Joven hacker sonriendo

REQ.022 Permitir auditorías de cliente

En el presente documento se detallan los requerimientos relacionados a la gestión adecuada en cuanto a los acuerdos por servicios se refiere. En este requerimiento de seguridad se define la importancia de permitir las auditorías de cliente en el alcance relacionado.

Requisito

Proveedores de la organización deben permitir auditorías de cliente en el alcance relacionado.

Descripción

Dentro de las estipulaciones del contrato con un tercero se debe especificar la posibilidad de realizar auditorías sobre el servicio prestado.

Implementación

  1. En la mayoría de los casos, la forma más adecuada de saber si los requisitos de un servicio se están cumpliendo correctamente, es a través de la realización de una auditoría. Estas auditorías se vuelven más necesarias sobre todo para los servicios prestados en outsourcing, pues evidenciar el cumplimiento de los requisitos se vuelve complejo.

  2. Es importante que como parte del contrato con un tercero se establezcan cláusulas que permitan realizar el ejercicio de auditoría, estas cláusulas evitan que los terceros eviten, limiten u obstruyan las auditorías y permiten la verificación del cumplimiento de los requisitos establecidos.

Ataques

  1. Se requiere validar el cumplimiento de los requisitos establecidos para un servicio prestado por un tercero, este no acepta la posibilidad de realizar una auditoría de cumplimiento al no estar establecido como parte del contrato y por esta razón, no se puede obtener evidencia del cumplimiento de los requisitos y controles especificados para el servicio.

Atributos

  • Capa: Capa de Negocio.

  • Activo: Acuerdo de nivel de servicio.

  • Alcance: Adherencia.

  • Fase: Operación.

  • Tipo de Control: Recomendación.


Estado de los servicios - Términos de Uso