos mucho tu tiempo y el de aquellos que se han quedado un poco más. Había muchas preguntas. Ojalá tuviéramos más tiempo, pero, sin duda, aquellos que estén interesados en conocer las respuestas, por favor, pónganse en contacto con nosotros y les responderemos a sus preguntas. Gracias también a Scott. Thomas, siempre es un placer verte y espero veros a todos en la próxima. Gracias a todos por vuestro tiempo hoy. Adiós.
Thomas: Gracias.
©2026 Mitratech, Inc. Todos los derechos reservados.
©2026 Mitratech, Inc. Todos los derechos reservados.