Machine Translated by Google

INTERNACIONAL ISO/CEI
ESTÁNDAR 27036-1

Primera edición
2014-04-01

Tecnología de la información — Técnicas

de seguridad — Seguridad de la información
para las relaciones con los proveedores —
Parte 1:
Resumen y conceptos
Tecnologías de la información — Técnicas de seguridad — Seguridad
de la información para la relación con el proveedor —
Parte 1: Visión general y conceptos

Número de referencia
ISO/CEI 27036-1: 2014(E)

© ISO/CEI 2014
Machine Translated by Google

ISO/CEI 27036-1: 2014(E)

DOCUMENTO PROTEGIDO POR DERECHOS DE AUTOR

© ISO/IEC 2014 Todos

los derechos reservados. A menos que se especifique lo contrario, ninguna parte de esta publicación puede reproducirse ni utilizarse de ninguna forma ni por ningún medio,
ya sea electrónico o mecánico, incluidas las fotocopias o la publicación en Internet o en una intranet, sin autorización previa por escrito. El permiso se puede solicitar a ISO
en la dirección que se indica a continuación o al organismo miembro de ISO en el país del solicitante.

Oficina de derechos de
autor de ISO Case postale 56 • CH-1211 Ginebra
20 tel. + 41 22 749 01 11 Telefax + 41 22 749 09
47
Correo electrónico copyright@iso.org
Web www.iso.org
Publicado en Suiza

yo
© ISO/IEC 2014 – Todos los derechos reservados
Machine Translated by Google

ISO/CEI 27036-1: 2014(E)

Contenido Página

Prefacio................................................. .................................................... .................................................... .................................................... ..................................iv

Introducción................................................. .................................................... .................................................... .................................................... ..........................v

1 Alcance................................................. .................................................... .................................................... .................................................... ..........................1

2 Referencias normativas ................................................... .................................................... .................................................... ....................................1

3 Términos y definiciones ............................................... .................................................... .................................................... ....................................1

4 Símbolos y términos abreviados .................................................. .................................................... .................................................... .........3

5 Definición del problema y conceptos clave .................................. .................................................... .................................................... ......4

5.1 Motivos
depara establecer
relaciones con relaciones con proveedores
los proveedores ..................................
........................... ....................................................
.................................................... .................. 4 5.2 ..................
.................................................... Tipos
4 5.3 Riesgos de seguridad de la información en las relaciones con los proveedores y amenazas asociadas .................. .............. 6 5.4
Gestión deConsideraciones
los riesgos de seguridad de la información
sobre la cadena en las
de suministro de relaciones
las con los proveedores .................. .......................................... 9
TIC ..... ...... .................................................... .................................................... .............................. 9 Estructura general y descripción
5.5 general de ISO/IEC 27036 .......... .................................................... .................................................... ..10 6.1 Propósito y

6 estructura ............................................... .................................................... .................................................... ...................10 6.2 Resumen

de la Parte 1: Resumen y conceptos.................... .................................................... ..........................................11 6.3 Resumen de la
Parte 2: Requisitos.. .................................................... .................................................... ..........................11 6.4 Descripción general de la
Parte 3: Directrices para las tecnologías de la información y la comunicación (TIC)

seguridad de la cadena de suministro ............................................. .................................................... .................................................... ...........11 6.5

Descripción general de la Parte 4: Directrices para la seguridad de los servicios en la nube .................. .................................................... .11

Bibliografía.................................................... .................................................... .................................................... .................................................... ........................13

© ISO/IEC 2014 – Todos los derechos reservados iii

Machine Translated by Google

ISO/CEI 27036-1: 2014(E)

Prefacio
ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional) forman el sistema especializado para la
normalización mundial. Los organismos nacionales que son miembros de ISO o IEC participan en el desarrollo de Normas Internacionales a
través de comités técnicos establecidos por la organización respectiva para tratar campos particulares de actividad técnica. Los comités
técnicos de ISO e IEC colaboran en campos de interés mutuo. Otras organizaciones internacionales, gubernamentales y no gubernamentales,
en coordinación con ISO e IEC, también participan en el trabajo. En el campo de la tecnología de la información, ISO e IEC han establecido
un comité técnico conjunto, ISO/IEC JTC 1.

Las Normas Internacionales se redactan de acuerdo con las reglas dadas en las Directivas ISO/IEC, Parte 2.

La tarea principal del comité técnico conjunto es preparar Normas Internacionales. Los proyectos de Normas Internacionales adoptados por
el comité técnico conjunto se distribuyen a los organismos nacionales para su votación.
La publicación como norma internacional requiere la aprobación de al menos el 75 % de los organismos nacionales con derecho a voto.

Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan ser objeto de derechos de patente. ISO
e IEC no serán responsables de identificar ninguno o todos los derechos de patente.

ISO/IEC 27036-1 fue preparado por el Comité Técnico Conjunto ISO/IEC JTC 1, Tecnología de la información, Subcomité SC 27, Técnicas de
seguridad.

ISO/IEC 27036 consta de las siguientes partes, bajo el título general Tecnología de la información. Técnicas de seguridad. Seguridad de la
información para las relaciones con los proveedores:

— Parte 1: Resumen y conceptos

— Parte 2: Requisitos

— Parte 3: Directrices para la seguridad de la cadena de suministro de tecnología de la información y las comunicaciones

— Parte 4: Directrices para la seguridad de los servicios en la nube

IV © ISO/IEC 2014 – Todos los derechos reservados

Machine Translated by Google

ISO/CEI 27036-1: 2014(E)

Introducción
La mayoría (si no todas) las organizaciones de todo el mundo, independientemente de su tamaño o dominios de actividades,
tienen relaciones con proveedores de diferentes tipos que entregan productos o servicios.

Dichos proveedores pueden tener acceso directo o indirecto a la información y los sistemas de información del adquirente, o
proporcionarán elementos (software, hardware, procesos o recursos humanos) que estarán involucrados en el procesamiento
de la información. Los adquirentes también pueden tener acceso físico y/o lógico a la información del proveedor cuando
controlan o monitorean los procesos de producción y entrega del proveedor.

