La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Proveedores de servicios externos

Publicada porJuan Antonio Blázquez Mora Modificado hace 8 años

Presentaciones similares

Presentación del tema: "Proveedores de servicios externos"— Transcripción de la presentación:

1 2.12.4 Proveedores de servicios externos
Las consideraciones al contratar servicios de outsourcing incluyen: Criticidad de las funciones de negocio a ser tercerizadas. La complejidad del proceso. Requerimientos de control sobre segregación de funciones y controles de diseño, implementación y monitoreo. Requerimientos regulatorios. Los cambios en los ambientes internos y externos del negocio. Directivas para el Instructor: Páginas de Referencia del Manual de Preparación al Examen: Págs. 127

2 2.12.4 Proveedores de servicios externos
Las cláusulas clave que deberían ser parte de un SLA deben incluir, sin limitarse a: El derecho a auditar los libros contables de los proveedores. El derecho a revisar sus procesos. La insistencia en los procedimientos operativos estándar (SOPs). El derecho a evaluar las habilidades de los recursos del proveedor. Informar con anticipación si se van a realizar cambios en los recursos utilizados. Directivas para el Instructor: Para los recursos internos y externos, el Gerente de Seguridad de Información debe entender los procesos de negocio y los recursos de información que son críticos a cada línea de negocio. Esta información se puede obtener de discusiones con los dueños individuales de los procesos de negocio, de la documentación técnica mantenida por las áreas de sistema y de las discusiones con la alta dirección. Páginas de Referencia del Manual de Preparación al Examen: Pg. 128

3 2.13 Integración con los procesos de Ciclo de Vida
Los cambios a una organización pueden afectar la información crítica que debe asegurar: Cambios a nivel de aplicaciones, red o hardware. Éxito financiero (objetivo mayor para ataques). Nuevos productos. Cambios en el liderazgo. Cambios en los procesos. Cambio organizacional (fusiones). La gestión de cambios es un método efectivo para mantener una adecuada protección de seguridad. Un enfoque proactivo permite al Gerente de Seguridad de Información planear e implementar mejor las políticas y los procedimientos de seguridad de manera consistente con los objetivos y las metas de negocio de la organización. Contenidos a Enfatizar: Asegurar que las actividades de identificación, análisis y mitigación de riesgos se integren a los procesos de ciclo de vida diferente es una tarea importante de la gerencia de seguridad de la información. La mayoría de las organizaciones cuentan con procedimientos para la gestión de cambios que pueden ofrecer al gerente de seguridad de la información un enfoque para implementar procesos de gestión de riesgos de forma continua. Debido a que es probable que los cambios a cualquier recurso de información introduzcan nuevas vulnerabilidades y que modifiquen la ecuación del riesgo general, es importante que el gerente de seguridad de la información esté al tanto de las modificaciones propuestas. Páginas de Referencia del Manual de Preparación al Examen: Pg. 129

4 2.13 Integración con los procesos de Ciclo de Vida
Para poder integrar las actividades de identificación, análisis y mitigación de riesgos en los procesos de ciclo de vida, el Gerente de Seguridad de Información debe saber: De principios y prácticas para la gestión de riesgos basada en el ciclo de vida. Principios para el desarrollo de líneas base y su relación con las evaluaciones de requerimientos de control basadas en riesgos. Contenidos a Enfatizar: Al integrar las actividades de identificación, análisis y mitigación de riesgos en la gestión de cambio (procesos de ciclo de vida), el gerente de seguridad de la información puede asegurar que los recursos de información críticos se protejan adecuadamente. Se trata de un enfoque proactivo, permitiendo al gerente de seguridad de la información planificar e implementar mejor políticas y procedimientos de seguridad en alineación con las metas y los objetivos de negocio de la organización. Igualmente permite que los controles de la seguridad de la información se agreguen a una actividad que tiene el mayor potencial para degradar los controles existentes. Páginas de Referencia del Manual de Preparación al Examen: Págs. 129

