6.1 ORGANIZACIÓN INTERNA
Objetivo: gestionar la seguridad de la información dentro de la organización.Se debería establecer una estructura de gestión para iniciar y controlar la implementación
de la seguridad de la información dentro de la organización.
La dirección debería aprobar la política de seguridad de la información, asignar las
funciones de seguridad, coordinar y revisar la implementación de la seguridad en toda la
organización.
Si es necesario, se recomienda establecer una fuente de asesoría especializada sobre
seguridad de la información y ponerla a disposición en la organización. Es conveniente
desarrollar contactos con grupos o especialistas externos en seguridad, incluyendo las
autoridades pertinentes, para ir al compás de las tendencias industriales, monitorear
normas y métodos de evaluación, así como proveer puntos adecuados de vínculo cando
se manejan incidentes de seguridad de la información. Se debería promover un enfoque
multidisciplinario para la seguridad de la información.
6.1.1 Compromiso de la dirección con la seguridad de la información
Control
La dirección debería apoyar activamente la seguridad dentro de la organización con un rumbo claro, un compromiso demostrado, una asignación explícita y el conocimiento de lasresponsabilidades de la seguridad de la información.
Guía de implementación
La dirección debería:
a) asegurar que las metas de la seguridad de la información están identificadas, satisfacen
los requisitos de la organización y están integradas en los procesos pertinentes;
b) formular, revisar y aprobar la política de seguridad de la información;
c) revisar la eficacia de la implementación de la política de seguridad de la información;
d) proporcionar un rumbo claro y apoyo visible para las iniciativas de seguridad;
e) proporcionar los recursos necesarios para la seguridad de la información;
f) aprobar la asignación de funciones y responsabilidades específicas para la seguridad
de la información en toda la organización;
g) iniciar planes y programas para mantener la concientización sobre la seguridad de la
información;
h) asegurar la coordinación en toda la organización de la implementación de los controles
de seguridad de la información.
La dirección debería identificar las necesidades de asesoría especializada interna o externa
sobre la seguridad de la información, revisar y coordinar los resultados de la asesoría en toda
la organización.
Dependiendo del tamaño de la organización, tales responsabilidades se podrían manejar a
través de un comité de dirección dedicado a esta labor o a través de un organismo de dirección
ya existente, como por ejemplo el consejo directivo.
Información adicional
La NTC 5411-1:2006, contiene información adicional.
6.1.2 Coordinación de la seguridad de la información
Control
Las actividades de la seguridad de la información deberían ser coordinadas por losrepresentantes de todas las partes de la organización con roles y funciones laborales
pertinentes.
Guía de implementación
Comúnmente, la coordinación de la seguridad de la información involucra la cooperación y
colaboración de directores, usuarios, administradores, diseñadores de aplicación, auditores y
personal de seguridad, así como habilidades especializadas en áreas como seguros, temas
legales, recursos humanos, tecnología de la información o gestión de riesgos.
Esta actividad debería:
a) garantizar que las actividades de seguridad se efectúan en cumplimiento de la política
de seguridad de la información;
b) identificar la forma de manejar los incumplimientos;
c) aprobar metodologías y procesos para la seguridad de la información, como la
evaluación de riesgos y la clasificación de información;
d) identificar cambios significativos en las amenazas y la exposición de la información y de
los servicios de procesamiento de la información a las amenazas;
e) evaluar la idoneidad y coordinar la implementación de los controles de seguridad de la
información;
f) promover eficazmente la educación, la formación y la concientización de la seguridad de
la información en toda la organización;
g) valorar la información recibida del monitoreo y la revisión de los incidentes de seguridad
de la información, y recomendar las acciones apropiadas para responder a los
incidentes identificados de la seguridad de la información.
Si la organización no emplea grupos con funciones separadas, por ejemplo debido a que
dichos grupos no son apropiados para el tamaño de la organización, las acciones descritas
anteriormente las debería llevar a cabo otro organismo de la dirección o un solo director.
6.1.3 Asignación de responsabilidades para la seguridad de la información
Control
Se deberían definir claramente todas las responsabilidades en cuanto a seguridad de lainformación.
