¿Qué es la norma ISO 27036?
La ISO 27000 es una serie de normas de seguridad de la información desarrolladas y publicadas por la Organización Internacional de Normalización (ISO), que proporciona un marco reconocido mundialmente para las mejores prácticas en el desarrollo del Sistema de Gestión de Seguridad de la información (SGSI ).
La norma ISO 27036, esta dividida en cuatro partes y es una de las normas perteneciente a la familia ISO 27000, referida a la Seguridad de la información para las relaciones con proveedores, ofrece orientación sobre la evaluación y el tratamiento de los riesgos de información involucrados en la adquisición de bienes y servicios de proveedores.
ISO 27000, referida a la Seguridad de la información para las relaciones con proveedores , que ofrece orientación sobre la evaluación y el tratamiento de los riesgos de información involucrados en la adquisición de bienes y servicios de proveedores.
Organización y usos de la ISO 27036
¿Cómo está divida la norma?
La norma ISO/IEC 27036 está dividida en las siguientes cuatro partes:
- ISO/IEC 27036-1:2014: Recoge la descripción general y los conceptos principales. Sirve de introducción a las cuatro partes de esta norma, dando información general de los antecedentes normativos (ISO 27000, TI – Técnicas de seguridad – Sistemas de gestión de seguridad de la información – Descripción general y vocabulario), e introduciendo los términos y conceptos clave, incluidos los riesgos, en relación con la seguridad de la información en las relaciones con los proveedores.
- ISO/IEC 27036-2:2014: Especifica los requisitos fundamentales de la seguridad de la información relativa a las relaciones comerciales entre proveedores y adquirientes. Las medidas de control recomendadas abarcan diversos aspectos de la gobernanza, la gestión empresarial y la gestión de la seguridad de la información (habilitación de proyectos organizacionales, planificación de la relación con el proveedor, acuerdos de relación, gestión de relaciones con proveedores, etc.).
- ISO/IEC 27036-3:2013: Proporciona las directrices para la seguridad de la cadena de suministro de las TIC. Recoge las pautas tanto para los proveedores como para los adquirientes sobre gestión de riesgos de seguridad de la información, relacionados con la cadena de suministro (malware, productos falsificados, riesgos organizativos, integración de la gestión de riesgos con los procesos del ciclo de vida del sistema y del software, etc).
- ISO/IEC 27036-4:2016: Describe las directrices para la seguridad de los servicios en la nube. Proporciona a los clientes y proveedores de servicios en la nube orientación acerca de los riesgos de seguridad de la información asociados con el uso de servicios en la nube y la gestión eficaz de esos riesgos mediante la implantación de controles específicos para su mitigación.
¿Dónde se aplica la ISO 27036?
La norma se aplica a las relaciones comerciales entre compradores y proveedores de diversos bienes y servicios, tales como:
- Suministro de hardware, software y servicios TIC, incluidos los servicios de telecomunicaciones e Internet.
- Externalización de servicios de computación en la nube.
- Otros servicios como guardias de seguridad, limpiadores, mensajería, mantenimiento de equipos, servicios de consultoría y asesoramiento especializado, etc.
- Productos y servicios a medida donde el adquirente especifica los requisitos y normalmente tiene un papel activo en el diseño del producto.
- Servicios públicos como energía eléctrica, combustibles y agua.
Fases de la ISO 27036:
Se dan las pautas para la detección y evaluación de los riesgos de información involucrados en la adquisición de bienes y servicios y la implantación de los controles necesarios para su mitigación, a lo largo de todo el ciclo de vida o fases de la relación entre adquirientes y proveedores:
¿Cuál es el ciclo de vida de la relación?
El ciclo de vida de la ISO 27036 se compone de varias fases:
- Análisis de coste-beneficio, comparación de opciones de desarrollo interno o externalización, o mezcla de ambos.
- Definición de requisitos.
- Selección, evaluación y contratación con los proveedores.
- Aplicación de los acuerdos de suministro.
- Operación: gestión y supervisión de relaciones, cumplimiento, incidentes y cambios, etc.
- Actualización en la posible renovación del contrato, con la revisión de términos y condiciones, rendimiento, problemas, procesos de trabajo, etc.
- Fin de la relación comercial.
Riesgos en la seguridad de la información:
Las situaciones donde se ve comprometida la seguridad de la información se clasifican en:
- Dependencia del adquirente de los proveedores.
- Acceso y protección de activos de información de terceros.
- Responsabilidades compartidas respecto a la seguridad de la información en lo referente al cumplimiento de políticas, normas, leyes, reglamentos, contratos y otros compromisos/obligaciones de seguridad de la información.
- Coordinación adquirente-proveedor para adaptar o responder a los nuevos requisitos de seguridad de la información.
Controles de seguridad de la información:
Los controles de seguridad que se refieren a la información, se deben llevar a cabo a cabo en:
- El análisis preliminar de riesgos, controles, costes y beneficios asociados con el mantenimiento de una seguridad de la información adecuada.
- La creación de objetivos estratégicos compartidos para alinear en materia de seguridad de la información a comprador y proveedor.
- La especificación de requisitos de seguridad de la información: exigencia a los proveedores de cumplimiento de la norma ISO / IEC 27001 en contratos, acuerdos de nivel de servicio, etc.
- En los procedimientos de gestión de la seguridad: análisis de riesgos, diseño de seguridad, gestión de incidentes, planes de continuidad de negocio, entre otros.
- Para la responsabilidad por la protección de activos críticos de información (registros de seguridad, registros de auditoría, pruebas, etc).
- El derecho de auditoría y cumplimiento, con sanciones o responsabilidades en caso de incumplimiento o bonificaciones en caso de pleno cumplimiento.
En GlobalSuite Solutions ofrecemos la ayuda y el asesoramiento necesarios para la implementación de su Sistema de Gestión de Seguridad de la Información (SGSI) basado en los requisitos de la ISO 27001.
Además, contamos con el software GlobalSuite®, íntegramente desarrollado por nuestro equipo, que permite la implantación, gestión y mantenimiento de los requisitos exigidos por la norma ISO 27001 en todo tipo de organizaciones y sectores.