Precios
Prueba

Seguridad de la cadena de suministro

Tu organización debe establecer procedimientos de gestión de suministros para garantizar la seguridad de los suministros y la ciberseguridad cuando utilice proveedores directos o proveedores de servicios cuyos servicios puedan afectar a la prestación de servicios críticos de tu organización.

Seguridad de la cadena de suministro

Debes garantizar la seguridad de la cadena de suministro de tu organización , para que ésta y sus productos o servicios no se vean afectados negativamente por vulnerabilidades o incidentes en los proveedores o en sus productos y servicios.

Requisitos

Tu organización debe establecer procedimientos de gestión de suministros para garantizar la seguridad de los suministros y la ciberseguridad cuando utilice proveedores directos o proveedores de servicios cuyos servicios puedan afectar a la prestación de servicios críticos de tu organización. Debe establecerse un enfoque basado en el riesgo para determinar cómo gestionar a tus proveedores y la importancia de la prestación de cada uno de ellos. Tus procedimientos deben ayudar a identificar y evaluar los riesgos de los proveedores y a establecer acuerdos que garanticen que éstos cumplen los requisitos de tu organización.

Selección de proveedores

Debes asegurarte de que los proveedores que elijas sean capaces de prestar los servicios requeridos. Por tanto, debes definir criterios claros para la selección de proveedores y prestadores de servicios, que podrían incluir:

  • las prácticas de ciberseguridad de los proveedores y prestadores de servicios, incluidos losprocedimientos de desarrollo seguro,
  • la capacidad del proveedor o prestador de servicios para cumplir los requisitos de ciberseguridad de tu organización,
  • la capacidad del proveedor para mantener un nivel adecuado de seguridad en el suministro,
  • La capacidad de tu organización para elegir un proveedor alternativo y limitar las dependencias de suministro,
  • la estabilidad financiera del proveedor y los riesgos geopolíticos.

Contratos

También debes asegurarte de que los proveedores mantienen medidas adecuadas que cumplan los requisitos de seguridad establecidos en los contratos, que pueden respaldarse mediante acuerdos de nivel de servicio y mecanismos de auditoría.

Basándose en la evaluación de riesgos, los contratos con proveedores directos o proveedores de servicios pueden incluir las siguientes especificaciones:

  • El proveedor y los servicios prestados deben cumplir todos los requisitos legales y de seguridad pertinentes.
  • Deben definirse las competencias y la formación que se espera del personal de los proveedores.
  • Deben comprobarse los antecedentes del personal que trabaje con bienes críticos.
  • Los proveedores deben notificar inmediatamente a la organización los incidentes relevantes y colaborar en la notificación obligatoria en caso de incidentes graves.
  • Los proveedores directos y los prestadores de servicios deben cooperar con las autoridades supervisoras si la organización está sujeta a supervisión.
  • La organización debe tener derechos de auditoría, o los proveedores deben proporcionar informes de auditoría.
  • Los plazos de entrega de los servicios, incluidas las reparaciones, deben acordarse.
  • Deben abordarse las vulnerabilidades que puedan suponer un riesgo para la red y los sistemas de información de la organización.
  • Si se permite la subcontratación, deben definirse sus responsabilidades y las medidas necesarias.
  • A la finalización del contrato, los proveedores deben devolver o eliminar de forma segura los datos.

Debes considerar la aplicación de estos requisitos de seguridad a los proveedores existentes, así como durante el proceso de selección de nuevos proveedores y al planificar, preparar, gestionar y cerrar la adquisición de servicios, sistemas o productos informáticos.

Documentación

Tu organización debe revisar periódicamente sus procedimientos de gestión de proveedores y mantenerse al tanto de cualquier cambio en las prácticas de ciberseguridad de los proveedores directos o de servicios. También deben realizarse revisiones después de incidentes que hayan afectado o puedan afectar a la seguridad de las redes y sistemas de información de tu organización. Los resultados de estas revisiones deben documentarse siempre.

Prueba RGPD

Comprueba si conoces bien el RGPD.

  • Responderás a 13 preguntas sobre el RGPD.
  • Sólo te llevará 1-2 minutos.
  • Los expertos suelen responder correctamente a las 13 preguntas.
Prueba RGPD

Prueba gratuita

Nos pondremos en contacto contigo por correo electrónico lo antes posible.