Por lo tanto, los adquirentes y los proveedores pueden causar riesgos de seguridad de la información entre sí. Estos riesgos
deben ser evaluados y tratados tanto por las organizaciones adquirentes como por las proveedoras mediante una gestión
adecuada de la seguridad de la información y la implementación de los controles pertinentes. En muchos casos, las
organizaciones han adoptado las Normas Internacionales ISO/IEC 27001 y/o ISO/IEC 27002 para la gestión de la seguridad de
su información. Tales Normas Internacionales también deben adoptarse en la gestión de las relaciones con los proveedores
para controlar de manera efectiva los riesgos de seguridad de la información inherentes a esas relaciones.

Esta norma internacional proporciona una guía de implementación más detallada sobre los controles relacionados con las
relaciones con los proveedores que se describen como recomendaciones generales en ISO/IEC 27002.

Las relaciones con proveedores en el contexto de esta Norma Internacional incluyen cualquier relación con proveedores que
pueda tener implicaciones en la seguridad de la información, por ejemplo, tecnología de la información, servicios de atención
médica, servicios de conserjería, servicios de consultoría, asociaciones de I+D, aplicaciones subcontratadas (ASP) o servicios
de computación en la nube (como software , plataforma o infraestructura como servicio).

Tanto el proveedor como el adquirente tienen que asumir la misma responsabilidad para lograr los objetivos en la relación
entre el proveedor y el adquirente y abordar adecuadamente los riesgos de seguridad de la información que puedan ocurrir. Se
espera que implementen los requisitos y directrices de esta Norma Internacional. Además, deben implementarse procesos
fundamentales para respaldar la relación proveedor-adquiriente (p. ej., gobernanza, gestión empresarial y gestión operativa y
de recursos humanos). Estos procesos brindarán soporte en términos de seguridad de la información así como el cumplimiento
de los objetivos de negocio.

© ISO/IEC 2014 – Todos los derechos reservados en

Machine Translated by Google
Machine Translated by Google

ESTÁNDAR INTERNACIONAL ISO/CEI 27036-1: 2014(E)

Tecnología de la información — Técnicas de seguridad —

Seguridad de la información para las relaciones con los proveedores —

Parte 1:
Resumen y conceptos

1 Alcance
Esta parte de ISO/IEC 27036 es una parte introductoria de ISO/IEC 27036. Proporciona una descripción general de
la orientación destinada a ayudar a las organizaciones a proteger su información y sus sistemas de información en
el contexto de las relaciones con los proveedores. También introduce conceptos que se describen en detalle en las
otras partes de ISO/IEC 27036. Esta parte de ISO/IEC 27036 aborda las perspectivas tanto de adquirentes como de
proveedores.

2 Referencias normativas
Los siguientes documentos, en todo o en parte, están referenciados normativamente en este documento y son
indispensables para su aplicación. Para las referencias con fecha, sólo se aplica la edición citada. Para las
referencias sin fecha, se aplica la última edición del documento de referencia (incluidas las modificaciones).

ISO/IEC 27000, Tecnología de la información. Técnicas de seguridad. Sistemas de gestión de la seguridad de la

información. Visión general y vocabulario.

3Términos y definiciones

A los efectos de este documento, se aplican los términos y definiciones de ISO/IEC 27000 y los siguientes.

3.1
parte
interesada adquirente que adquiere un producto o servicio de otra parte

Nota 1 a la entrada: Las adquisiciones pueden o no involucrar el intercambio de fondos monetarios.

[FUENTE: ISO/IEC 15288:2008, 4.1, modificado: se eliminó la nota original, se eliminó la palabra "adquiere" de la
definición y se agregó la Nota 1 a la entrada.]

3.2
proceso de
adquisición para la obtención de un producto o servicio

[FUENTE: ISO/IEC 15288:2008, 4.2, modificado — Se eliminó la palabra “sistema”.]

3.3
acuerdo
reconocimiento mutuo de los términos y condiciones bajo los cuales se lleva a cabo una relación de trabajo

[FUENTE: ISO/IEC 15288:2008, 4.4]

© ISO/IEC 2014 – Todos los derechos reservados 1

Machine Translated by Google

ISO/CEI 27036-1: 2014(E)

3.4
evolución
del ciclo de vida de un sistema, producto, servicio, proyecto u otra entidad creada por el hombre desde la concepción
hasta el retiro

[FUENTE: ISO/IEC 15288:2008, 4.11]

3.5
Procesos de
manejo y movimientos posteriores de productos y servicios que ocurren después de que una entidad en la cadena de
suministro asume la custodia de los productos y la responsabilidad por los servicios.

[FUENTE: ISO 28001:2007, 3.10, modificado: la palabra "bienes" se reemplazó por "productos y servicios", y la definición
se cambió para reflejar mejor este cambio de enfoque.]

3.6
externalización
de la adquisición de servicios (con o sin productos) en apoyo de una función empresarial para realizar actividades
utilizando los recursos del proveedor en lugar de los del adquirente

3.7
proceso
conjunto de actividades interrelacionadas o que interactúan que transforma entradas en salidas

[FUENTE: ISO 9000:2005, 3.4.1, modificada — Se eliminaron las notas.]

3.8
parte
interesada individuo u organización con interés en un activo en la relación con el proveedor

Nota 1 a la entrada: A los efectos de esta Norma Internacional, un activo es información asociada con productos y servicios.

3.9

organización proveedora o individuo que celebra un acuerdo con el adquirente para el suministro de un producto o servicio

Nota 1 a la entrada: Otros términos comúnmente utilizados para proveedor son contratista, productor, vendedor o vendedor.

Nota 2 a la entrada: El adquirente y el proveedor pueden ser parte de la misma organización.

