Guía de Implementación del Marco de Ciberseguridad 5.0

RP.2 Establecer pautas, realizar seguimiento y revisión de los servicios de los proveedores, y gestionar sus cambios

Requisito RP.2Establecer pautas, realizar seguimiento y revisión de los servicios de los proveedores, y gestionar sus cambios
ObjetivoEstablecer y asegurar el cumplimiento de los términos y condiciones de seguridad de la información de los contratos y acuerdos de nivel de servicio con los proveedores. Garantizar que los incidentes y problemas de seguridad de la información se manejan de forma adecuada. Asegurar que se gestiona adecuadamente la seguridad de la información frente a cambios en los servicios de los proveedores.
Controles

Nivel 1

  • RP.2-1: se definen métricas e indicadores para el seguimiento y control de los proveedores, mínimamente para los proveedores críticos.

Nivel 2

  • RP.2-2: los contratos y acuerdos con proveedores críticos incluyen cláusulas que permiten su revisión o ajuste en caso de cambios en los servicios prestados, en las tecnologías utilizadas o en las normativas aplicables.

Nivel 3

  • RP.2-3: se define la periodicidad de las evaluaciones de los proveedores.
  • RP.2-4: se documentan los resultados de las evaluaciones de desempeño y cumplimiento de requisitos de seguridad de los proveedores.
  • RP.2-5: se registra y mantiene evidencia de los incumplimientos contractuales o desviaciones detectadas en los servicios provistos, incluyendo las acciones tomadas ante los mismos.

Nivel 4

  • RP.2-6: se revisan periódicamente los acuerdos con proveedores críticos para asegurar su adecuación a los requerimientos actuales del negocio y a cambios regulatorios.
  • RP.2-7: la gestión de riesgos es utilizada para la evaluación de los proveedores en base a servicio brindado en relación a las necesidades del negocio.
  • RP.2-8: las evaluaciones son tomadas en cuenta para las actualizaciones de contratos y las futuras adquisiciones.
Guía de implementaciónSe debe establecer un procedimiento de supervisión de los niveles de desempeño del servicio, en concordancia con los SLAs y los contratos.
Debe evaluarse la posibilidad de realizar auditorías de los proveedores y, en función de sus resultados, reevaluar riesgos frente a cambios en los servicios de los proveedores.
Instituciones de saludCuando se adquieran dispositivos médicos, validar que incorporen los últimos controles de seguridad ciberseguridad.  Además, se deben establecer los roles y responsabilidades relacionados con las actualizaciones, parches, administración de contraseñas, acceso remoto, etc., para garantizar la ciberseguridad de los productos o servicios.
Instituciones Emisoras de Dinero Electrónico (IEDES)

Existe personal responsable para el seguimiento de los acuerdos contractuales celebrados con proveedores terceros de servicios de tecnología.

Se mantendrá y actualizará un registro de información en relación con todos los acuerdos contractuales sobre el uso de servicios de tecnología prestados por proveedores relevantes y otros terceros.

Se definen criterios para seleccionar proveedores de servicios de computación en la nube.

Se verifica que los proveedores de servicios de computación en la nube cuenten y mantengan vigente las certificaciones adecuadas.

Se implementan mecanismos de cifrado fuerte para el envío y recepción de información confidencial con los proveedores y terceros, incluyendo proveedores de servicio de computación en nube.

Guía de evidencia para auditoría
  • Política de relación con proveedores.
  • Lista de proveedores de servicios críticos.
  • Acuerdos de Nivel de Servicio (SLA).
  • Contrato con los proveedores.
  • Registro de revisiones regulares de los SLA y contratos con proveedores de servicios.
Normativa asociadaNo aplica

Etiquetas

Gestión y auditoría de Seguridad de la Información Marco de Referencia Política Digital del Uruguay Políticas de Ciberseguridad Ciberseguridad Herramientas para la ciudadanía Herramientas para organismos Política Digital del Uruguay