Control 15: Gestión de Proveedores de Servicios

Por -

Control 15: Gestión de Proveedores de Servicios

(CIS Control 15 – Service Provider Management)

Propósito del control

Objetivo: Garantizar que los proveedores externos que almacenan, procesan o transmiten datos de la organización cumplan con los requisitos de seguridad establecidos.
Resultado esperado: Los proveedores de servicios son evaluados, contratados, supervisados y desvinculados de forma segura, minimizando riesgos para la organización.

⚠️ Motivación:
Los proveedores externos amplían la superficie de ataque. Sin controles adecuados, pueden convertirse en vectores de compromiso, fuga de datos o incumplimiento normativo.

Alcance del control

  • Proveedores de servicios en la nube (IaaS, PaaS, SaaS)
  • Empresas de soporte técnico, mantenimiento o desarrollo
  • Servicios de procesamiento de datos, hosting o almacenamiento
  • Contratos con acceso a información sensible o sistemas críticos

Desarrollo por niveles de madurez

🟢 IG1 – Fundacional

  • Inventario de proveedores con acceso a datos o sistemas
  • Contratos que incluyan requisitos mínimos de seguridad
  • Restricción de acceso según el principio de mínimo privilegio

🟡 IG2 – Gestión activa

  • Evaluación de riesgos antes de contratar proveedores
  • Supervisión periódica del cumplimiento de controles de seguridad
  • Planes de respuesta ante incidentes que incluyan a terceros

🔴 IG3 – Madurez avanzada

  • Auditorías de seguridad a proveedores críticos
  • Integración de proveedores en el programa de gestión de riesgos
  • Terminación segura de relaciones contractuales (revocación de accesos, borrado de datos)

📘 Referencias normativas

📚 Bibliografía y recursos ampliados

Ficha

Nombre del control: Gestión de Proveedores de Servicios (CIS Control 15)
Resumen: La confianza no se subcontrata. Cada proveedor es una extensión de tu perímetro de riesgo.

Riesgos que mitiga:

  • Fugas de datos a través de terceros
  • Accesos no autorizados por proveedores mal gestionados
  • Incumplimientos normativos por falta de control contractual

Niveles de madurez:

  • IG1: Inventario, contratos seguros, mínimo privilegio
  • IG2: Evaluación de riesgos, supervisión, respuesta a incidentes
  • IG3: Auditorías, integración en gestión de riesgos, desvinculación segura

Herramientas típicas: OneTrust, Prevalent, BitSight, plataformas GRC

Evidencias recomendadas: Contratos firmados, informes de evaluación, registros de auditoría, listas de accesos revocados

Comentarios

Publicar un comentario

Los comentarios son parte del proceso doctrinal. Aporta, corrige o amplia cuando desees.

Entradas más populares de este blog

Del spoofing al MitM: defensa contextual por capas OSI

Por -
Ataques en capas OSI y contramedidas modernas Nota para arquitectos de seguridad: Muchos manuales describen ataques sin precisar en qué capa del modelo OSI actúan ni qué propiedad de seguridad comprometen. Esta clasificación es esencial para diseñar defensas estratificadas y contextualizadas. 📐 Clasificación por capa OSI Capa OSI Ataques típicos Propiedades afectadas Contramedidas modernas Capa 2 (Enlace de datos) MAC spoofing, ARP poisoning Integridad, Confidencialidad Port Security, Dynamic ARP Inspection (DAI), NAC Capa 3 (Red) IP spoofing, DoS/DDoS Disponibilidad, Autenticación Firewalls con filtrado, IDS/IPS, rate limiting Capa 4 (Transporte) TCP SYN flood, UDP flood Disponibilidad SYN cookies, balanceadores con protección, mitigación DDoS Capas 5–7 (Sesión, Presentación, Aplicación) Man-in-the-M...
Read more »

Fallos arquitectónicos en redes internas: el enemigo ya está dentro

Por -
Fallos arquitectónicos en redes internas: el enemigo ya está dentro En muchas organizaciones, la seguridad se centra en firewalls, antivirus y soluciones de perímetro. Sin embargo, la mayoría de los incidentes graves no empiezan en la frontera , sino dentro de la red, aprovechando configuraciones débiles, redes planas y errores invisibles que pueden persistir durante años. Los atacantes internos —o externos que logran entrar— no necesitan explotar vulnerabilidades sofisticadas. Les basta con encontrar un entorno mal segmentado, un switch sin hardening o un puerto configurado por defecto. La seguridad interna no falla por falta de tecnología, sino por falta de criterio arquitectónico. 🧱 Errores estructurales comunes 1. Redes planas Una red plana es aquella donde todos los dispositivos comparten el mismo dominio de broadcast y pueden comunicarse sin restricciones. Riesgos: Facilita el movimiento lateral Permite ataques de Capa 2 sin contención Habilita escaneo ...
Read more »

Índice de controles CIS

Por -
📚 Serie doctrinal: CIS Control 1 – Índice completo Objetivo: Esta entrada reúne los 18 controles del CIS Control 1 con enlaces internos y visuales para facilitar su estudio, documentación y validación cruzada en el simulador doctrinal. 📑 Índice de controles CIS 🛡️ Control 1 – Inventario y control de activos 🧰 Control 2 – Inventario de software autorizado 🔐 Control 3 – Protección de datos sensibles ⚙️ Control 4 – Configuración segura de activos 🧱 Control 5 – Gestión de cuentas y privilegios 📦 Control 6 – Mantenimiento y gestión de vulnerabilidades 🧼 Control 7 – Protección contra malware 📶 Control 8 – Gestión de puertos y protocolos 🧯 Control 9 – Limitación y control de puertos de red 🔄 Control 10 – Copias de seguridad y recuperación 🧪 Control 11 – Pruebas de seguridad y evaluación continua 🧭 Control 12 – Defensa contra ingeniería social 📋 Control 13 – Gestión de seguridad en operaciones 🔍 Control 14 – Monitoreo y análisis de logs 🚨 Control 15 – Gestió...
Read more »