5 2.13.2 Principios y prácticas de la gestión de riesgos basada en el Ciclo de Vida
La gestión de riesgos tiene un ciclo de vida: Es más rentable actualizar periódicamente los riesgos. Es una práctica más prudente emplear el enfoque de ciclo de vida para identificar, analizar, evaluar y realizar seguimiento a los riesgos.  Un enfoque sistemático, de arriba hacia abajo, por lo general puede beneficiarse de herramientas de apoyo, capacitación y asesoría. El Gerente de Seguridad de la Información también podrá recurrir a herramientas de software diseñado para realizar seguimiento al ciclo de vida de gestión de riesgos. Contenidos a Enfatizar: En vista de que la gestión de riesgos es un proceso continuo, el gerente de seguridad de la información debería considerar que la misma gestión de riesgos tiene un ciclo de vida. Este ciclo de vida puede comprometer las fases de evaluación, tratamiento y supervisión. La aplicación de un enfoque de gestión de riesgos basado en el ciclo de vida y su integración con la gestión de cambios mejora los costos en cuanto a que no necesariamente debe realizarse una evaluación de riesgo completa en forma periódica. Por el contrario, se pueden hacer actualizaciones a la valoración de riesgos y a los procesos de gestión de riesgos de forma incremental. Páginas de Referencia del Manual de Preparación al Examen: Pg. 130

6 2.13.2 Principios y prácticas de la gestión de riesgos basada en el Ciclo de Vida
En vista de que la gestión de riesgos es un proceso continuo, el gerente de seguridad de la información debería considerar que la misma gestión de riesgos tiene un ciclo de vida. Este ciclo de vida puede comprometer las fases de evaluación, tratamiento y supervisión. La aplicación de un enfoque de gestión de riesgos basado en el ciclo de vida y su integración con la gestión de cambios mejora los costos en cuanto a que no necesariamente debe realizarse una evaluación de riesgo completa en forma periódica. Por el contrario, se pueden hacer actualizaciones a la valoración de riesgos y a los procesos de gestión de riesgos de forma incremental. Contenidos a Enfatizar: En vista de que la gestión de riesgos es un proceso continuo, el gerente de seguridad de la información debería considerar que la misma gestión de riesgos tiene un ciclo de vida. Este ciclo de vida puede comprometer las fases de evaluación, tratamiento y supervisión. La aplicación de un enfoque de gestión de riesgos basado en el ciclo de vida y su integración con la gestión de cambios mejora los costos en cuanto a que no necesariamente debe realizarse una evaluación de riesgo completa en forma periódica. Por el contrario, se pueden hacer actualizaciones a la valoración de riesgos y a los procesos de gestión de riesgos de forma incremental. Páginas de Referencia del Manual de Preparación al Examen: Pg. 130

7 2.14 Niveles mínimos de controles de seguridad
Los niveles base (baselines) especifican los requisitos mínimos de los controles de seguridad. Los principios para desarrollo de niveles mínimos incluyen: Estar familiarizado con controles aceptables de seguridad especificados por los proveedores de tecnologías de información y por organizaciones de seguridad. Evaluar el nivel de seguridad apropiado para una organización y por consiguiente adaptar los niveles mínimos. Contenidos a Enfatizar: La aplicación de niveles mínimos para los procesos de seguridad establece los requerimientos de seguridad mínimos en toda la organización para sean consistentes con los niveles de riesgo aceptables. Se debe establecer diferentes referencias para diferentes clasificaciones de seguridad, con controles de seguridad más estrictos requeridos para más recursos críticos o sensibles. Si la organización no ha implementado un esquema de clasificación, será difícil para el gerente de seguridad de la información desarrollar bases racionales para establecer las referencias sin el riesgo de proteger demasiado algunos recursos o proteger de manera insuficiente a otros. Los niveles de riesgo para cada clasificación de seguridad deben también determinarse y los estándares desarrollarse o modificarse para establecer los límites inferiores de protección de cada dominio de seguridad. Los estándares proporcionan la base para la medición y métodos de análisis con el fin de evaluar si los controles existentes cumplen con las referencias de seguridad. Páginas de Referencia del Manual de Preparación al Examen: Pág. 130