Guía de implementación
La asignación de responsabilidades para la seguridad de la información se debería realizar de
acuerdo con la política de seguridad de la información (véase el numeral 5). Se recomienda
definir claramente las responsabilidades para la protección de activos individuales y para la
ejecución de procesos específicos de seguridad. Esta responsabilidad debería
complementarse, cuando es necesario, con directrices más detalladas para sitios específicos y
servicios específicos de procesamiento de información. Se deberían definir claramente las
responsabilidades locales para la protección de activos y para realizar procesos específicos de
seguridad, como por ejemplo la planificación de la continuidad del negocio.
Los individuos con responsabilidades de seguridad asignadas pueden delegar las labores de
seguridad a otros. No obstante, siguen siendo responsables y deberían determinar la ejecución
correcta de las labores delegadas.
Las áreas por las cuales son responsables los individuos se deberían establecer con claridad,
en particular, se deberían establecer las siguientes:
a) los activos y los procesos de seguridad asociados con cada sistema particular se
deberían identificar y definir claramente;
b) se debería asignar la entidad responsable de cada activo o proceso de seguridad, así
como documentar esta responsabilidad (véase también el numeral 7.1.2);
c) se deberían definir y documentar claramente los niveles de autorización.
Información adicional
En muchas organizaciones se designará un director de seguridad de la información con toda la
responsabilidad por el desarrollo e implementación de la seguridad y para apoyar la
identificación de controles.
Sin embargo, la responsabilidad por los recursos y la implementación de controles
permanecerá en los directores individuales. Una práctica común es designar un dueño para
cada activo, quien se hace responsable de su protección diaria.
6.1.4 Proceso de autorización para los servicios de procesamiento de información
Control
Se debería definir e implementar un proceso de autorización de la dirección para nuevosservicios de procesamiento de información.
Guía de implementación
Se recomienda tener en cuenta las siguientes directrices para el proceso de autorización:
a) los servicios nuevos deberían tener autorización de la dirección para el usuario
apropiado, autorizando su propósito y uso. La autorización también se debería obtener
del director responsable de mantener el entorno de seguridad del sistema de
información local para asegurar el cumplimiento de todas las políticas y los requisitos de
seguridad correspondientes;
b) cuando es necesario, el hardware y el software se deberían verificar para asegurar que
son compatibles con otros componentes del sistema;
c) la utilización de servicios de procesamiento de información personales o privados, por
ejemplo computadores portátiles (laptops), computadores domésticos o dispositivos
manuales para procesar información del negocio, pueden introducir nuevas
vulnerabilidades y se deberían identificar e implementar los controles necesarios.
6.1.5 Acuerdos sobre confidencialidad
Control
Se deberían identificar y revisar con regularidad los requisitos de confidencialidad o losacuerdos de no-divulgación que reflejan las necesidades de la organización para la protección
de la información.
Guía de implementación
Los acuerdos de confidencialidad o de no-divulgación deberían abordar los requisitos para
proteger la información confidencial usando términos que se puedan hacer cumplir legalmente.
Para identificar los requisitos para los acuerdos de confidencialidad o de no-divulgación, se
deberían considerar los siguientes elementos:
a) definición de la información que se ha de proteger (por ejemplo la información
confidencial);
b) duración esperada del acuerdo, incluyendo los casos en que puede ser necesario
mantener la confidencialidad indefinidamente;
c) acciones requeridas cuando se termina un acuerdo;
d) responsabilidades y acciones de los que suscriben el acuerdo de confidencialidad para
evitar la divulgación no autorizada de información (tal como "necesidad de conocer");
e) propiedad de la información, secretos comerciales y propiedad intelectual y cómo se
relaciona con la protección de información confidencial;
f) el uso permitido de la información confidencial y los derechos de los que suscriben el
acuerdo de confidencialidad a usar la información;
g) derecho de auditar y monitorear las actividades que involucran a la información
confidencial;
h) Proceso para la notificación y el reporte de divulgación no autorizada o violación de la
información confidencial;
i) términos para la devolución o la destrucción de la información al terminar el acuerdo;
j) acciones esperadas a tomar en caso de incumplimiento de este acuerdo.
Con base en los requisitos de seguridad de la organización, pueden ser necesarios otros
elementos en un acuerdo de confidencialidad o no-divulgación.