Nota 3 a la entrada: Los tipos de proveedores incluyen aquellas organizaciones que permiten la negociación de acuerdos con un adquirente
y aquellas que no permiten la negociación con acuerdos, por ejemplo, acuerdos de licencia de usuario final, términos de uso o derechos de
autor de productos de código abierto o liberaciones de propiedad intelectual.

[FUENTE: ISO/IEC 15288:2008, 4.30, modificado — Se agregó la Nota 3 a la entrada.]

3.10
acuerdo de relación con
el proveedor o acuerdos entre adquirentes y proveedores para realizar negocios, entregar productos o servicios y obtener
beneficios comerciales

2 © ISO/IEC 2014 – Todos los derechos reservados

Machine Translated by Google

ISO/CEI 27036-1: 2014(E)

3.11
cadena de
suministro conjunto de organizaciones con un conjunto vinculado de recursos y procesos, cada uno de los cuales actúa como adquirente,
proveedor o ambos para formar relaciones de proveedor sucesivas establecidas al realizar una orden de compra, acuerdo u otro acuerdo
formal de abastecimiento

Nota 1 a la entrada: Una cadena de suministro puede incluir proveedores, instalaciones de fabricación, proveedores de logística, centros de
distribución, distribuidores, mayoristas y otras organizaciones involucradas en la fabricación, procesamiento, diseño y desarrollo, y manipulación
y entrega de los productos, o proveedores de servicios. involucrados en la operación, administración y entrega de los servicios.

Nota 2 a la entrada: La vista de la cadena de suministro es relativa a la posición del adquirente.

[FUENTE: ISO28001:2007, 3.24, modificada — Se cambió la definición para centrarse más en la organización y las relaciones; Se agregó
la nota 2 a la entrada.]

3.12

combinación de sistemas de elementos que interactúan organizados para lograr uno o más propósitos declarados

Nota 1 a la entrada: Un sistema puede considerarse como un producto o como los servicios que proporciona.

Nota 2 a la entrada: En la práctica, la interpretación de su significado se aclara con frecuencia mediante el uso de un sustantivo asociativo,
por ejemplo, sistema de aeronave. Alternativamente, la palabra "sistema" se puede sustituir simplemente por un sinónimo que depende del
contexto, por ejemplo, aeronave, aunque esto puede oscurecer la perspectiva de los principios del sistema.

[FUENTE: ISO/IEC 15288:2008, 4.31]

3.13
relación
de confianza entre dos entidades y/o elementos, que consiste en un conjunto de actividades y una política de seguridad en la que el
elemento x confía en el elemento y si y solo si x tiene confianza en que y se comportará de una manera bien definida (con respecto a las
actividades ) que no viole la política de seguridad dada

[FUENTE: ISO/IEC 13888ÿ1:2009, 3.59, modificada — Se eliminó la nota.]

3.14
Procesos de
manejo y movimientos ascendentes de productos y servicios que ocurren antes de que una entidad en la cadena de suministro asuma la
custodia de los productos y la responsabilidad de los servicios de tecnología de la información y la comunicación (TIC).

[FUENTE: ISO 28001:2007, 3.27, modificado: la palabra "bienes" se reemplazó por "productos y servicios", y la definición se cambió para
reflejar mejor este cambio de enfoque.]

3.15
propiedad
de visibilidad de un sistema o proceso que permite que los elementos y procesos del sistema estén documentados y disponibles para
monitoreo e inspección

4 Símbolos y términos abreviados

En esta Norma Internacional se utilizan los siguientes símbolos y términos abreviados:

API Interfaz de programación de aplicaciones

ÁSPID Proveedor de servicios de aplicaciones

BCP Planificación de la Continuidad del Negocio)

BPaaS Proceso de negocio como servicio

© ISO/IEC 2014 – Todos los derechos reservados 3

Machine Translated by Google

ISO/CEI 27036-1: 2014(E)

IaaS Infraestructura como un servicio

TIC Tecnología de la información y la comunicación

PaaS Plataforma como servicio

I+D Investigación y desarrollo

SaaS Software como servicio

5Definición del problema y conceptos clave

5.1 Motivos para establecer relaciones con proveedores

Las organizaciones a menudo eligen formar y/o mantener relaciones con los proveedores por una variedad de razones comerciales
para aprovechar los beneficios que pueden proporcionar. A continuación se resumen las posibles motivaciones para establecer una
relación con un proveedor:

a) Concentrar los recursos internos en las funciones comerciales centrales que pueden resultar en una reducción de costos y un mejor
rendimiento de la inversión (por ejemplo, subcontratación de servicios de TIC).

b) Adquirir una competencia a corto plazo o altamente especializada que una organización aún no
poseer (por ejemplo, contratar una empresa de publicidad) para lograr ciertos objetivos comerciales.

c) Adquirir una utilidad o servicio básico que sea común o de fácil disponibilidad (por ejemplo, energía eléctrica y
telecomunicaciones) que la organización no puede proporcionar de manera eficiente.

d) Habilitación de operaciones comerciales en una ubicación geográfica diferente.

e) Adquirir equipos o servicios de TIC nuevos o de reemplazo (por ejemplo, computadoras portátiles, impresoras, servidores,
enrutadores, aplicaciones de software, capacidad de almacenamiento, conectividad de red, servicios de administración de TIC,
etc.) que permitan la productividad de la fuerza laboral y otras necesidades informáticas comerciales.

Los proveedores pueden proporcionar una multitud de productos o servicios, incluida la subcontratación de TI, servicios profesionales,
servicios básicos (servicio de mantenimiento de equipos, servicio de guardias de seguridad, servicios de limpieza y entrega, etc.),
servicios de computación en la nube, tecnología de la información y la comunicación (TIC), gestión del conocimiento , I+D, fabricación,
logística, servicios sanitarios, servicios de Internet y muchos otros.