8 2.14 Niveles mínimos de controles de seguridad
La aplicación de niveles mínimos para los procesos de seguridad establece los requerimientos de seguridad mínimos en toda la organización para sean consistentes con los niveles de riesgo aceptables. Se debe establecer diferentes referencias para diferentes clasificaciones de seguridad, con controles de seguridad más estrictos requeridos para más recursos críticos o sensibles. Si la organización no ha implementado un esquema de clasificación, será difícil para el gerente de seguridad de la información desarrollar bases racionales para establecer las referencias sin el riesgo de proteger demasiado algunos recursos o proteger de manera insuficiente a otros. Contenidos a Enfatizar: La aplicación de niveles mínimos para los procesos de seguridad establece los requerimientos de seguridad mínimos en toda la organización para sean consistentes con los niveles de riesgo aceptables. Se debe establecer diferentes referencias para diferentes clasificaciones de seguridad, con controles de seguridad más estrictos requeridos para más recursos críticos o sensibles. Si la organización no ha implementado un esquema de clasificación, será difícil para el gerente de seguridad de la información desarrollar bases racionales para establecer las referencias sin el riesgo de proteger demasiado algunos recursos o proteger de manera insuficiente a otros. Los niveles de riesgo para cada clasificación de seguridad deben también determinarse y los estándares desarrollarse o modificarse para establecer los límites inferiores de protección de cada dominio de seguridad. Los estándares proporcionan la base para la medición y métodos de análisis con el fin de evaluar si los controles existentes cumplen con las referencias de seguridad. Páginas de Referencia del Manual de Preparación al Examen: Pág. 130

9 2.14 Niveles mínimos de controles de seguridad
Los niveles de riesgo para cada clasificación de seguridad deben también determinarse y los estándares desarrollarse o modificarse para establecer los límites inferiores de protección de cada dominio de seguridad. Los estándares proporcionan la base para la medición y métodos de análisis con el fin de evaluar si los controles existentes cumplen con las referencias de seguridad. Contenidos a Enfatizar: La aplicación de niveles mínimos para los procesos de seguridad establece los requerimientos de seguridad mínimos en toda la organización para sean consistentes con los niveles de riesgo aceptables. Se debe establecer diferentes referencias para diferentes clasificaciones de seguridad, con controles de seguridad más estrictos requeridos para más recursos críticos o sensibles. Si la organización no ha implementado un esquema de clasificación, será difícil para el gerente de seguridad de la información desarrollar bases racionales para establecer las referencias sin el riesgo de proteger demasiado algunos recursos o proteger de manera insuficiente a otros. Los niveles de riesgo para cada clasificación de seguridad deben también determinarse y los estándares desarrollarse o modificarse para establecer los límites inferiores de protección de cada dominio de seguridad. Los estándares proporcionan la base para la medición y métodos de análisis con el fin de evaluar si los controles existentes cumplen con las referencias de seguridad. Páginas de Referencia del Manual de Preparación al Examen: Pág. 130

10 Monitoreo de riesgos Un componente importante del ciclo de vida de la gestión de riesgos es su monitoreo, valoración y evaluación continua. Tanto los resultados como el estado de este análisis continuo necesitan documentarse y reportarse a la Alta Dirección con regularidad periódica. El Gerente de Seguridad de Información debe contar con procesos definidos mediante los cuales sea posible evaluar eventos relacionados con la seguridad con base en el impacto que tendrían en la organización. Monitoreo y reporte de riesgos mediante indicadores clave de riesgos (KRIs), que señalan cuando una empresa está sujeta a riesgos que exceden el apetito o tolerancia. Contenidos a Enfatizar: Implementar un programa efectivo de gestión de riesgos requiere de monitoreo y comunicación. Monitorear la eficacia de los controles es una actividad continua que se requiere para gestionar el riesgo. Es preciso establecer canales de comunicación tanto para reportar como para difundir información relevante para gestionar los riesgos, como para proporcionar información sobre actividades relacionadas con los riesgos en toda la empresa al gerente de seguridad de la información, que incluya el reporte de cambios significativos en el riesgo, la capacitación y la concienciación. Páginas de Referencia del Manual de Preparación al Examen: Pg. 132