Los acuerdos de confidencialidad o no-divulgación deberían cumplir todas las leyes y las
regulaciones que se aplican en la jurisdicción correspondiente (véase el numeral 15.1.1).
Los requisitos para los acuerdos de confidencialidad o no-divulgación se deberían revisar
periódicamente y cuando se produzcan cambios que influyan en estos requisitos.
Información adicional
Los acuerdos de confidencialidad y de no-divulgación protegen la información de la
organización e informan a los que suscriben el acuerdo de confidencialidad, sus
responsabilidades para proteger, utilizar y divulgar información de forma responsable y
autorizada.
Puede ser necesario que una organización utilice diferentes formas de acuerdos de
confidencialidad y de no-divulgación en circunstancias diferentes.
6.1.6 Contacto con las autoridades
Control
Se deberían mantener contactos apropiados con las autoridades pertinentes.Guía de implementación
Las organizaciones deberían tener procedimientos establecidos que especifiquen cuándo y a
través de que autoridades (policía, bomberos, autoridades de supervisión) se deberían
contactar y la forma en que se deberían reportar oportunamente los incidentes identificados de
la seguridad de la información, si se sospecha de incumplimiento de la ley.
Puede que las organizaciones sometidas a ataques provenientes de Internet necesiten terceras
partes externas (por ejemplo un proveedor de servicios de Internet o un operador de
telecomunicaciones) para tomar acción contra la fuente de los ataques.
Información adicional
El mantenimiento de dichos contactos puede ser un requisito para dar soporte a la gestión de
incidentes de seguridad de la información (véase el numeral 13.2) o a la continuidad del
negocio y el proceso de planes de contingencia (véase la sección 14). Los contactos con los
organismos de regulación también son útiles para anticipar y preparar los cambios futuros en la
ley o en los reglamentos que la organización debe cumplir. Los contactos con otras autoridades
incluyen servicios públicos, servicios de emergencia, salud y seguridad, como el departamento
de bomberos (en conexión con la continuidad del negocio), proveedores de telecomunicaciones
(junto con enrutamiento de línea y disponibilidad) y proveedores de agua (junto con medios de
refrigeración para los equipos).
6.1.7 Contactos con grupos de interés especiales
Control
Se deberían mantener los contactos apropiados con grupos de interés especiales, otros forosespecializados en seguridad de la información, y asociaciones de profesionales.
Guía de implementación
La pertenencia a foros o grupos de interés especial se debería considerar un medio para:
a) mejorar el conocimiento sobre las mejores prácticas y estar actualizado con la
información pertinente a la seguridad;
b) garantizar que la comprensión del entorno de seguridad de la información es actual y
completa;
c) recibir advertencias oportunas de alertas, avisos y parches relacionados con ataques y
vulnerabilidades;
d) obtener acceso a asesoría especializada sobre seguridad de la información;
e) compartir e intercambiar información acerca de nuevas tecnologías, productos,
amenazas o vulnerabilidades;
f) suministrar puntos adecuados de enlace cuando se trata de incidentes de seguridad de
la información (véase el numeral 13.2.1).
Información adicional
Se pueden establecer acuerdos para compartir información con el objeto de mejorar la
cooperación y la coordinación de los temas de seguridad. Dichos acuerdos deberían identificar
los requisitos para la protección de la información sensible.
6.1.8 Revisión independiente de la seguridad de la información
Control
El enfoque de la organización para la gestión de la seguridad de la información y suimplementación (es decir, objetivos de control, controles, políticas, procesos y procedimientos
para seguridad de la información) se deberían revisar independientemente a intervalos
planificados, o cuando ocurran cambios significativos en la implementación de la seguridad.
Guía de implementación
La dirección debería poner en marcha la revisión independiente. Esta revisión independiente es
necesaria para asegurar la eficacia, idoneidad y propiedad del enfoque de la organización para
la gestión de la seguridad de la información. La revisión debería incluir la evaluación de las
oportunidades de mejora y la necesidad de cambios en el enfoque de la seguridad, incluyendo
la política y los objetivos de control.
