DivisionCero
Políticas, Procesos y Procedimientos

Política de Evaluación y Monitoreo de Terceros

Revisión de seguridad para proveedores y aliados estratégicos.

Quieres aprender más?

Descarga el Kit de Ciberseguridad.

📋 Información General

Documento: Política de Evaluación y Monitoreo de Terceros
Versión: 1.0.0
Fecha: Enero 2025
Clasificación: Confidencial
Audiencia: Equipo de Compras, Gerentes de Proyecto, CISO, Equipo Legal, Gerentes de Negocio

🎯 Propósito

Establecer los criterios y procedimientos para la evaluación, selección, contratación y monitoreo continuo de terceros que prestan servicios o tienen acceso a activos de información de DivisionCero, garantizando que los niveles de seguridad de la información se mantengan conforme a los estándares organizacionales y regulatorios aplicables.

🏢 Alcance

Esta política aplica a:

  • Todos los proveedores de servicios tecnológicos y no tecnológicos
  • Consultores, contratistas y freelancers con acceso a sistemas o información
  • Servicios de nube pública, privada e híbrida
  • Partners comerciales y aliados estratégicos
  • Proveedores de servicios críticos para la continuidad del negocio
  • Subcontratistas de proveedores principales

📚 Definiciones

  • Terceros: Organizaciones externas que proporcionan servicios o tienen acceso autorizado a activos de DivisionCero
  • Evaluación de Seguridad: Proceso sistemático para verificar controles de seguridad de terceros
  • Due Diligence: Investigación comprensiva de capacidades, riesgos y controles de seguridad
  • SLA de Seguridad: Acuerdos de nivel de servicio específicos para aspectos de seguridad
  • Monitoreo Continuo: Supervisión permanente del desempeño en seguridad de terceros activos

🛡️ Política

Clasificación de Terceros por Riesgo

Nivel de Riesgo Bajo

Criterios:

  • Sin acceso a sistemas de información internos
  • No manejo de datos confidenciales o personales
  • Servicios de apoyo general sin acceso a instalaciones críticas
  • Impacto limitado en operaciones de negocio

Ejemplos: Servicios de limpieza, catering, papelería

Nivel de Riesgo Medio

Criterios:

  • Acceso limitado a sistemas no críticos
  • Manejo de datos internos de clasificación básica
  • Servicios con impacto moderado en operaciones
  • Acceso físico controlado a instalaciones

Ejemplos: Servicios de mantenimiento, capacitación, soporte técnico básico

Nivel de Riesgo Alto

Criterios:

  • Acceso a sistemas críticos de negocio o información confidencial
  • Procesamiento de datos personales o financieros
  • Servicios esenciales para continuidad operativa
  • Acceso privilegiado a infraestructura tecnológica

Ejemplos: Proveedores de nube, servicios de backup, consultores de TI

Nivel de Riesgo Crítico

Criterios:

  • Acceso a secretos comerciales o información estratégica
  • Administración de infraestructura crítica
  • Servicios sin los cuales el negocio no puede operar
  • Acceso a sistemas de producción o datos de clientes

Ejemplos: Proveedores de servicios cloud críticos, partners tecnológicos estratégicos

Proceso de Evaluación Inicial

Evaluación Básica (Todos los Terceros)

Documentación Requerida:

  • Certificaciones de seguridad vigentes (ISO 27001, SOC 2, etc.)
  • Políticas de seguridad de la información documentadas
  • Evidencia de programas de capacitación en seguridad
  • Historial de incidentes de seguridad en los últimos 24 meses

Verificaciones Estándar:

  • Validación de identidad corporativa y licencias de operación
  • Verificación de referencias comerciales y de seguridad
  • Revisión de estabilidad financiera y continuidad del negocio
  • Evaluación de cumplimiento regulatorio aplicable

Evaluación Extendida (Riesgo Alto y Crítico)

Assessments Técnicos:

  • Auditoría de controles técnicos y administrativos
  • Revisión de arquitectura de seguridad y controles de acceso
  • Evaluación de capacidades de monitoreo y respuesta a incidentes
  • Verificación de procesos de gestión de vulnerabilidades

Due Diligence Profunda:

  • Entrevistas con personal clave de seguridad del proveedor
  • Revisión in-situ de controles físicos y ambientales
  • Evaluación de cadena de suministro y subcontratistas
  • Análisis de capacidades de recuperación ante desastres

Criterios de Aceptación

Requisitos Mínimos Obligatorios

  • Certificación ISO 27001 vigente o equivalent (SOC 2 Tipo II)
  • Programa formal de gestión de vulnerabilidades
  • Capacidades de logging y monitoreo de seguridad
  • Procesos documentados de respuesta a incidentes
  • Acuerdos de confidencialidad y protección de datos

Controles Técnicos Requeridos

  • Cifrado de datos en tránsito y reposo (AES-256 mínimo)
  • Autenticación multifactor para accesos privilegiados
  • Segmentación de red y controles de acceso basados en roles
  • Backup y recuperación con testing regular
  • Monitoreo de seguridad 24/7 con alertas automatizadas