5.2 Tipos de relaciones con los proveedores

5.2.1 Relaciones con proveedores de productos

Cuando un adquirente entra en una relación de proveedor de productos, normalmente compra productos con especificaciones
acordadas durante un período predeterminado para fabricar los productos del adquirente.

El proveedor puede tener acceso a la información del adquirente al entregar y respaldar el producto, lo que puede generar riesgos de
seguridad de la información para la información del adquirente. El incumplimiento de los requisitos, las vulnerabilidades del software y
el mal funcionamiento de los productos y la liberación inadvertida de información confidencial también pueden causar riesgos de
seguridad de la información para el adquirente.

Para gestionar estos riesgos de seguridad de la información, el adquirente puede desear controlar el acceso del proveedor a la
información del adquirente. El adquirente también puede desear controlar elementos de los procesos de producción del proveedor para
mantener la calidad de los productos y reducir los riesgos de seguridad de la información derivados de vulnerabilidades, mal
funcionamiento u otras fallas en el cumplimiento de los requisitos. Esto, a su vez, puede plantear riesgos de seguridad de la información
para el proveedor porque el adquirente puede tener acceso a la información del proveedor al controlar elementos de los procesos del
proveedor.

Además, el adquirente puede desear tener garantías con respecto a la especificación de los productos, mediante el control o la
auditoría de los procesos de producción o exigiendo al proveedor que obtenga una certificación independiente.

4 © ISO/IEC 2014 – Todos los derechos reservados

Machine Translated by Google

ISO/CEI 27036-1: 2014(E)

para demostrar la existencia de buenas prácticas y procesos requeridos. Estos requisitos de garantía deben acordarse entre el adquirente y
el proveedor.

5.2.2 Relaciones con proveedores de servicios

Cuando un adquirente adquiere servicios, el proveedor generalmente tiene acceso a la información del adquirente. Esto genera riesgos
potenciales de seguridad de la información para el adquirente. En el caso de la subcontratación de procesos comerciales, por ejemplo,
marketing, operación del centro de llamadas o la infraestructura de TIC de la organización, una parte significativa de la información comercial
crítica del adquirente puede ser administrada por el proveedor.
Otros tipos de servicios generalmente tienen un acceso limitado a la información del adquirente, como los servicios de alimentación y de
conserjería.

La prestación de algunos servicios requiere que la información del adquirente esté ubicada dentro de las instalaciones del adquirente y que el
proveedor acceda a ella in situ o de forma remota. En otros casos, la información del adquirente se encuentra en el sitio del proveedor. Estas
condiciones específicas pueden afectar la selección de controles aplicables al adquirente o al proveedor. Consulte la Tabla 2 para ver ejemplos
de cómo la ubicación puede tener un impacto en los accesos del proveedor a la información del adquirente.

Al adquirir servicios, los adquirentes deben establecer reglas sobre cómo controlar el acceso del proveedor a la información del adquirente. El
adquirente también puede desear controlar la calidad del servicio para reducir los riesgos de seguridad de la información, incluida la capacidad
de cumplir con los requisitos de disponibilidad a lo largo del tiempo. Un acuerdo de nivel de servicio es una forma general de acordar la calidad
del servicio. Para el proveedor, un acuerdo de nivel de servicio puede ser una herramienta para comunicar cómo el proveedor satisfará las
expectativas de calidad del adquirente.

El adquirente puede desear tener garantías con respecto a la calidad del servicio al monitorear o auditar los procesos de servicio del proveedor
o solicitar al proveedor que obtenga una certificación para demostrar la existencia de buenas prácticas o procesos requeridos. Estos requisitos
de garantía también deben ser acordados entre las partes.

5.2.3 Cadena de suministro de TIC

La cadena de suministro de TIC es un conjunto de organizaciones con un conjunto vinculado de recursos y procesos que forman relaciones
sucesivas de proveedores de productos y servicios de TIC. Un producto o servicio TIC puede estar compuesto por componentes, recursos y
procesos producidos por un proveedor que pueden haber sido producidos, total o parcialmente, por otro proveedor. Como tal, un servicio de
TIC, en su totalidad, puede haber sido adquirido por múltiples proveedores. Como se muestra en la Figura 1, una organización en una cadena
de suministro de TIC es adquirente en relación con la organización ascendente y proveedora en relación con la organización descendente. La
organización descendente adyacente a menudo se denomina cliente desde la perspectiva de la organización que le proporciona productos o
servicios. El cliente al final de la cadena de suministro de TIC se conoce como cliente final o consumidor. Generalmente, el cliente final tiene
un control limitado sobre los requisitos de seguridad de la información de su proveedor directo y ningún control sobre los requisitos de
seguridad de la información más allá del proveedor directo.

© ISO/IEC 2014 – Todos los derechos reservados 5

Machine Translated by Google

ISO/CEI 27036-1: 2014(E)

Final
del proveedor
del proveedor Cliente
del proveedor Proveedor Adquiridor Cliente
Proveedores
Proveedores
(Consumidor)

... ... El nivel 2 Tier 1

Organización
Río arriba Río abajo

Desde el abastecimiento hasta la finalización

Figura 1: Relaciones de la cadena de suministro

Los adquirentes y proveedores a lo largo de la cadena de suministro de TIC heredan los riesgos de seguridad de la información
asociados con las relaciones de proveedores individuales de productos y servicios (ver 5.2.1 y 5.2.2). Sin embargo, es un desafío para
los adquirentes administrar estos riesgos de seguridad de la información a través de la comunicación, el monitoreo y el cumplimiento
de la seguridad de su información en toda la cadena de suministro de TIC debido a la visibilidad y acceso limitados a los proveedores
de sus proveedores.