Dicha revisión debería ser realizada por personas independientes del área sometida a revisión,
por ejemplo por la función de auditoría interna, un director independiente o una organización de
tercera parte especializada en tales revisiones. Los individuos que llevan a cabo estas
revisiones deberían tener la experiencia y las habilidades adecuadas.
Se recomienda que los resultados de la revisión independiente se registren y se reporten a la
dirección que ha iniciado la revisión. Estos registros se deberían conservar.
Si la revisión identifica que el enfoque y la implementación de la organización con respecto a la
gestión del sistema de seguridad son inadecuados o no cumplen la orientación para la
seguridad de la información establecida en el documento de la política de la seguridad de la
información (véase el numeral 5.1.1), la dirección debería considerar las acciones correctivas.
Información adicional
El área que los directores deberían revisar regularmente (véase el numeral 15.2.1) también se
podría revisar independientemente. Las técnicas de revisión pueden incluir entrevistas de la
dirección, verificación de registros o revisión de los documentos de la política de seguridad. La
norma NTC-ISO 19011:2002, Directrices para la auditoría de los sistemas de gestión ambiental
y / o de calidad también puede suministrar una guía útil para llevar a cabo la revisión
independiente, incluyendo el establecimiento y la implementación de un programa de revisión.
El numeral 15.3 especifica los controles pertinentes para la revisión independiente de los
sistemas de información operativos y el uso de las herramientas de auditoría de sistemas.
6.2 PARTES EXTERNAS
Objetivo: mantener la seguridad de la información y de los servicios de procesamientode información de la organización a los cuales tienen acceso partes externas o que son
procesados, comunicados o dirigidos por éstas.
La seguridad de la información y de los servicios de procesamiento de información no se
deberían reducir introduciendo productos o servicios de partes externas.
Se debería controlar todo acceso a los servicios de procesamiento de información, así
como el procesamiento y comunicación de información por partes externas.
Cuando existe una necesidad del negocio de trabajar con partes externas que pueden
requerir acceso a la información de la organización y a sus servicios de procesamiento de
información, o de obtener o suministrar productos y servicios de o para una parte externa,
se debería realizar una evaluación de riesgos para determinar las implicaciones para la
seguridad y los requisitos de control. Los controles se deberían acordar y definir en un
convenio con la parte externa.
6.2.1 Identificación de los riesgos relacionados con las partes externas
Control
Se deberían identificar los riesgos para la información y los servicios de procesamiento deinformación de la organización de los a los procesos del negocio que involucran partes
externas e implementar los controles apropiados antes de autorizar el acceso.
Guía de implementación
Cuando existe la necesidad de permitir el acceso de una parte externa a los servicios de
procesamiento de información o a la información de la organización, es recomendable llevar a
cabo una evaluación de riesgos (véase también la sección 4) para identificar los requisitos para
los controles específicos. En la identificación de los riesgos relacionados con el acceso de
partes externas se deberían considerar los siguientes aspectos:
a) los servicios de procesamiento de información a los cuales requiere acceso la parte
externa;
b) el tipo de acceso que tendrá la parte externa a la información y a los servicios de
procesamiento de información, por ejemplo:
1) acceso físico, por ejemplo a oficinas, recintos de computadores y gabinetes de
archivos;
2) acceso lógico, por ejemplo a las bases de datos de la organización o a los
sistemas de la organización;
3) conexión de red entre las redes de la organización y de la parte externa por
ejemplo conexión permanente, acceso remoto;
4) si el acceso tendrá lugar en las instalaciones o fuera de ellas.
c) el valor y la sensibilidad de la información involucrada y su importancia para las
operaciones del negocio;
d) los controles necesarios para proteger la información que no está destinada a ser
accesible por las partes externas;
e) el personal de la parte externa involucrado en manejar la información de la
organización;
f) la forma en que se puede identificar a la organización o al personal autorizado a tener
acceso, la manera de verificar la autorización, así como la forma en que es necesario
confirmarlo;
g) los diferentes medios y controles utilizados por la parte externa al almacenar, procesar,
comunicar, compartir e intercambiar la información;
h) el impacto del acceso denegado a la parte externa cuando lo requiere y la recepción o
el acceso de la parte externa a información inexacta o engañosa;
i) las prácticas y los procedimientos para tratar los incidentes de seguridad de la
información y los daños potenciales, al igual que los términos y las condiciones para la
continuación del acceso de la parte externa en el caso de un incidente de seguridad de
la información;
j) los requisitos legales y reglamentarios y otras obligaciones contractuales pertinentes a
la parte externa que se deberían tener en cuenta;
k) la forma en que se podrían ver afectados los intereses de cualquier otro accionista
debido a los acuerdos.