11 2.15.2 Reporte de cambios significativos en el riesgo
Notificación de cambios significativos en riesgos: Actualizarse cuando existan cambios en la organización. Considerar cualquier cambio significativo del perfil de riesgos de la organización. Incluir un proceso mediante el cual un importante fallo o evento de seguridad desencadenará un informe a la alta dirección. Para facilitar dicho reporte, se pueden utilizar ayudas visuales como gráficos, cuadros y visiones generales resumidas. Asimismo, el programa de seguridad debe incluir un proceso mediante el cual una violación significativa a la seguridad o un evento importante en la seguridad generen un reporte especial a la alta dirección. El gerente de seguridad de la información debe contar con procesos definidos mediante los cuales sea posible evaluar eventos relacionados con la seguridad con base en el impacto que tendrían en la organización. Dicha evaluación podría garantizar que se emita un informe especial a la alta dirección para informarle del evento, el impacto y las acciones tomadas para mitigar el riesgo. Páginas de Referencia del Manual de Preparación al Examen: Pg. 133

12 2.16 Capacitación y concientización
Dado que las personas son generalmente el mayor riesgo para una organización, el entrenamiento apropiado puede tener un impacto significativo en la mitigación del riesgo. Contenidos a Enfatizar: La gente, por lo general, representa el mayor riesgo para cualquier organización casi siempre mediante accidentes, errores, falta de conocimiento / información y, de vez en cuando, mediante intentos maliciosos. Implementar campañas apropiadas de capacitación y concientización puede hacer una contribución positiva sustancial a la gestión de riesgos. Muchos controles son de procedimientos y requieren de conocimiento operativo y cumplimiento. Se deben configurar y operar correctamente los controles técnicos para brindar el nivel esperado de aseguramiento. Es responsabilidad del gerente de seguridad de la información garantizar que los usuarios reciban formación sobre procedimientos y que entiendan los procesos de gestión de riesgos. Asimismo, se deben incluir actividades apropiadas de capacitación y concientización en cualquier programa de gestión de riesgos. Páginas de Referencia del Manual de Preparación al Examen: Pg. 133

13 2.16 Capacitación y concientización
La gente, por lo general, representa el mayor riesgo para cualquier organización casi siempre mediante accidentes, errores, falta de conocimiento / información y, de vez en cuando, mediante intentos maliciosos. Implementar campañas apropiadas de capacitación y concientización puede hacer una contribución positiva sustancial a la gestión de riesgos. Muchos controles son de procedimientos y requieren de conocimiento operativo y cumplimiento. Se deben configurar y operar correctamente los controles técnicos para brindar el nivel esperado de aseguramiento. Contenidos a Enfatizar: La gente, por lo general, representa el mayor riesgo para cualquier organización casi siempre mediante accidentes, errores, falta de conocimiento / información y, de vez en cuando, mediante intentos maliciosos. Implementar campañas apropiadas de capacitación y concientización puede hacer una contribución positiva sustancial a la gestión de riesgos. Muchos controles son de procedimientos y requieren de conocimiento operativo y cumplimiento. Se deben configurar y operar correctamente los controles técnicos para brindar el nivel esperado de aseguramiento. Es responsabilidad del gerente de seguridad de la información garantizar que los usuarios reciban formación sobre procedimientos y que entiendan los procesos de gestión de riesgos. Asimismo, se deben incluir actividades apropiadas de capacitación y concientización en cualquier programa de gestión de riesgos. Páginas de Referencia del Manual de Preparación al Examen: Pg. 133