5.2.4 Computación en la nube

La computación en la nube es una forma de relación con un proveedor, en el sentido de que un servicio de computación en la nube, en
su totalidad, puede provenir de múltiples proveedores. El propósito de la computación en la nube es permitir servicios y capacidades
de computación y almacenamiento basados en utilidades o por uso, basados en los requisitos comerciales para las expectativas de
escalabilidad, disponibilidad y elasticidad del servicio. En un servicio de computación en la nube, un proveedor se conoce comúnmente
como el proveedor de servicios en la nube y el adquirente se conoce como el cliente del servicio en la nube.
En algunos casos, el proveedor de servicios en la nube delega la gestión o el control de los componentes, los recursos y los procesos
al cliente del servicio en la nube en un entorno potencialmente compartido con otros clientes del servicio en la nube, comúnmente
denominado entorno en la nube de múltiples inquilinos. Las consideraciones de seguridad de la cadena de suministro de TIC también
se aplican cuando los servicios de computación en la nube forman una cadena de suministro de TIC, por ejemplo, cuando un cliente
utiliza un SaaS construido sobre IaaS.

5.3 Riesgos de seguridad de la información en las relaciones con proveedores y amenazas asociadas

Los riesgos de seguridad de la información en las relaciones con los proveedores son motivo de preocupación, no solo para el
adquirente y el proveedor, sino también para los clientes y otras partes interesadas. Es una cuestión de confianza en las actividades
empresariales de la sociedad. Tanto el proveedor como el adquirente deben considerar los riesgos de seguridad de la información
inherentes y residuales asociados con el establecimiento de una relación con el proveedor.

El adquirente y el proveedor son igualmente responsables de hacer que su acuerdo sea confiable y de administrar sus riesgos de
seguridad de la información, lo que incluye establecer funciones y responsabilidades delineadas para la seguridad de la información y
la implementación de controles.

Cada relación con el proveedor dentro de una organización se establece para un propósito específico. Es probable que el número de
tales relaciones crezca con el tiempo, lo que dará como resultado que los adquirentes no manejen o controlen bien esas relaciones.
Específicamente, las grandes organizaciones tienden a tener una cantidad significativa de relaciones con proveedores que fueron
establecidas por diferentes entidades internas utilizando una variedad de procesos.

6 © ISO/IEC 2014 – Todos los derechos reservados

Machine Translated by Google

ISO/CEI 27036-1: 2014(E)

y arreglos. Muchas de estas relaciones han extendido las cadenas de suministro con múltiples capas. Esta multiplicidad puede hacer
que sea cada vez más difícil para una organización garantizar que los riesgos de seguridad de la información creados por esas
relaciones con los proveedores se aborden adecuadamente.

El suministro y soporte de un producto o servicio puede depender de la transferencia de información y/o sistemas de información del
adquirente o del proveedor a la otra parte. Esta información debe protegerse adecuadamente mediante el establecimiento de un
acuerdo entre adquirentes y proveedores. Este acuerdo debe establecer el conjunto de controles mutuamente aceptables y la
responsabilidad para la implementación.
La falta de dicho acuerdo puede tener un impacto en la seguridad de la información del adquirente o del proveedor de las siguientes
maneras:

a) Gobernanza de seguridad de la información, tolerancia al riesgo y prácticas de cumplimiento dispares entre el adquirente y el
proveedor, o diferentes actitudes culturales u organizacionales que den como resultado brechas en los requisitos y controles de
seguridad entre el adquirente y el proveedor.

b) Confianza en los servicios y capacidades del proveedor diseñados para garantizar el cumplimiento de los propios requisitos de
seguridad de la información del adquiriente, lo que da como resultado dependencias de controles no deseadas.

c) Controles de seguridad de la información del adquirente y del proveedor contradictorios o diferentes que interfieren o debilitan la
seguridad de la información de la otra parte.

Las relaciones con los proveedores pueden crear una serie de riesgos de seguridad de la información tanto para los adquirentes como
para los proveedores. Los siguientes son ejemplos de tales riesgos que deben considerarse a lo largo del ciclo de vida de una relación
con un proveedor, desde la planificación hasta la terminación:

a) Falta o debilidad de la gobernanza:

1) Los adquirentes pierden el control sobre cómo se almacena, procesa, transmite, crea,
modificado y destruido.

2) Los proveedores, a menos que el acuerdo lo prohíba específicamente, pueden subcontratar un subconjunto de recursos y
procesos a otro proveedor, reduciendo o limitando así el control del adquirente y exponiéndolo potencialmente a más
riesgos.

b) Falta de comunicación y malentendidos:

1) Los controles implementados por el proveedor no abordan los riesgos identificados por el adquirente, lo que deja al adquirente
vulnerable a los riesgos que se supone son abordados y gestionados por el proveedor.

2) Los requisitos de confidencialidad, integridad y disponibilidad del adquirente no pueden ser comunicados
adecuadamente al proveedor y, por lo tanto, no se cumple correctamente.

3) No se pueden especificar los requisitos relacionados con la disponibilidad/BCP para la información o los sistemas de
información que respaldan la entrega a tiempo y en el momento de los productos o servicios por parte del proveedor al
adquirente, lo que genera interrupciones en el suministro.

4) Los proveedores no asignan los recursos suficientes, incluido el personal calificado, para proteger la propiedad del adquirente.
información.

c) Diferencias geográficas, sociales y culturales:

1) El adquirente incumple inadvertidamente la legislación o la normativa, lo que da lugar a daños reputacionales.

daños y sanciones pecuniarias.

2) La referencia a una ley o norma como requisito en un acuerdo permite malas interpretaciones
por el adquirente y el proveedor que da lugar a una disputa.

3) El servicio se presta en un lugar desconocido o no permitido por el adquirente, lo que lleva

a violaciones de los requisitos normativos o de cumplimiento del adquirente.

Los riesgos específicos de seguridad de la información para la información y los sistemas de información del adquirente y/o del
proveedor pueden estar directamente relacionados con una conciencia de control, propiedad y responsabilidad inadecuados. tales riesgos

© ISO/IEC 2014 – Todos los derechos reservados 7

Machine Translated by Google

ISO/CEI 27036-1: 2014(E)

puede ser aplicable al suministro tanto de productos como de servicios. La Tabla 1 proporciona ejemplos de riesgos de seguridad de la
información relacionados con la adquisición de productos. Los riesgos de seguridad de la información asociados con los servicios
generalmente son causados por el acceso del proveedor a la información o los sistemas de información. La Tabla 2 proporciona
ejemplos de riesgos relacionados con el acceso del proveedor a la información y los sistemas de información del adquirente.