El acceso de las partes externas a la información de la organización no se debería brindar
hasta haber implementado los controles apropiados y, cuando es viable, haber firmado un
contrato que defina los términos y las condiciones para la conexión o el acceso y el acuerdo de
trabajo. En general, todos los requisitos de seguridad, que resultan del trabajo con partes
externas, o los controles internos se deberían reflejar en el acuerdo con la parte externa
(véanse los numerales 6.2.2 y 6.2.3).
Se debería garantizar que la parte externa es consciente de sus obligaciones y acepta las
responsabilidades y deberes involucrados en el acceso, procesamiento, comunicación o
gestión de la información y los servicios de procesamiento de información de la organización.
Información adicional
Las partes externas podrían poner en riesgo la información con una gestión inadecuada de la
seguridad. Se deberían identificar y aplicar los controles para administrar el acceso de la parte
externa a los servicios de procesamiento de información. Por ejemplo, si existe una necesidad
especial de confidencialidad de la información, se podrían utilizar los acuerdos de nodivulgación.
Las organizaciones pueden enfrentar riesgos asociados con procesos, gestión y comunicación
entre las organizaciones, si se aplica un alto grado de contratación externa cuando existen
varias partes externas involucradas.
Los controles 6.2.2 y 6.2.3 comprenden diferentes acuerdos con partes externas, incluyendo
por ejemplo:
a) proveedores de servicios, como los proveedores de servicios de Internet, proveedores
de red, servicios telefónicos, servicios de mantenimiento y soporte;
b) servicios de seguridad dirigidos;
c) clientes;
d) contratación externa de servicios y / u operaciones, sistemas de tecnología de la
información, servicios de recolección de datos, operaciones de centro de llamadas;
e) asesores de negocios y gestión, y auditores;
f) desarrolladores y proveedores, por ejemplo productos de software y sistemas de
tecnología de la información;
g) limpieza, alimentación y otros servicios de soporte contratados externamente;
h) personal temporal, ubicación de estudiantes y otras asignaciones casuales a corto
plazo;
Tales acuerdos pueden ayudar a reducir los riesgos asociados con las partes externas.
6.2.2 Abordaje de la seguridad cuando se trata con los clientes
Control
Todos los requisitos de seguridad identificados se deberían abordar antes de dar acceso a losclientes a los activos o la información de la organización.
Guía de implementación
Los siguientes términos se deberían considerar para abordar la seguridad antes de dar acceso
a los clientes a cualquiera de los activos de la organización (dependiendo del tipo y la
extensión de dicho acceso, no se podrían aplicar todos ellos):
a) protección de activos, incluyendo:
1) procedimientos para proteger los activos de la organización, incluyendo
información y software, y gestión de las vulnerabilidades conocidas;
2) procedimientos para determinar si alguna vez se han puesto en peligro los
activos, por ejemplo pérdida o modificación de datos;
3) integridad;
4) restricciones a la copia y la divulgación de la información;
b) descripción del producto o servicio que se va proveer;
c) las diversas razones, requisitos y beneficios del acceso del cliente;
d) política de control del acceso, incluyendo:
1) métodos de acceso permitido y control y uso de identificadores únicos tales
como la identificación del usuario (ID) y las contraseñas;
2) proceso de autorización para los privilegios y el acceso de los usuarios;
3) declaración de que el acceso que no se autorice explícitamente está prohibido;
4) proceso para revocar los derechos de acceso o interrumpir la conexión entre los
sistemas;
e) convenios para el reporte, la notificación y la investigación de las inexactitudes de la
información (por ejemplo de detalles personales), incidentes de seguridad de la
información y violaciones de la seguridad.
