Análisis de riesgos y proceso de decisión. Balance y resultados: de la teoría a la realidad. La experiencia de Sol Meliá Christian Palomino.

Slides:



Advertisements
Presentaciones similares
De las Finanzas a la Estrategia
Advertisements

OUTSOURCING O SUBCONTRATACION
OUTSOURCING Outsourcing, consiste en la transferencia a terceros de ciertos procesos complementarios que no forman parte del giro principal del negocio.
AUDITORIA DE LA EXPLOTACIÓN
LOS PROCESOS DE GESTIÓN SON UN MEDIO Y NO EL FINAL El Trabajo En Conjunto Que Producen Las Características Del Servicio Que Definen Valor.
Security Business Continuity Somos la solución de negocio en Seguridad Integral.
“8 Principios de la Gestión Administrativa”
Un Programa de Gestión del Conocimiento para E&P
ISO INTEGRANTES: NAYIB GELO CARLOS CASSINELLI DANIEL VILLACIS
METODOLOGÍA PARA IMPLANTAR UN SISTEMA INTEGRADO DE INFORMACIÓN
Cuadro de Mando Integral
COMUNICACIÓN Y CALIDAD Asunto de Cultura Organizacional
ESCUELA POLITÉCNICA DEL EJÉRCITO
Estrategia TI Entendimiento estratégico
U n i d a d 9 El plan de empresa u n i d a d 9. u n i d a d 9.
Gestión de Activos/Infraestructura y su Mantenimiento en el Sector Público
1 Seminarios y Formación II Jornadas Universitarias de Calidad y Bibliotecas La implantación de un sistema de calidad en el Consorcio Madroño Ianko López.
SISTEMA DE GESTION DE CALIDAD
OHSAS NORMA SISTEMA DE GESTIÓN DE SALUD Y SEGURIDAD LABORAL
H2 CREACIÓN DE MANUALES Y CAPACITACIÓN
Encuentro Alimarket de Mayo de 2012 – David de la Calle Logística Externalización Internalización Claves para decidir.
Situaciones Detectadas en la Entidad…
SISTEMA DOBLE INTEGRADO
Dirección de Calidad y Medio Ambiente Responsabilidad ambiental Una visión positiva y proactiva desde la empresa FORO ANAVAM Octubre de 2008 Valentín.
! USTED ES IMPORTANTE PARA NUESTRA ENTIDAD ¡
Dirección General de Auditoría Interna Ministerio de Hacienda “Generamos confianza mediante el desempeño transparente y eficiente”
AREA DE SEGURIDAD DE LA INFORMACION
ISO 9001:2000 Introducción. ISO 9001:2000 Introducción.
AUDITORÍA DE SISTEMAS DE INFORMACIÓN
Consultorías Gerenciales Su empresa esta viva pero … … ¿está sana?
Business Plan 2010 – O7TI Page 1 Client name - Event - Presentation title Page 1.
Análisis y Gestión de Riesgos
AUDITORIAS DE SEGURIDAD
DE SEGURIDAD INFORMÁTICA.
AUDITORIAS RESUMEN DE ASPECTOS RELEVANTE EN LA GESTION BASADO EN EL REFERENCIAL ISO 9001:2008.
Función de Auditoría Interna
Maestría en Gestión de Proyectos
Presentado por: José David Orozco Jiménez Marvin Estrada Ugalde
TESINA DE GRADO   SEMINARIO DE GRADUACIÓN: ESTRATEGIA APLICADA AL CONTROL ADMINISTRATIVO Y FINANCIERO Diseño e Implementación de un Sistema de Control.
Misión y Visión de la AMOCVIES San Francisco de Campeche, julio 2007.
Gestión de Calidad Ley 872 de 2003, Decreto 4110 de 2004,Decretos Departamentales 0025 y 0063 de 2005 (Decretos modificados con la reforma institucional.
FUNDAMENTOS: COMUNICACIÓN ASERTIVA. INTEGRACION DEL PERSONAL FORMACION DEL PERSONAL EN ESTANDARES Y ANEXO HSEQ. MOTIVACION Y SEGUIMIENTO A LA APLICACION.