Tabla 1: Ejemplos de riesgos de seguridad de la información para adquirir productos

No. Escribe Descripción En

Función de seguridad caso de que los productos suministrados tengan una vulnerabilidad, los productos, servicios o procesos
1
de la información derivados del adquirente serán vulnerables.

2 La mala calidad de los productos suministrados puede provocar una debilidad en la seguridad de la
Calidad
información de los productos, servicios y procesos derivados del adquiriente.

3 Derechos de propiedad Los derechos de propiedad intelectual no identificados pueden dar lugar a controversias posteriores en
intelectual relación con los productos o servicios derivados del adquirente.

En el caso de que se suministren productos falsos o fraudulentos, la expectativa del adquirente de

una característica de seguridad de la información y la calidad e identificación de los derechos de
4 Autenticidad propiedad intelectual se ven amenazadas por la probabilidad de que se introduzca una debilidad en
la seguridad de la información y una pérdida de confianza en la relación comercial.

Sin la garantía de las características apropiadas de seguridad de la información, la calidad del producto y la
5 Garantía identificación de los derechos de propiedad intelectual y la autenticidad, el adquirente carece de confianza
en los productos del proveedor.

Tabla 2: Ejemplos de riesgos de seguridad de la información para adquirir servicios

No. Escribe Descripción Ejemplos de casos de uso

El proveedor tiene acceso físico a las Servicio de guardia de seguridad, servicios de

1 Acceso físico en el
sitio instalaciones de procesamiento de información del entrega, servicio de limpieza o servicio de
adquirente pero no tiene acceso lógico mantenimiento de equipos

Acceso a la información El personal del proveedor está en el sitio y tiene

2 acceso
información y de información dellógico a la información
adquirente, a través dey los
a los sistemas
sistemas dede
información Experiencia subcontratada trabajando en el sitio
uso in situ del equipo del adquirente e integrada en los equipos del adquirente

Acceso remoto a Actividades remotas de desarrollo y

mantenimiento, información remota El proveedor
información interna y tiene acceso remoto al sistema de información y gestión de equipos, y sistemas de información del
3 adquirente logística, operación del centro de
sistemas de información llamadas, sistemas de gestión de instalaciones automatizadas Consultoría (estudios de mercado, promoción
de ventas, estudios técnicos, etc.) ), procesamiento
de información, I+D, fabricación, almacenamiento

y archivo, servicio de aplicaciones (ASP), Proceso

de negocio como servicio (BPaaS) como viajes o
La información bajo la responsabilidad del adquirente servicios financieros, Infraestructura como servicio
es procesada por el proveedor fuera del sitio, utilizando (IaaS) o Software como servicio (SaaS )
4 Procesamiento de
información fuera del sitio aplicaciones y sistemas bajo el control y la gestión del proveedores Proveedores de plataforma como
proveedor. servicio (PaaS) si el proveedor proporciona
aplicaciones de desarrollo operadas por el
adquirente son plataformas externas de
aplicaciones o proveedores de IaaS si el proveedor

ejecuta PaaS o IaaS proporciona servicios de red,

computación y almacenamiento
5

Los equipos dedicados al adquirente y propiedad del

6 Alojamiento externo de alojamiento de
Equipo fuera del sitio adquirente se alojan fuera del sitio, en el sitio del
sistemas de información o IaaS
proveedor

8 © ISO/IEC 2014 – Todos los derechos reservados

Machine Translated by Google

ISO/CEI 27036-1: 2014(E)

Tabla 2 (continuación)

No. Escribe Descripción Ejemplos de casos de uso

Uso del servicio de almacenamiento para

El adquirente subcontrata el almacenamiento de
7 Almacenamiento de mantener copias de seguridad de la información
información a un proveedor para su retención o archivo
información fuera del sitio generada por el procesamiento interno de la
fuera del sitio
información

Los servicios relacionados con los artefactos del Código fuente en poder de un tercero independiente

Código fuente proveedor utilizados por el adquirente se mantienen en para mantener la utilidad del software por parte del
8 custodia por un tercero de confianza y se ponen a adquirente en caso de que el proveedor del software
depósito
disposición del adquirente en circunstancias definidas. cierre su negocio

5.4 Gestión de los riesgos de seguridad de la información en las relaciones con los proveedores

En la relación con el proveedor, el acceso o el manejo de la información de la otra organización por parte del adquirente o del proveedor
puede generar riesgos de seguridad de la información tanto para el adquirente como para el proveedor. El adquirente y el proveedor
evalúan los riesgos y seleccionan, implementan y mantienen controles para mitigarlos. En el contexto de las relaciones con los
proveedores, los controles consisten en:

a) Las que aborden directamente los riesgos de seguridad de la información asociados al acceso o manejo de la información de cada
organización;

b) Aquellas que aborden la calidad de los productos del proveedor que impacta en la calidad de la adquirente y de su cliente.
riesgos de seguridad de la información; y

c) Los que hacen cumplir a) o b) arriba en la otra organización, por ejemplo, mediante la gestión y la presentación de informes
requisitos, seguimiento, auditoría y certificación.

El acuerdo entre el adquirente y el proveedor obliga a ambas organizaciones a implementar y mantener esos controles.

Independientemente de la naturaleza del producto o servicio proporcionado, la visibilidad de la seguridad de la información debe
considerarse una parte importante del establecimiento de una relación con el proveedor para garantizar que se gestionen los riesgos
de seguridad de la información para la información del adquirente y los sistemas de información. Para identificar y gestionar estos
riesgos de seguridad de la información, el adquirente debe asegurarse de que el proveedor ha implementado controles y gestión de
seguridad de la información adecuados. En caso de que estos no sean negociables, el adquirente debe seleccionar el producto o
servicio de un proveedor con base en criterios que incluyan requisitos para la gestión y los controles de seguridad de la información
para evitar o mitigar los riesgos a un nivel aceptable.