f) descripción de cada servicio que va a estar disponible;
g) la meta del nivel de servicio y los niveles inaceptables de servicio;
h) el derecho a monitorear y revocar cualquier actividad relacionada con los activos de la
organización;
i) las respectivas responsabilidades civiles de la organización y del cliente;
j) las responsabilidades relacionadas con asuntos legales y la forma en que se garantiza
el cumplimiento de los requisitos legales, por ejemplo la legislación sobre protección de
datos, teniendo en cuenta particularmente los diversos sistemas legales nacionales, si el
acuerdo implica cooperación con clientes en otros países (véase el numeral 6.1.5).
k) derechos de propiedad intelectual (DPI) y asignación de derechos de copia (véase el
numeral 15.1.2) y la protección de cualquier trabajo en colaboración (véase el
numeral 6.1.5).
Información adicional
Los requisitos de seguridad relacionados con los clientes que tiene acceso a los activos de la
organización pueden variar considerablemente dependiendo de la información y de los
servicios de procesamiento de información a los cuales se tiene acceso. Estos requisitos de
seguridad se pueden abordar empleando acuerdos con el cliente que contengan todos los
riesgos y requisitos de seguridad identificados (véase el numeral 6.2.1).
Los acuerdos con las partes externas también pueden involucrar a otras partes. Los acuerdos
que otorgan acceso a la parte externa deberían incluir la permisividad para la designación de
otras partes y las condiciones elegibles para su acceso y participación.
6.2.3 Abordaje de la seguridad en los acuerdos con terceras partes
Control
Los acuerdos con terceras partes que implican acceso, procesamiento, comunicación o gestiónde la información o de los servicios de procesamiento de información de la organización, o la
adición de productos o servicios a los servicios de procesamiento de la información deberían
considerar todos los requisitos pertinentes de seguridad.
Guía de implementación
El acuerdo debería garantizar que no existen malos entendidos entre la organización y la
tercera parte. Las organizaciones deberían estar satisfechas en la medida de la indemnización
de la tercera parte.
Se recomienda tener en cuenta los siguientes términos para la inclusión en el acuerdo con el
objeto de cumplir los requisitos de seguridad identificados:
a) la política de seguridad de la información;
b) los controles para asegurar la protección del activo, incluyendo:
1) procedimientos para proteger los activos de la organización, incluyendo
información, software y hardware;
2) todos los controles y mecanismos de protección física requeridos;
3) controles para asegurar la protección contra software malicioso (véase el
numeral 10.4.1);
4) procedimientos para determinar si alguna vez se han puesto en peligro los
activos, por ejemplo pérdida o modificación de información; software y hardware;
5) controles para asegurar la devolución o la destrucción de la información y los
activos al finalizar el acuerdo o en un punto acordado en el tiempo durante la
duración del acuerdo;
6) confidencialidad, integridad, disponibilidad y cualquier otra propiedad pertinente
(véase el numeral 2.1.5) de los activos;
7) restricciones a la copia y a la divulgación de información, y uso de acuerdos de
confidencialidad (véase el numeral 6.1.5);
c) la formación del usuario y del administrador en métodos, procedimientos y seguridad;
d) asegurar la concientización del usuario sobre responsabilidades y aspectos de la
seguridad de la información;
e) las disposiciones para la transferencia de personal, cuando es apropiado;
f) las responsabilidades relacionadas con la instalación y el mantenimiento del software y
el hardware;
g) la estructura clara y los formatos acordados para la presentación de los informes;
h) el proceso claro y específico para la gestión de cambios;
i) la política de control del acceso, incluyendo:
1) diversas razones, requisitos y beneficios de la necesidad del acceso por terceras
partes;
2) métodos de acceso permitido y control y uso de identificadores únicos, tales
como las identificaciones de usuario (ID) y las contraseñas;
3) proceso de autorización para los privilegios y el acceso del usuario;
4) requisito para mantener una lista de las personas autorizadas a usar los
servicios que se ponen a disposición, y de sus derechos y privilegios con
relación a tal uso;
5) declaración de que el acceso que no se autorice explícitamente está prohibido;
6) proceso para revocar los derechos de acceso o interrumpir la conexión entre los
sistemas;
