Por Hugo F. Pérez Carretta on Miércoles, 06 Enero 2021
Categoría: REVISTA - TEMAS GENERALES SOBRE NUEVAS TECNOLOGÍAS, DERECHO E INTERNET

ISO / IEC 27036: 2013+ - Tecnología de la información - Técnicas de seguridad - Seguridad de la información para las relaciones con los proveedores (cuatro partes)

Introducción

ISO / IEC 27036 es una norma de varias partes que ofrece orientación sobre la evaluación y el tratamiento de los riesgos de información involucrados en la adquisición de bienes y servicios de los proveedores. El contexto implícito son las relaciones de empresa a empresa, en lugar de la venta al por menor y los productos relacionados con la información. Los términos adquisición y adquirente se utilizan en lugar de compra y compra, ya que el proceso y los riesgos son muy similares, ya sea que las transacciones sean comerciales o no ( por ejemplo, una parte de una organización o grupo puede adquirir productos de otra parte como una transferencia interna sin literalmente pagando por ellos).

 

Alcance y propósito

Al ser un estándar de seguridad de la información , los productos más obviamente cubiertos por los estándares incluyen:

Los estándares pueden cencima:

ISO / IEC 27036-1: 2014 - Seguridad de la información para las relaciones con proveedores - Parte 1: Descripción general y conceptos [¡GRATIS!]

Alcance y propósito: la parte 1 presenta todas las partes de este estándar, brinda información general de antecedentes e introduce los términos y conceptos clave en relación con la seguridad de la información en las relaciones con los proveedores, incluyendo “cualquier relación con el proveedor que pueda tener implicaciones en la seguridad de la información, por ejemplo, tecnología de la información, atención médica servicios, servicios de limpieza, servicios de consultoría, asociaciones de I + D, aplicaciones subcontratadas (ASP) o servicios de computación en la nube (como software, plataforma o infraestructura como servicio) ".

Describe una serie de riesgos de información que comúnmente surgen o se relacionan con las relaciones comerciales entre adquirentes y proveedores, cuando los bienes / servicios adquiridos tienen un contenido de información o relevancia para la seguridad de la información, o cuando el proveedor obtiene acceso a la información interna del adquirente.

Curiosamente, la situación inversa, es decir, que los adquirentes obtengan acceso a la información interna de los proveedores, no se menciona explícitamente en la parte 1, pero sí en la parte 2. La norma está escrita principalmente desde la perspectiva de la adquirente, cubriendo las preocupaciones de seguridad de la información de la adquirente que debe abordarse al establecer relaciones con los proveedores.

Estado: publicado en 2014 y descargable de forma gratuita desde el sitio de la ITTF .
 

ISO / IEC 27036-2: 2014 - Seguridad de la información para las relaciones con proveedores - Parte 2: Requisitos

Alcance y propósito: la parte 2 especifica los requisitos fundamentales de seguridad de la información relacionados con las relaciones comerciales entre proveedores y adquirentes de diversos productos (bienes y servicios). Les ayuda a llegar a un entendimiento común de los riesgos de información asociados y a tratarlos en consecuencia para su mutua satisfacción.

La introducción establece explícitamente que ISO / IEC 27036 Parte 2 no está destinada a fines de certificación , a pesar de tener “Requisitos” en el título y “Deberán” en el contenido [estas son palabras normalmente reservadas en ISO-land].

Las medidas de control recomendadas en la parte 2 cubren varios aspectos de la gobernanza y la gestión empresarial ( por ejemplo , operaciones, gestión de recursos humanos, gestión de TI, gestión de relaciones, métricas), así como la gestión de la seguridad de la información ( por ejemplo , análisis y tratamiento de riesgos de la información, especificación de controles, arquitectura / diseño , estrategia).

Dadas las presunciones, el estilo, la estructura, la profundidad, la amplitud, el rigor y los requisitos de documentación establecidos en la parte 2, seguir el estándar en detalle impondría una carga burocrática significativa en el caso de los suministros de productos básicos, pero puede ser totalmente apropiado para aquellos con fuertes implicaciones para la seguridad de la información ( por ejemplo , adquisición militar y gubernamental de sistemas y servicios de TIC clasificados, o adquisición comercial de sistemas y servicios de TIC críticos para la seguridad o la empresa, incluido el soporte de computación en la nube para procesos comerciales centrales, además de servicios de información que incluyen consultoría). Sin embargo, el estándar es una lista de verificación útil o un recordatorio de los aspectos de seguridad de la información que deben considerarse en la mayoría, si no en todas, las relaciones comerciales.

Estado: publicado en 2014 .