5.5 Consideraciones sobre la cadena de suministro de TIC

La aceptación por parte del adquirente de la producción, entrega y operación de productos y servicios de un proveedor debe basarse
en criterios que aseguren los niveles de seguridad de la información que el adquirente desea tener dentro de su propia organización.
Estos podrían incluir cualquiera de los siguientes:

— Gestión de los riesgos políticos, jurídicos y de seguridad de la información relacionados con el entorno local que afectan a la
seguridad de la información del adquirente, incluida la continuidad de la información, los sistemas y servicios de información.

— Gestión de la confidencialidad de los documentos físicos y electrónicos y otra información relativa

a los productos y servicios suministrados.

— Gestión de la integridad de los materiales y elementos para garantizar una manipulación adecuada, es decir, marcas únicas
y etiquetado de protección.

— Gestión de la integridad del software u otra información electrónica relacionada con el producto o servicio suministrado para
garantizar que no se vea comprometida, es decir, funciones hash criptográficas o marcas de agua digitales.

© ISO/IEC 2014 – Todos los derechos reservados 9

Machine Translated by Google

ISO/CEI 27036-1: 2014(E)

— Gestión de la seguridad física de las instalaciones desde las que se entregan los productos y servicios.

— Gestión de la seguridad de la información relacionada con cualquier aspecto del negocio de los proveedores y en lo que se refiere
con otros clientes.

— Gestión de la seguridad de la información relacionada con cualquier aspecto del negocio de los proveedores, la interacción de los
proveedores con los proveedores y la interacción de los proveedores con otros adquirentes.

Para gestionar adecuadamente la seguridad de la información en las relaciones con los proveedores a lo largo de la cadena de suministro
de TIC, los adquirentes deben adoptar un marco con el siguiente conjunto de procesos estandarizados para toda la organización para la
adquisición de productos y servicios:

a) Establecer requisitos de cumplimiento y seguridad de la información para el intercambio o intercambio seguro de

información y sistemas de información.

b) Antes de la adquisición, evaluar y monitorear los riesgos de seguridad de la información asociados con el suministro
cadena.

c) Establecer un proceso para la negociación o renegociación del acuerdo o acuerdos de la cadena de suministro de TIC que incorpore
los requisitos de cumplimiento y seguridad de la información, incluidas las condiciones para el derecho a auditar y la restricción de
proveedores en las etapas iniciales a lo largo de las múltiples capas de la cadena de suministro de TIC.

d) Monitorear e informar continuamente sobre el desempeño de los proveedores dentro de la cadena de suministro de TIC que se adhieren
a los requisitos de cumplimiento y seguridad de la información, especialmente como resultado de un cambio en la relación con el
proveedor.

Este marco debe ser flexible para permitir una variedad de acuerdos de cadena de suministro de TIC que se pueden adaptar según la
naturaleza del producto o servicio que se adquiere y los riesgos que se espera que genere.

6 Estructura general y descripción general de ISO/IEC 27036

6.1 Propósito y estructura

ISO/IEC 27036 es una norma internacional de varias partes que proporciona requisitos y orientación para compradores y proveedores
sobre cómo proteger la información en las relaciones con los proveedores. La Figura 2 proporciona la arquitectura nocional de esta Norma
Internacional de varias partes.

Parte 1: Resumen y conceptos

Parte 2: Requisitos

Parte 3: Parte 4:

Directrices para la seguridad de la Directrices para la seguridad de

cadena de suministro de las TIC los servicios en la nube

Figura 2: Arquitectura ISO/IEC 27036

Las Partes 3 y 4 abordan aspectos específicos de las relaciones con los proveedores de seguridad de la información, incluidos los
desafíos asociados con los relacionados con los productos y servicios de TIC (Parte 3) y los servicios en la nube (Parte 4).

10 © ISO/IEC 2014 – Todos los derechos reservados

Machine Translated by Google

ISO/CEI 27036-1: 2014(E)

6.2 Resumen de la Parte 1: Resumen y conceptos

La Parte 1 (este documento) proporciona una descripción general y conceptos de seguridad de la información en las relaciones con los proveedores.
La Parte 1 es un documento informativo.

6.3 Resumen de la Parte 2: Requisitos

La Parte 2 proporciona un marco de alto nivel para establecer los requisitos y expectativas de seguridad de la información en las relaciones
con los proveedores. Este marco incluye gobierno, procesos de ciclo de vida y declaraciones de requisitos de alto nivel relevantes. La
Parte 2 es un estándar internacional normativo que los adquirentes pueden usar como fuente de requisitos de acuerdo para definir,
administrar y monitorear los acuerdos de proveedores. Los requisitos de esta Norma Internacional también pueden servir como criterios
de certificación adicionales a efectos de la certificación ISO/IEC27001 u otros esquemas de certificación que se consideren pertinentes
para el adquirente.
Por ejemplo, un adquirente puede exigir que un proveedor esté certificado de acuerdo con ISO/IEC 27001 e incluya requisitos adicionales
y controles aplicables de acuerdo con ISO/IEC 27036 con respecto a los productos o servicios que se ofrecen. Los adquirentes pueden
usar la Norma Internacional completa o extraer partes individuales para usarlas como declaraciones de requisitos.

