Se establecen las condiciones para la prestación de servicios, responsabilidades y controles que ayuden a proteger la información involucrada en las relaciones entre ENOTRIA con sus proveedores*, frente a incidentes de seguridad de información que puedan afectar a los principios de integridad, disponibilidad y confidencialidad, debiendo cumplirse los siguientes lineamientos:

·· Firmar contratos con cláusulas de confidencialidad, de seguridad de la información, de auditorías y de continuidad operativa antes de iniciar el servicio, para que puedan acceder a la información proporcionada por Enotria, en dichas clausulas se detallan las responsabilidades y lineamientos para proteger la confidencialidad, integridad y disponibilidad de los activos de información afectados por el alcance del servicio.

· Evaluar los riesgos de seguridad del servicio a ser proporcionado por el proveedor. En caso de aplicar tratamiento a los riesgos, determinar nuevas medidas de control que requieren adoptarse por parte de Enotria y/o del proveedor.

· Detallar las contingencias relacionadas con el servicio brindado, abarcando escenarios de falla, protocolos de respuesta, y mecanismos de recuperación definidos por el proveedor (aplica para proveedores críticos).

· Gestionar por el área usuaria, en caso de ser requerido, la habilitación de accesos lógicos al proveedor mediante el sistema de solicitudes (SOL) de acuerdo con la política de control de acceso (SGSI-POL-04), cuando finalicen los servicios, asegurar de que todo el equipamiento, software o información en formato electrónico o papel sea devuelto o eliminado de manera segura.

· Gestionar el ingreso a las instalaciones de Enotria conforme al procedimiento SI-P-06 Control de Ingreso y Salida de Instalaciones, y cumplir con las normas de seguridad establecidas por Enotria durante toda la permanencia en sus instalaciones por parte del proveedor

· Prohibir el uso de equipos como computadoras personales, videograbadoras, cámaras, grabadoras, entre otros en las áreas seguras; a menos que exista autorización formal de uso por parte del responsable de Seguridad integral y/o Tecnologías de Información.

· Supervisar el cumplimiento de los aspectos de seguridad de información por parte del área usuaria, durante el desarrollo del servicio contratado.

· Brindar las facilidades para realizar auditorías de cumplimiento de los lineamientos de seguridad de la información según aplique.

· Reportar los incidentes de seguridad de la información que sean detectados mediante el procedimiento de Gestión de Incidentes, por parte de los proveedores o por el área usuaria.

· Promover charlas en temas de seguridad de la información para generar conciencia y conocimiento en el personal que brinda el servicio.

* Se hace referencia principalmente a proveedores de servicios de TI, servicios de seguridad, servicios de salud, servicios financieros, servicios de distribución, servicios generales,
entre otros que puedan identificarse.