ISO/IEC 27036

ISO/IEC 27036 es un estándar que trata de ofrecer una orientación sobre la evaluación y el tratamiento de los riesgos de información involucrados en la adquisición de bienes y servicios de proveedores. El contexto implícito son las relaciones entre empresas y los productos relacionados con la información. Los términos adquisición y adquirente se utilizan en lugar de compra y compra, esto se debe a que el proceso y los riesgos son muy parecidos, independientemente de si las transacciones son comerciales o no.

Alcance y propósito[editar]

Al ser un estándar de seguridad de la información puede describir que deben incluir los productos que están cubiertos por el mismo. Esto hace referencia, por ejemplo, subcontratación de IT, servicios de computación en la nube, suministro de hardware/software/servicios TIC, entre otros.

Además, el estándar puede cubrir los siguientes aspectos:

Metas estratégicas, objetivos, necesidades comerciales y obligaciones de cumplimiento en relación con la seguridad y garantía de la información al adquirir productos relacionados con las TIC o de información.
Riegos de información:
- La dependencia del comprador en los proveedores, lo que complica los acuerdos de continuidad del negocio del comprador.
- Acceso físico y lógico, así como la protección de activos de información de terceros y terceros.
- Crear un entorno de "confianza extendida" con responsabilidades compartidas para la seguridad de la información.
- Coordinación entre el proveedor y el comprador para adaptarse a los requisitos de seguridad de la información que son nuevos y/o modificados.
Controles de seguridad de la información:
- Gestión de relaciones que cubre todo el ciclo de vida de la relación comercial.
- Análisis preliminar, preparación de un caso comercial sólido, invitación a licitación, etc.. Todo ello teniendo en cuenta los riesgos, controles, costos y beneficios asociados con el mantenimiento de la seguridad de la información adecuada.
- Creación de objetivos estratégicos compartidos explícitos para alinear al adquirente y al proveedor en la seguridad de la información y otros aspectos.
- Especificación de requisitos importantes de seguridad de la información en contratos, acuerdos de nivel de servicio, etc..
El ciclo de vida completo de la relación:
- Iniciación: alcance, análisis de caso de negocio, comparación de opciones, etc.
- Definición de requisitos, incluidos los requisitos de seguridad de la información.
- Adquisiciones, incluida la selección, evaluación y contratación con proveedor/es.
- Transición o implementación de los acuerdos de suministro.
- Operación, incluyendo aspectos como la gestión de rutina de relación, cumplimiento, gestión de incidentes y cambios, seguimiento, etc..
- Refrescar (etapa opcional) para renovar el contrato, tal vez revisar los términos y condiciones, el rendimiento, entre otros.
- Terminación y salida, es decir, poner fin a una relación comercial.

Partes del estándar[editar]

ISO/IEC 27036-1^[1][editar]

La parte 1 introduce todas las partes de esta norma. Además, brinda información general de antecedentes e introduce los términos y conceptos clave en relación con la seguridad de la información en las relaciones con los proveedores.

También incluye una definición del problema, en la que se tratan los siguientes aspectos:

Motivos para establecer relaciones con los proveedores.
Tipos de relaciones con los proveedores:
- Relación con proveedor para productos.
- Relación con proveedor para servicios.
- Cadena de suministro ICT (Tecnologías de la Información y Comunicación).
- Cloud computing.
Definición de riesgos de seguridad relacionados con la información que surgen con las relaciones comerciales entre compradores y proveedores.
Gestión de riesgos de seguridad relacionados con la información que surgen con las relaciones comerciales entre compradores y proveedores.
Consideraciones sobre la cadena de suministro ICT.

ISO/IEC 27036-2[editar]

La parte 2 especifica los requisitos fundamentales de seguridad de la información relacionados con las relaciones comerciales entre proveedores y compradores de diversos productos (bienes y servicios). Les ayuda a alcanzar una comprensión común de los riesgos de información asociados y a tratarlos. Las medidas de control recomendadas en la parte 2 cubren varios aspectos de la gestión empresarial así como la gestión de la seguridad de la información.

Respecto a la estructura en sí, encontramos los siguientes apartados:

Seguridad de la información en la gestión de relaciones con proveedores
- Procesos de acuerdos
- Procesos de habilitación de proyectos organizacionales
- Procesos del proyecto
- Procesos técnicos
Seguridad de la información en una instancia de relación con el proveedor
- Proceso de planificación de la relación con el proveedor
- Proceso de selección de proveedores.
- Proceso de acuerdo de relación con el proveedor.
- Proceso de gestión de relaciones con proveedores.
- Proceso de terminación de la relación con el proveedor.

ISO/IEC 27036-3[editar]

La parte 3 guía tanto a los proveedores como a los compradores de bienes y servicios de TIC sobre la gestión del riesgo de la información relacionada con la cadena de suministro, refiriéndose específicamente a productos TIC. En esta parte se desarrollan una amplia gama de controles de seguridad de la información, tales como: cadena de custodia; acceso de privilegio mínimo; separación de tareas; resistencia a la manipulación y evidencia; protección persistente; gestión de cumplimiento; evaluación y verificación del código; entrenamiento de seguridad; evaluación y respuesta de vulnerabilidad, etc.

Respecto a la estructura, la parte desarrolla:

Desarrollo de conceptos clave:
- Caso de negocio para la seguridad de la cadena de suministro de TIC.
- Riesgos de la cadena de suministros ICT.
- Tipos de relaciones entre proveedor y cliente.
- Capacidad organizacional.
- Procesos del ciclo de vida del sistema.
- Procesos ISMS en relación con los procesos del ciclo de vida del sistema.
- Información de controles de seguridad ISMS en relación con la cadena de suministro ICT.
- Controles de seguridad esenciales para la cadena de suministro ICT.

Seguridad de la cadena de suministro ICT
- Proceso de acuerdo.
- Procesos organizativos.
- Procesos de proyecto.
- Procesos técnicos.

ISO/IEC 27036-4[editar]

La parte 4 proporciona orientación sobre seguridad de la información a clientes de servicios en la nube y proveedores de servicios en la nube. Su aplicación debería dar como resultado los siguientes aspectos:

Una mayor comprensión y definición de la seguridad de la información en los servicios en la nube.
Una mayor comprensión por parte de los clientes de los riesgos asociados con los servicios en la nube para mejorar la especificación de los requisitos de seguridad de la información.
Una mayor capacidad de los proveedores de servicios en la nube para garantizar a los clientes que han identificado riesgos en sus servicios y cadenas de suministro asociadas y que han tomado medidas para gestionar esos riesgos.

Este documento está destinado a ser utilizado por todo tipo de organizaciones que adquieren o suministran servicios en la nube. La guía se centra principalmente en el enlace inicial del primer cliente de servicios en la nube y el proveedor de servicios en la nube, pero los pasos principales deben aplicarse a lo largo de la cadena de suministro, comenzando cuando el primer proveedor de servicios en la nube cambia su rol a ser un cliente de servicios en la nube, etc.