Plan de Sistemas de Información (PSI)
Evaluación y Desarrollo de Proveedores. 2 Actores ► Dos actores principales Empresa “Cliente” Empresa “Proveedor”
INDUCCIÓN AL SISTEMA DE GESTIÓN DE CALIDAD
DIRECCIONAMIENTO ESTRATEGICO Macro procesos - MISIONALES
PROCESO PARA LA CONSTRUCCIÓN DE LOS INDICADORES ENCUENTRO DE UNIVERSIDADES PARA COMPARTIR EXPERIENCIAS 10 DE Junio de 2009 Oficina de Planeación.
AUDITORIA INFORMATICA
PRESENTADO POR: EL CIPA: KAYSA TEMA: OUTSOURCING
TENDENCIAS CONTEMPORANEAS ADMINISTRATIVAS AMERICAS Clase 3.
AUDITORIA TECNOLOGIAS DE INFORMACION - COBIT
GESTIÓN DEL CAMBIO.
JORNADAS TÉCNICAS AES/APROSER “LA CALIDAD EN LOS PRODUCTOS Y SERVICIOS DE SEGURIDAD: UN RETO PERMANENTE EN UN MERCADO EN TRANSFORMACIÓN” EL TRANSPORTE.
3.1. Planificación de la calidad 3.2. Organización de la calidad
PARADORES DE TURISMO Implantación del Sistema de Gestión Medioambiental según Reglamento EMAS ( )
UNIVERSIDAD AMERICANA. CURSO: ADMINISTRACIÓN DE CENTROS DE COMPUTO. PROF. MARCO BARBOZA. ESTUDIANTES: CARLOS CERDAS GAMBOA. DANIEL CORDERO TOLEDO. ALLAN.
Jefe del Sistema de Gestión de la Calidad y Ecoeficiencia
1 FASE FINAL DEL PROYECTO Fondo Multilateral de Inversiones - FOMIN- REUNIÓN CLÚSTER DE CONTABILIDAD Y AUDITORIA Washington, D.C. 9 de Noviembre de 2006.
SGT Modelo Seguridad Modelo Continuidad Modelo Capacidad Modelo Mejora Modelo Administrativo DGCS SGCSGFSGTSCI.
Participantes. Jefe de Proyecto Equipo del Proyecto Comité de Seguimiento Usuario Grupo de Aseguramiento de la Calidad Responsable de Seguridad Comité.
Control Interno dentro de las Instituciones Financieras Presentado por: LSCA Manuel Llano - CISA, CRISC Socio Líder de Consultoría de TI Salles, Sainz.
DIAGNÓSTICO GENERAL ESTRATÉGICO 2007 Versión preliminar Gerencia de Planeamiento y Control – Dirección de Planeación y Control de Resultados Corporativos.
Este documento es propiedad de Servicios Profesionales en Recursos Humanos y Tecnologías S.A. de C.V., queda prohibida su reproducción.
RENDICIÓN DE CUENTAS CATIE Adaptado y ampliado de Beatriz Fernández Olit.
Transición del Sistema de Gestión Integrado de los Requisitos de la Norma NTC ISO 9001:2008 a los Requisitos de la Norma NTC ISO 9001:2015 Febrero de 2016.
1 FASE FINAL DEL PROYECTO Fondo Multilateral de Inversiones - FOMIN- REUNIÓN CLÚSTER ICT Cartagena de Indias, Colombia Octubre 30 al 1 Noviembre de 2006.
Auditoría y Seguridad de Sistemas de Información Auditoria de Sistemas un Desafío Principales Actividades de la Auditoría de Sistemas Cr. Luis Elissondo.
Procesos de apoyo Recursos Procesos de la misión Procesos de la estrategia Comercializar Fabricar muebles 4. Vender 4. Reponer Comprar 3. Producir 2. Comprar.
MARCO CONCEPTUAL DE LA GESTIÓN TECNOLÓGICA. GESTIÓN TECNOLÓGICA soluciones tecnológicas ciencia administración ingeniería G.T CONOCIMIENTOS planeación.
FACULTAD DE CIENCIAS ECONÓMICAS Y EMPRESARIALES – ETEA Licenciatura en Administración y Dirección de Empresas DIRECCIÓN ESTRATÉGICA. Vodafone Grupo número.
Transcripción de la presentación:

