Guía de Implementación del Marco de Ciberseguridad 5.0

AD.2 Incluir requisitos de seguridad de la información para la adquisición de productos y servicios de tecnología

Requsito AD.2Incluir requisitos de seguridad de la información para la adquisición de productos y servicios de tecnología
ObjetivoGarantizar que la seguridad de la información forma parte de los sistemas de información en todo el ciclo de vida de los proyectos y en las adquisiciones. 
Controles

Nivel 1

  • AD.2-1: se cuenta con lineamientos generales para la adquisición de sistemas o servicios de tecnología.
  • AD.2-2: los requisitos de seguridad de la información se incluyen en las solicitudes y evaluaciones de compra.

Nivel 2

  • AD.2-3: se evalúa la capacidad de los proveedores para cumplir con los requisitos de seguridad antes de la contratación.

Nivel 3

  • AD.2-4: se revisan y aprueban los entregables para verificar que cumplen con los requisitos de seguridad definidos.
  • AD.2-5: los contratos con proveedores incluyen compromisos de mantenimiento de la seguridad a lo largo del ciclo de vida del producto o servicio.

Nivel 4

  • AD.2-6: los procesos de adquisición consideran las lecciones aprendidas y resultados de auditorías para mejorar continuamente los requisitos de seguridad.
Guía de implementación

Adquisición de productos
En el caso de adquisición de productos, los contratos con los proveedores deben incorporar los requisitos de seguridad que sean necesarios. En caso de que esos requisitos de seguridad no puedan ser satisfechos, debe considerarse el riesgo generado por esta causa y evaluar si realmente se va a adquirir el producto.

Definición de requisitos y evaluación previa
Antes de iniciar un proceso de compra, la organización debe definir los requisitos de seguridad específicos basados en un análisis de riesgos. Estos pueden incluir, entre otros: autenticación y control de acceso, cifrado de datos, registro de eventos, cumplimiento normativo, gestión de vulnerabilidades y soporte de actualizaciones de seguridad. Se debe evaluar la capacidad del proveedor para cumplir con dichos requisitos y considerar el historial de cumplimiento de seguridad.

Incorporación de requisitos en los contratos
Los contratos y acuerdos con los proveedores deben contener cláusulas que establezcan obligaciones claras en materia de seguridad de la información, protección de datos, gestión de incidentes y mantenimiento de actualizaciones de seguridad durante la vida útil del producto o servicio, entre otras. En caso de que no sea posible cumplir con un requisito crítico, se debe documentar el riesgo y someterlo a aprobación para su aceptación formal.

Seguimiento y verificación
Una vez adquirido el producto o servicio, se deben establecer mecanismos de verificación que permitan confirmar que los entregables cumplen con los requisitos de seguridad. Esto puede incluir pruebas técnicas, revisiones documentales y validaciones operativas. Adicionalmente, se debe realizar un seguimiento periódico del proveedor para evaluar el cumplimiento continuo de los compromisos asumidos en materia de seguridad.

Instituciones de saludNo aplica
Instituciones Emisoras de Dinero Electrónico (IEDE)Los sistemas informáticos de la institución deben contar con soporte por parte del fabricante o proveedor autorizado por este. En caso contrario deberá justificarse y establecerse controles paliativos.
Guía de evidencia para auditoría
  • Lineamientos generales aprobados para la adquisición de sistemas o servicios de tecnología (políticas internas, resoluciones, etc.).
  • Solicitudes de compra o pliegos de licitación que incluyan requisitos de seguridad de la información.
  • Actas o informes de revisión y aprobación de entregables, evidenciando la verificación de requisitos de seguridad definidos.
Normativa asociadaNo aplica

Etiquetas

Gestión y auditoría de Seguridad de la Información Marco de Referencia Política Digital del Uruguay Políticas de Ciberseguridad Ciberseguridad Herramientas para la ciudadanía Herramientas para organismos Política Digital del Uruguay