 Parte 2 está siendo revisada siguiente cambios en ISO / IEC 15288. La norma revisada es en W orking D balsa etapa. Está previsto que se publique en 2023.

Notas: aunque esto no pretende ser un estándar certificable, la redacción como: " El adquirente ejecutará las siguientes actividades mínimas para cumplir con el objetivo definido en [una cláusula específica] " deja poca libertad para que las organizaciones interpreten, adapten y aplicar el estándar de acuerdo con sus situaciones y necesidades comerciales particulares.

 

ISO / IEC 27036-3: 2013 - Seguridad de la información para las relaciones con los proveedores - Parte 3: - Directrices para la seguridad de la cadena de suministro de las TIC

Alcance y propósito: esta parte del estándar guía tanto a los proveedores como a los adquirentes de bienes y servicios de TIC sobre la gestión de riesgos de la información relacionada con la cadena de suministro compleja y ampliamente dispersa, incluidos los riesgos como el malware y los productos falsificados más los 'riesgos organizativos' y la integración de gestión de riesgos con procesos de ciclo de vida de sistemas y software, basándose en ISO / IEC 15288, 12207 y 27002 .

Esta parte de ISO / IEC 27036 no cubre los aspectos de continuidad del negocio. Se refiere específicamente a los productos de TIC.

Contenido: en la parte 3 se indica una amplia gama de controles de seguridad de la información, tales como: cadena de custodia; acceso con privilegios mínimos; separación de tareas; pruebas y resistencia a la manipulación; protección persistente; gestión de cumplimiento; evaluación y verificación de códigos; entrenamiento de seguridad; evaluación y respuesta de vulnerabilidad; expectativas de seguridad definidas; derechos y responsabilidades de propiedad intelectual; evitar el mercado gris; procesos de adquisición, incluida la adquisición anónima y de una sola vez; pasar los requisitos de seguridad a los proveedores upstream; gestión de la calidad; Gestión de recursos humanos; gestión de proyectos; administracion de RELACIONES de provisiones; gestión de riesgos y seguridad ( p . ej.el análisis de requisitos debe incluir requisitos de seguridad de la información que aborden los riesgos potenciales); gestión de configuración y cambios; gestión de la información; arquitectura / diseño de seguridad; Implementación y transición de las TIC; Integración de las TIC; Pruebas y verificación de TIC ( por ejemplo , pruebas de seguridad / penetración, escaneo de vulnerabilidades, pruebas de estrés, pruebas de cumplimiento); Protección de malware; Gestión, mantenimiento y eliminación de TIC, etc. La mayoría de ellos están cubiertos en términos generales por ISO / IEC 27002: 27036-3 proporciona orientación adicional en el contexto específico de suministros de TIC. Un anexo incluye un desglose de cláusulas comparables en ISO / IEC 15288 y 12207, y otro identifica cláusulas relevantes de ISO / IEC 27002 .

Estado: publicado en 2013 .
 

ISO / IEC 27036–4: 2016 - Seguridad de la información para las relaciones con los proveedores - Parte 4: Directrices para la seguridad de los servicios en la nube

Alcance y propósito: la parte 4 ofrece orientación sobre seguridad de la información a los proveedores y clientes de servicios en la nube.

El alcance es:

“Proporcionar a los clientes y proveedores de servicios en la nube orientación sobre
a) obtener visibilidad de los riesgos de seguridad de la información asociados con el uso de servicios en la nube y gestionar esos riesgos de forma eficaz, y
b) responder a los riesgos específicos de la adquisición o prestación de servicios en la nube que pueden tener un impacto en la seguridad de la información en las organizaciones que utilizan estos servicios.
[El estándar] no incluye los problemas de resistencia / gestión de la continuidad del negocio relacionados con el servicio en la nube. ISO / IEC 27031 aborda la continuidad del negocio. [El estándar] no proporciona orientación sobre cómo un proveedor de servicios en la nube debe implementar, administrar y operar la seguridad de la información. Puede encontrar orientación sobre estos en ISO / IEC 27002 e ISO / IEC 27017 . El alcance de este [estándar] es definir pautas que respalden la implementación de la gestión de seguridad de la información para el uso de servicios en la nube ". [citando de la versión FDIS]

Estado: publicado en 2016 .

Comentarios personales: la página 4 describe explícitamente los riesgos de información que aborda la norma. ¡La máxima puntuación!

 

Revisión de ISO / IEC 27036

La revisión de esta norma de varias partes está en curso. Se ha propuesto revisar el conjunto para mejorar la consistencia interna y alinearlo con ISO / IEC 15288 (ciclos de vida del sistema de TI).

 

Fuente: https://www.iso27001security.com/html/27036.html

Dejar comentarios