14 2.16 Capacitación y concientización
Es responsabilidad del gerente de seguridad de la información garantizar que los usuarios reciban formación sobre procedimientos y que entiendan los procesos de gestión de riesgos. Asimismo, se deben incluir actividades apropiadas de capacitación y concientización en cualquier programa de gestión de riesgos. Contenidos a Enfatizar: La gente, por lo general, representa el mayor riesgo para cualquier organización casi siempre mediante accidentes, errores, falta de conocimiento / información y, de vez en cuando, mediante intentos maliciosos. Implementar campañas apropiadas de capacitación y concientización puede hacer una contribución positiva sustancial a la gestión de riesgos. Muchos controles son de procedimientos y requieren de conocimiento operativo y cumplimiento. Se deben configurar y operar correctamente los controles técnicos para brindar el nivel esperado de aseguramiento. Es responsabilidad del gerente de seguridad de la información garantizar que los usuarios reciban formación sobre procedimientos y que entiendan los procesos de gestión de riesgos. Asimismo, se deben incluir actividades apropiadas de capacitación y concientización en cualquier programa de gestión de riesgos. Páginas de Referencia del Manual de Preparación al Examen: Pg. 133

15 2.16 Capacitación y concientización
Los usuarios finales deben recibir entrenamiento en: La importancia de adherirse a las políticas y procedimientos de seguridad de la empresa. Responder a situaciones de emergencia. La importancia del acceso lógico en un ambiente de TI. Los requerimientos de privacidad y confidencialidad. Páginas de Referencia del Manual de Preparación al Examen: Pg. 133 15

Descargar ppt "Proveedores de servicios externos"

Presentaciones similares

SISTEMASDE GESTION AMBIENTAL

SISTEMASDE GESTION AMBIENTAL
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.

C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
UNIVERSIDAD ALONSO DE OJEDA

UNIVERSIDAD "ALONSO DE OJEDA"
Control Interno Informático. Concepto

Control Interno Informático. Concepto
Aspectos Organizativos para la Seguridad

Aspectos Organizativos para la Seguridad
CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000

CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000
Herramientas y metodologías de éxito para el manejo de proyectos TIC: Caso PYME CREATIVA Noviembre 2008.

Herramientas y metodologías de éxito para el manejo de proyectos TIC: Caso PYME CREATIVA Noviembre 2008.
“8 Principios de la Gestión Administrativa”

“8 Principios de la Gestión Administrativa”
Administración de los riesgos desde la perspectiva del Control Interno

Administración de los riesgos desde la perspectiva del Control Interno
Auditoria en Informatica Lic. Enrique Hernandez H.

Auditoria en Informatica Lic. Enrique Hernandez H.
Medición, Análisis y Mejora

Medición, Análisis y Mejora
Universidad de Buenos Aires Facultad de Ciencias Económicas

Universidad de Buenos Aires Facultad de Ciencias Económicas
XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.

XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.
AUDITORIA DE SISTEMAS DE INFORMACIÓN

AUDITORIA DE SISTEMAS DE INFORMACIÓN
Módulo 13 Procesos de Verificación de la Implementación del SAA.

Módulo 13 Procesos de Verificación de la Implementación del SAA.
Electivo Integración Normas de Calidad, Seguridad, Medio Ambiente y Riesgos en la Gestión de la Empresa. Profesor : Fernando Vargas Gálvez Ingeniero Civil.

Electivo Integración Normas de Calidad, Seguridad, Medio Ambiente y Riesgos en la Gestión de la Empresa. Profesor : Fernando Vargas Gálvez Ingeniero Civil.
Presentación de la Norma Técnica de Seguridad de la Información

Presentación de la Norma Técnica de Seguridad de la Información
ADMINISTRACIÓN DE REQUERIMIENTOS

ADMINISTRACIÓN DE REQUERIMIENTOS
“Adopción de SGSI en el Sector Gobierno del PERÚ”

“Adopción de SGSI en el Sector Gobierno del PERÚ”

Presentaciones similares

Anuncios Google