Controles Administrativos

  • Políticas de seguridad alineadas con marcos reconocidos
  • Programa de capacitación en seguridad para empleados
  • Procesos de gestión de cambios con aprobaciones formales
  • Auditorías internas de seguridad regulares
  • Plan de continuidad del negocio documentado y probado

Monitoreo Continuo

Monitoreo Mensual

Métricas de Desempeño:

  • Disponibilidad de servicios y cumplimiento de SLAs
  • Tiempo de respuesta a incidentes de seguridad
  • Número y severidad de vulnerabilidades identificadas
  • Estado de certificaciones de seguridad

Indicadores de Riesgo:

  • Incidentes de seguridad reportados por el proveedor
  • Cambios en personal clave de seguridad
  • Modificaciones en arquitectura o servicios
  • Alertas de inteligencia de amenazas relacionadas

Evaluación Trimestral

  • Review de reportes de seguridad y cumplimiento
  • Análisis de tendencias en métricas de seguridad
  • Evaluación de efectividad de controles implementados
  • Verificación de cumplimiento contractual en seguridad

Revisión Anual Comprensiva

  • Re-evaluación completa de controles de seguridad
  • Actualización de clasificación de riesgo
  • Renovación o actualización de certificaciones
  • Revisión de términos contractuales de seguridad

Gestión de Incidentes con Terceros

Notificación Obligatoria

  • Reporte inmediato de incidentes que afecten datos de DivisionCero
  • Notificación dentro de 4 horas para incidentes críticos
  • Reporte detallado dentro de 24 horas con análisis inicial
  • Updates regulares hasta resolución completa

Respuesta Coordinada

  • Activación de equipos de respuesta de ambas organizaciones
  • Comunicación directa entre CISOs o equivalentes
  • Coordinación de actividades de contención y remediación
  • Documentación conjunta de lecciones aprendidas

Terminación de Relaciones

Causales de Terminación Inmediata

  • Incidentes graves de seguridad causados por negligencia
  • Incumplimiento de acuerdos de confidencialidad
  • Pérdida de certificaciones de seguridad críticas
  • Negativa a cooperar en investigaciones de incidentes

Proceso de Desvinculación

  • Revocación inmediata de todos los accesos
  • Recuperación o destrucción segura de datos de DivisionCero
  • Auditoría de cumplimiento de obligaciones contractuales
  • Documentación de transferencia a proveedores alternativos

👥 Roles y Responsabilidades

  • Chief Procurement Officer: Liderar el proceso de evaluación y selección de terceros
  • CISO: Definir criterios de seguridad y aprobar evaluaciones de riesgo alto
  • Gerentes de Proyecto: Identificar necesidades de terceros y facilitar evaluaciones
  • Equipo Legal: Asegurar cumplimiento contractual y regulatorio
  • Equipo de Seguridad: Ejecutar evaluaciones técnicas y monitoreo continuo
  • Gerentes de Relación: Mantener comunicación regular con terceros sobre temas de seguridad

📊 Cumplimiento y Medición

Métricas de Programa

  • 100% de terceros críticos con certificaciones de seguridad vigentes
  • 95% de cumplimiento en reportes de monitoreo mensual
  • Tiempo promedio de evaluación inicial: máximo 15 días hábiles
  • Reducción del 90% en incidentes causados por terceros año tras año

Indicadores de Efectividad

  • Número de terceros por categoría de riesgo
  • Porcentaje de terceros con evaluaciones actualizadas
  • Tiempo promedio de respuesta a incidentes por parte de terceros
  • Nivel de satisfacción interna con programa de terceros

Auditorías y Verificaciones

  • Revisión mensual de nuevas incorporaciones de terceros
  • Auditoría trimestral de cumplimiento de contratos de seguridad
  • Evaluación anual de efectividad del programa de terceros
  • Verificación continua de vigencia de certificaciones

🚨 Incumplimiento

Sanciones para Terceros

Incumplimientos Menores:

  • Plan de mejora con plazos específicos
  • Monitoreo intensificado temporal

Incumplimientos Graves:

  • Suspensión temporal de servicios
  • Penalidades contractuales aplicables
  • Auditoría extraordinaria a costo del proveedor

Incumplimientos Críticos:

  • Terminación inmediata del contrato
  • Recuperación de costos por incidentes
  • Acciones legales según corresponda

📖 Referencias

  • ISO 27001:2022 - Control A.15 Supplier relationships
  • ISO 27002:2022 - Information security in supplier relationships
  • NIST SP 800-161 - Supply Chain Risk Management
  • Diligencia Debida a Proveedores Críticos
  • Cláusulas de Seguridad en Contratos
  • Plan de Continuidad de Negocio

📝 Control de Versiones

VersiónFechaCambiosAutor
1.0.0Enero 2025Versión inicialEquipo GRC

¿Te ha resultado útil esta página?

Última modificación: 25 de agosto de 2025

Política de Desarrollo Seguro

Política de desarrollo seguro de software.

Política de Gestión de Cambios

Normativa para gestionar cambios en los sistemas de información.