Análisis de riesgos y proceso de decisión. Balance y resultados: de la teoría a la realidad. La experiencia de Sol Meliá Christian Palomino

Objetivo “Daros mi visión sobre la externalización de la Seguridad de la Información en las empresas”

¿Cómo? Externalización de los Servicios de Sistemas de SSII. Tipos, Riesgos y Controles. Externalización de la Seguridad de la Información. Conclusiones

Externalización “Contratar a un tercero trabajos, tareas o procesos que anteriormente realizaba personal interno”

Tipos de externalización en Sistemas de Información Subcontratación de recursos Proyectos Explotación y Operación de los sistemas Gestión de los Sistemas de Información

Riesgos de la subcontratación de recursos Mala rentabilidad del precio hora/hombre Perdida de know how Rotación de recursos fuera de nuestro control Fugas de información propia Insensibilización del personal interno a los extraños manipulando activos

Controles para la subcontratación de recursos Vigilancia de la rentabilidad Seguimiento de sus tareas por personal interno Cláusulas de control de la rotación Cláusulas de confidencialidad, LOPD y uso de empresas de confianza Entrenamiento y formación al personal interno

Riesgos en la contratación de proyectos Insensibilidad a las necesidades del negocio -> Insatisfacción con el resultado Desviación costes / tiempos fuera de nuestro control Incapacidad de explotar el proyecto entregado Costes desproporcionados de explotación Perpetuación del mantenimiento del proveedor

Controles para la contratación de proyectos Participación de Key Users en la elaboración del RFP de proyecto y en los controles de calidad del mismo Precio cerrado, sin costes ocultos y con penalizaciones por desviaciones Control de cambios al alcance Inclusión de requerimientos para la explotación en las RFP Auditoría del proyecto

Riesgos en la externalización de la operación de los sistemas Rechazo interno por el personal de sistemas Usuarios descontentos con el nuevo servicio Perdida de capacidad de retomar la operación de los sistemas Comprar servicios y recibir recursos Resistencia a la innovación por el proveedor Acceso a información sensible por mucho personal externo Desconocimiento del negocio

Riesgos en la externalización de la operación de los sistemas (y II) Desacuerdo económico Responsabilidades ambiguas Problemas de comunicación Daño de la imagen interna Gestión de emergencias Perdida del control administrativo de los sistemas Colonización

Controles para la externalización de la operación de los sistemas Implicar al personal en el proceso. Convertir amenaza en oportunidad. Participación de Key Users en la RFP y definición de SLAs Vinculación de la imagen del proveedor a la de Sistemas Propiedad intelectual del Manual de Explotación, detallado en la RFP Formación al proveedor del negocio

Controles para la externalización de la operación de los sistemas (y II) SLAs acotados Compromiso contractual de renovación tecnológica Formación al proveedor del negocio Clausulas contractuales de confidencialidad, LOPD,...

Controles para la externalización de la operación de los sistemas (y III) Definición exhaustiva de nuestros requerimientos en el contrato, no aceptación del contrato modelo. Definición exhaustiva de una matriz de responsabilidades Establecimiento de un modelo de comunicación con responsabilidades claras Procedimiento de toma de control de los sistemas Auditoria

Riesgos de la externalización de la gestión de SSII Desalineación con la estrategia de la empresa Perdida del know how que vincula la innovación al negocio Perdida del control por desconocimiento por parte de la empresa de la tecnología

Controles para la externalización de la gestión de SSII Cuadros de mandos estratégicos. BSCs. Asegurarnos de no externalizar procesos de valor Control presupuestario. Retribución alineada al cuadro de mandos. Auditoria

Externalización de la Seguridad ?

¿Quiénes somos? Somos una empresa cuyo negocio está en la información o en los sistemas que la tratan Somos una empresa que usa Sistemas de Información para soportar procesos de negocio Somos una empresa en la que los sistemas son anecdóticos

¿De donde venimos? Tenemos controles de seguridad técnicos. Diligencia debida. Tenemos un responsable de seguridad que elabora un plan de seguridad, pero no analizamos los riesgos Gestionamos la seguridad en base a análisis de riesgos sobre los procesos

¿A dónde vamos? ?

¿Qué nos aporta la subcontratación de la administración de la seguridad? Extraer tareas de escaso valor para el negocio Evitamos tener en plantilla personal cualificado en tecnología volátil

¿Qué nos aporta la subcontratación de auditorías consultorías de la seguridad? Asesoramiento del experto Una segunda visión Aprendizaje de los responsables internos

¿Qué nos aporta la subcontratación del proceso de seguridad? Despreocuparnos de un problema que no genera negocio

Riesgos inherentes a la externalización de la seguridad Ausencia de lealtad Priorización de hacer negocio sobre la seguridad de la empresa Desconocimiento de las particularidades de la empresa Desconocimiento del negocio

Controles para la externalización de la seguridad Control del proveedor vs implicación en la empresa Formación al personal del proveedor en nuestro negocio, proporcionarla o exigirla Implicación de la dirección del proveedor en organismos internos Auditoría

¿Qué hacer? “Be quick or be dead” “Velocidad = f (masa, energía)”

Mi opinión Dispongamos de un Responsable de la Seguridad interno Debemos externalizar la administración de la seguridad Establezcamos un modelo basado en análisis de riesgos de seguridad sobre los procesos de negocio Contratemos proyectos llave en mano encaminados a alimentar los análisis de riesgos Auditorías periódicas al proceso

GRACIAS POR VUESTRA ATENCIÓN

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.