Guía de Implementación del Marco de Ciberseguridad 5.0

RP.1 Definir acuerdos de niveles de servicio (SLA) con los proveedores de servicios críticos

Requisito RP.1Definir acuerdos de niveles de servicio (SLA) con los proveedores de servicios críticos
ObjetivoContar con acuerdos de niveles de servicios que permitan nivelar las expectativas y responder con la calidad establecida y en los tiempos establecidos.
Controles

Nivel 1

  • RP.1-1: se identifican todos los participantes de la cadena de suministro relacionados con los activos y servicios críticos, incluyendo un punto de contacto operativo designado por cada proveedor.
  • RP.1-2: se cuenta con acuerdos de nivel de servicio (SLA) firmados con proveedores que prestan servicios críticos.

Nivel 2

  • RP.1-3: se implementan mecanismos para identificar y gestionar los riesgos asociados a los participantes de la cadena de suministro que intervienen en los activos y servicios críticos de la organización.
  • RP.1-4: los contratos con proveedores críticos deben incluir cláusulas que obliguen a notificar de forma oportuna cualquier incidente de seguridad, confirmado o sospechado, que pueda afectar a la organización.
  • RP.1-5: los contratos deben establecer claramente la responsabilidad del proveedor en la protección de la información de la organización y en la implementación de las medidas de respuesta acordadas.

Nivel 3

  • RP.1-6: se cuenta con una política formal de relacionamiento con proveedores.
  • RP.1-7: está definido un procedimiento documentado de gestión de proveedores que abarca la selección, contratación, seguimiento, y finalización del vínculo.

Nivel 4

  • RP.1-8: se aplica la gestión de riesgos en la adquisición de productos y servicios, y se mantiene en todo el ciclo de vida de los mismos.
Guía de implementación

Soporte, mantenimiento y régimen de cobertura
Todo sistema, servicio y equipamiento crítico del centro de procesamiento de datos debe contar con soporte de mantenimiento y recambio de partes o, en su defecto, con un plan acción en caso de falla.
Se debe establecer el régimen de cobertura para los servicios críticos de acuerdo a las necesidades de la organización. La administración de infraestructura del centro de procesamiento de datos requiere atención en modalidad 7x24 (o la que mejor se adapte a las necesidades del negocio).

Acuerdos de nivel de servicio
Muchas veces las organizaciones no tienen la capacidad operativa para cubrir este servicio por lo que delegan o comparten la operación del centro de procesamiento de datos a proveedores. Es importante firmar con los proveedores acuerdos de niveles de servicio que pauten el cumplimiento de tiempos de respuesta, estipulados según las necesidades de negocio, así como el aseguramiento de la disponibilidad comprometida de los servicios del centro de procesamiento de datos.

Tiempos de respuesta
También es necesario tener acuerdos que aseguren los tiempos de respuesta para aquellos componentes que por su complejidad no puedan ser redundantes pero que, por su criticidad, su falla pueda provocar disrupción de servicios u otros daños.

Transferencia de responsabilidades
Los acuerdos deben especificar la transferencia de responsabilidades legales y de cumplimiento, incluyendo la protección de los datos personales y la propiedad intelectual. Es crucial establecer mecanismos para ajustar estos acuerdos ante cambios en los requisitos o el fin de la relación, asegurando una terminación ordenada y la continuidad operativa.

Reporte de incidentes
Debe definirse un procedimiento para el reporte de incidentes confirmados o sospechados por parte de los proveedores. Los proveedores deben estar obligados a notificar a la organización sobre cualquier incidente confirmado o sospechado tras su descubrimiento, garantizando que dicha notificación se realice sin demoras irrazonables y, respetando los plazos legales. Esta notificación debe incluir la identificación de todos los individuos cuya información personal haya sido comprometida.

Instituciones de saludNo aplica
Instituciones Emisoras de Dinero Electrónico (IEDE)No aplica
Guía de evidencia para auditoría
  • Listado de proveedores de servicios críticos.
  • Política de relacionamiento con proveedores.
  • Procedimiento de gestión de proveedores.
  • Procedimiento de reporte de incidentes de seguridad de la información (el mismo debe incluir la forma de reporte de proveedores).
  • Contrato con proveedores y acuerdos de nivel de servicio (SLA). Que incluyan cláusulas de seguridad de la información.
  • Registro de las mediciones del desempeño, acciones de mejora para ajustar el servicio, llevadas a cabo durante el período auditado.
  • Muestra de registro de incidentes con proveedores con tiempo de respuesta y resolución.
Normativa asociadaNo aplica

Etiquetas

Gestión y auditoría de Seguridad de la Información Marco de Referencia Política Digital del Uruguay Políticas de Ciberseguridad Ciberseguridad Herramientas para la ciudadanía Herramientas para organismos Política Digital del Uruguay