j) las disposiciones para el reporte, la notificación y la investigación de los incidentes de
seguridad de la información y las violaciones de la seguridad, así como los
incumplimientos de los requisitos establecidos en el acuerdo;
k) la descripción de cada servicio que va a estar disponible y una descripción de la
información que va a estar disponible junto con su clasificación de seguridad (véase el
numeral 7.2.1);
l) la meta del nivel de servicio y los niveles inaceptables de servicio;
m) la definición de criterios verificables de desempeño, su monitoreo y reporte;
n) el derecho a monitorear y revocar cualquier actividad relacionada con los activos de la
organización;
o) el derecho a auditar las responsabilidades definidas en el acuerdo, a que dichas
auditorías sean realizadas por una tercer parte y a enumerar los derechos estatutarios
de los auditores;
p) el establecimiento de un proceso de escalada para la solución de problemas;
q) los requisitos de la continuidad del servicio, incluyendo las medidas para la
disponibilidad y confiabilidad, de acuerdo con las prioridades de negocio de la
organización;
r) las responsabilidades civiles correspondientes de las partes del acuerdo;
s) las responsabilidades relacionadas con asuntos legales y la forma en que se garantiza
el cumplimiento de los requisitos legales, por ejemplo la legislación sobre protección de
datos, teniendo en cuenta particularmente los diversos sistemas legales nacionales, si el
acuerdo implica cooperación con organizaciones en otros países (véase el numeral
15.1);
t) los derechos de propiedad intelectual (DPI) y asignación de derechos de copia (véase el
numeral 15.1.2) y la protección de cualquier trabajo en colaboración (véase el numeral
6.1.5);
u) la participación de la tercera parte con los subcontratistas y los controles de seguridad
que estos subcontratistas necesitan implementar;
v) las condiciones para la renegociación / terminación del acuerdo:
1) se debería establecer un plan de contingencia en caso de que cualquiera de las
partes desee terminar la relación antes del término de los acuerdos;
2) renegociación de acuerdos si cambian los requisitos de seguridad de la
organización;
3) documentación vigente de las listas de activos, licencias, acuerdos o derechos
relacionados con ellos.
Información adicional
Los acuerdos pueden variar considerablemente para diferentes organizaciones y entre los
diferentes tipos de terceras partes. Por lo tanto, se debe tener cuidado al incluir todos los
riesgos y requisitos de seguridad identificados (véase el numeral 6.2.1) en los acuerdos.
Cuando es necesario, los procedimientos y controles requeridos se pueden ampliar en el plan
de gestión de la seguridad.
Si la gestión de la seguridad se contrata externamente, los acuerdos deberían abarcar la forma
en que la tercera parte garantizará la seguridad adecuada, tal como lo definió la evaluación de
riesgos, cómo mantendrá la seguridad, y cómo se adaptará la seguridad para identificar y tratar
los cambios en los riesgos.
Algunas de las diferencias entre la contratación externa y otras formas de prestación de
servicios de terceras partes incluyen el tema de la responsabilidad civil, la planificación del
periodo de transición y la interrupción potencial de las operaciones durante este periodo,
acuerdos sobre planificación de contingencias y revisiones con la debida diligencia, así como la
recolección y gestión de información sobre incidentes de seguridad. Por ello, es importante que
la organización planifique y gestione la transición hacia un acuerdo contratado externamente y
tenga procesos adecuados establecidos para la gestión de los cambios y la renegociación /
terminación de los acuerdos.
Es necesario considerar en el acuerdo los procedimientos para el procesamiento continuo, en
el caso de que la tercera parte no pueda suministrar sus servicios, para evitar cualquier retraso
en la disposición de los servicios de reemplazo.
Los acuerdos con las partes externas también pueden involucrar a otras partes. Los acuerdos
que otorgan acceso a la tercera parte deberían incluir la permisividad para la designación de
otras partes y las condiciones elegibles para su acceso y participación.
En general, los acuerdos los desarrolla en primer término la organización. Puede haber
ocasiones, en algunas circunstancias, en que una tercera parte pueda desarrollar un acuerdo e
imponerlo a la organización. Es necesario que la organización garantice que su propia
seguridad no sufre impactos innecesarios debido a los requisitos de la tercera parte estipulados
en los acuerdos impuestos.
No hay comentarios.:
Publicar un comentario