6.4 Descripción general de la Parte 3: Directrices para la seguridad de la cadena de suministro de Tecnologías
de la Información y la Comunicación (TIC)

En las relaciones con los proveedores, un producto o servicio de TIC adquirido por el adquirente no necesariamente es fabricado u operado
únicamente por un proveedor. Por ejemplo, un producto a menudo contiene piezas fabricadas por otros proveedores y proporcionadas al
proveedor como una relación indirecta con el adquirente. O bien, un servicio de procesamiento de información puede construirse sobre
otros servicios de procesamiento de información como su infraestructura subyacente. Por ejemplo, el proveedor tiene un acuerdo con otro
proveedor para mantener el hardware, almacenar copias de seguridad en una ubicación externa o incluso subcontratar todo el proceso de
copia de seguridad.
Por lo tanto, las cadenas de suministro de TIC están formadas por relaciones sucesivas de proveedores con interdependencias inherentes.

En una cadena de suministro, la gestión y los controles de seguridad de la información implementados por el proveedor en relación directa
con el adquirente no siempre son suficientes para gestionar los riesgos de seguridad de la información de un producto o servicio. La
gestión del adquirente de un producto o servicio de un proveedor indirecto (proveedor del proveedor) puede ser esencial para la seguridad
de la información: esto requiere visibilidad en la cadena de suministro.

Por el contrario, los proveedores también pueden experimentar mayores riesgos de seguridad de la información causados por la
interconexión de los sistemas del adquirente y del proveedor que a veces resulta de la cadena de suministro de TIC. Por ejemplo, el
adquirente puede requerir auditorías invasivas de los sistemas del proveedor que pueden resultar en el acceso del adquirente a la
propiedad intelectual del proveedor.

ISO/IEC 27036 Parte 3 proporciona directrices para adquirentes y proveedores para gestionar los riesgos de seguridad de la información
asociados con la cadena de suministro de productos y servicios de TIC. Se basa en los requisitos de la Parte 2 y proporciona prácticas
adicionales que aumentan los requisitos de alto nivel de la Parte 2.

6.5 Descripción general de la Parte 4: Pautas para la seguridad de los servicios en la nube

Las organizaciones utilizan los servicios de computación en la nube para aprovechar las economías de escala que brindan las capacidades
de los servicios de computación y almacenamiento elásticos. Estas capacidades están disponibles en un modelo basado en servicios
públicos o por uso. La computación en la nube se puede proporcionar en varios modelos diferentes de prestación de servicios en la nube,
por ejemplo, IaaS, PaaS y SaaS. Sin embargo, esto ha introducido riesgos de seguridad de la información asociados con una mayor
interconexión compleja de los sistemas adquirientes y proveedores. De manera similar a los riesgos de seguridad de la información de la
cadena de suministro de TIC, existe la posibilidad de falta de claridad sobre las funciones y responsabilidades para la gestión de la
seguridad de la información y la implementación de controles.

Por ejemplo, si la información dentro de las cargas de trabajo del servicio de computación en la nube atraviesa las fronteras nacionales o
el cliente del servicio en la nube no puede controlar cómo se entrega el servicio en la nube, esto puede generar riesgos de incumplimiento
legal, estatutario o reglamentario de las obligaciones de cumplimiento por parte del adquiriente o del proveedor. . Además, la tenencia
múltiple y el uso de tecnologías (p. ej., virtualización e interfaces de programación de aplicaciones (API)), pueden introducir nuevos riesgos
de seguridad de la información de los clientes de la nube.

© ISO/IEC 2014 – Todos los derechos reservados 11

Machine Translated by Google

ISO/CEI 27036-1: 2014(E)

confidencialidad como consecuencia de controles de acceso inadecuados y falta de segregación de clientes de servicios
en la nube.

ISO/IEC 27036 Parte 4 proporciona pautas para la seguridad de la información de los servicios de computación en la nube
que a menudo se brindan a través de la cadena de suministro desde la perspectiva tanto del adquirente como del proveedor
de dichos servicios. Específicamente, implica administrar los riesgos de seguridad de la información asociados con los
servicios de computación en la nube a lo largo del ciclo de vida de la relación con el proveedor. Se basa en los requisitos
de la Parte 2 y proporciona prácticas adicionales que pueden aumentar los requisitos de alto nivel de la Parte 2 y la
orientación de la Parte 3.

12 © ISO/IEC 2014 – Todos los derechos reservados

Machine Translated by Google

ISO/CEI 27036-1: 2014(E)

Bibliografía

[1] ISO/IEC 15288, Ingeniería de sistemas y software. Procesos del ciclo de vida del sistema.

[2] ISO/IEC 12207 Ingeniería de software y sistemas. Procesos del ciclo de vida del software.

[3] ISO/IEC 20000, Tecnología de la información. Gestión de servicios. Parte 1: Requisitos del sistema de gestión de
servicios.

[4] ISO/IEC 27000, Tecnología de la información. Técnicas de seguridad. Sistemas de gestión de la seguridad de la
información. Visión general y vocabulario.

[5] ISO/IEC 27001, Tecnología de la información. Técnicas de seguridad. Sistemas de gestión de la seguridad de la
información. Requisitos.

[6] ISO/IEC 27002, Tecnología de la información. Técnicas de seguridad. Código de prácticas para los controles de
seguridad de la información.

[7] ISO/IEC 27005, Tecnología de la información. Técnicas de seguridad. Gestión de riesgos de seguridad de la información.

[8] ISO/IEC 27014, Tecnología de la información. Técnicas de seguridad. Gobernanza de la seguridad de la información.

[9] ISO/IEC 27035, Tecnología de la información. Técnicas de seguridad. Gestión de incidentes de seguridad de la
información.

[10] ISO 28000, Especificación para sistemas de gestión de seguridad para la cadena de suministro

[11] ISO 28001, Sistemas de gestión de seguridad para la cadena de suministro. Mejores prácticas para implementar la seguridad,
evaluaciones y planes de la cadena de suministro. Requisitos y orientación.

[12] ISO 9000:2005, Sistemas de gestión de la calidad — Fundamentos y vocabulario

© ISO/IEC 2014 – Todos los derechos reservados 13

Machine Translated by Google

ISO/CEI 27036-1: 2014(E)

ICS 35.040
Precio basado en 13 páginas

© ISO/IEC 2014 – Todos los derechos reservados