Panorama actual de la externalización en sistemas IT, con especial relevancia en los procesos de seguridad de la información Tendencias detectadas y aspectos.

Slides:



Advertisements
Presentaciones similares
INTRODUCCION La norma NTC (Norma técnica colombiana) ISO 9001:08 consta de 8 capítulos, de los cuales son auditables del capítulo número cuatro al ocho.
Advertisements

María José Gómez Yubero DGEMV / Dirección de Supervisión - CNMV
ATI NOVIEMBRE 2000Marina Touriño1 AUDITORÍA DE SISTEMAS DE INFORMACIÓN IMPACTO DE LA CALIDAD DEL SOFTWARE EN LA REALIZACIÓN DE UNA AUDITORÍA DE SISTEMAS.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
UNIVERSIDAD "ALONSO DE OJEDA"
Control Interno Informático. Concepto
Universidad Nacional de Ingeniería UNI-Norte
Aclaraciones de la Realización del Producto
Aspectos Organizativos para la Seguridad
Tipos y clases de auditoria
LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4

Contabilidad FINANCIERA
ISO INTEGRANTES: NAYIB GELO CARLOS CASSINELLI DANIEL VILLACIS
Foro de Seguridad 2010 RedIRIS Universidad Autónoma de Madrid 23 de abril de 2010 Emilio Aced Félez Subdirector General de Registro de Ficheros y Consultoría.
Medición, Análisis y Mejora
Claudia Stéphanie Prado Aguirre
VI. TRANSFERENCIA DE FONDO DE COMERCIO (CONTINUACION).
PRINCIPIOS RECTORES. De manera general los principios son las bases de todo ordenamiento legal, que sirven como criterios orientadores e interpretativos.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
GESTION NIVELES DE SERVICIO.
CGR (Contraloría general de la república) Steven Oviedo Rodríguez
UNE-EN ISO/IEC Requisitos generales para la competencia de los laboratorios de ensayo y calibración.
AREA DE SEGURIDAD DE LA INFORMACION
ISO 9001:2000 ES UNA CERTIFICACIÒN DE CALIDAD QUE PRETENDE LOGRAR LA SATISFACCION CONTINÙA DEL CLIENTE MEDIANTE EL CUMPLIMIENTO DE SUS NECESIDADES Y EXPECTATIVAS.
“Adopción de SGSI en el Sector Gobierno del PERÚ”
AUDITORIAS DE SEGURIDAD
Informe de cumplimiento de la LOPD en Hospitales
LA SEGURIDAD Y LA SALUD EN EL TRABAJO
AUDITORIAS RESUMEN DE ASPECTOS RELEVANTE EN LA GESTION BASADO EN EL REFERENCIAL ISO 9001:2008.
1 Garantías de Protección de Datos en la nube José Antonio Pérez Alcaide Jefe de Área - Registro General de Protección de Datos AGENCIA ESPAÑOLA DE PROTECCIÓN.
A R C O Derechos ARCO Acceso Rectificación Cancelación Oposición
1 Propuesta De Prestación De Servicios Para: Propuesta De Prestación De Servicios Para: en colaboración con.
Aidaritza Rodriguez Julio Álamo Carlos Ortiz. Veremos las diferencias entre las alternativas al desarrollo de sistemas a medida: la subcontratación, licencias.
AUDITORIA DE LA OFIMATICA
SISTEMA DE GESTIÓN AMBIENTAL (SGA), ISO y 14001
Plan de Sistemas de Información (PSI)
LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y REGLAMENTO DE MEDIDAS DE SEGURIDAD Salvador Huelin Martínez de Velasco 1.
“Ley Orgánica de Protección de Datos”
TEMA 5.- SISTEMAS DE GESTIÓN MEDIOAMBIENTAL (II):
SGSI y MAS Implantación en el M.H..
ACTIVIDADES A EJECUTAR EN EL CORTO PLAZO Y DIVULGACION DE LAS NUEVAS EDICIONES DE LOS DOCUMENTOS NORMATIVOS DE SEGURIDAD DE LA INFORMACION DEL M.H. MINISTERIO.
Estudio de Viabilidad del Sistema (EVS)
Javier Prenafeta Rodríguez
Programa de Auditoría Interna
El art. 24 del Reglamento de Medidas de Seguridad. La perspectiva de Oracle como fabricante de software y la experiencia en la Junta de Castilla y León.
AUDITORIAS EN SISTEMA DE GESTION INTEGRADA
Implementación OHSAS TEMA: Implementación OHSAS Ing. Larry D. Concha B. UNIVERSIDAD AUTONOMA SAN FRANCISCO.
Implementación OHSAS TEMA: Implementación OHSAS Ing. Larry D. Concha B. UNIVERSIDAD AUTONOMA SAN FRANCISCO.
OBJETIVOS DE CONTROL INTERNO APLICABLES A LA AUDITORIA EN INFORMATICA
Proveedores de servicios externos
Salvador Huelin Martínez de Velasco 1 TEMA 7 LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y REGLAMENTO DE DESARROLLO.
INTRODUCCION SEGURIDAD INFORMATICA. Seguridad informatica consiste en asegurar que los recursos del sistema de información (material informático o programas)
Procesos itil Equipo 8.
Análisis y Diseño de Aplicaciones
Daniela Ovando Santander Auditoria de Sistemas
Auditoria Computacional
Sistemas de Gestión de Tecnologías de la Información La información contenida en el presente documento es de carácter confidencial y privilegiada, por.
Auditoría de Sistemas.
AUDITORÍAS MEDIOAMBIENTALES
ANGIE PAOLA SOLANO CASTIBLANCO DAR SOPORTE A LOS PROCESOS NORMAS ISO DOC. JOHANA LÓPEZ CHAVEZ SENA 2010.
Universidad Latina CONTROL INTERNO.
Panorama de la situación actual en materia de actual en materia de protección de datos personales.
Jorge Pinto Jhonatan Montenegro V.. 1. Relación entre auditoria y los sistemas de información  Auditoría: Es aplicado como elemento de control en especial.
Ley 1581 de ¿Qué se ha de entender por protección de datos personales? 1. Junto con el Habeas data, hace parte de los derechos del consumidor. 2.
ESTÁNDAR ISO/IEC INTERNACIONAL 27001
Esquema Nacional de Seguridad
Marco Integrado de Control Interno, con enfoque COSO III, 2013
MODULO 4 Sistema Integrado de gestión 1 Sistema Integrado de gestión – conceptos, fundamentos y requisitos comunes MÓDULO 4.
Novedades del Reglamento de desarrollo de la LOPD Seguridad en tratamientos en soporte no automatizado III Jornada Protección de Datos en la Educación.
Transcripción de la presentación:

Panorama actual de la externalización en sistemas IT, con especial relevancia en los procesos de seguridad de la información Tendencias detectadas y aspectos generales. Beneficios percibidos VS. Reticencias subyacentes

® ¿Externalizar o no externalizar sistemas IT ? Esa es la pregunta ® En caso afirmativo, ¿qué externalizo y con qué criterio? ® Dos enfoques: ® Riesgo de la externalización de sistemas como tal ® Áreas externalizables (ej. seguridad de la información) ® ¿Externalizo sistemas, tecnología, personas? ® ¿He analizado en profundidad todos los riesgos de la externalización? ® Tecnológicos ® Legales (sobre todo, laborales) ® Nivel de servicio ® Protección de datos ® Reputacionales ® ¿He incluido dichos riesgos en mi análisis coste-beneficio? ® Y, en concreto, ¿qué áreas de la seguridad puedo externalizar? ® ¿Qué garantías de nivel de servicio y de responsabilidad exijo a mis proveedores? Preguntas previas

¿Qué áreas de la seguridad de la información se externalizan? Fuente: Estudio de la Cátedra de Riesgos en Sistemas de Información Año 2007

¿Realiza su empresa habitualmente auditorias de sistemas de información? Fuente: Estudio de la Cátedra de Riesgos en Sistemas de Información Año 2007

¿Dispone su empresa de un departamento de auditoría de sistemas de información ? Fuente: Estudio de la Cátedra de Riesgos en Sistemas de Información Año 2007

Buenas prácticas (ISO27002) ®Revisión independiente de la seguridad: ® Revisión del enfoque de g estión de la seguridad de la información y su implantación (por ejemplo objetivos del control, controles, políticas, procedimientos para seguridad de la información) de manera independiente, planificada y periódica o cada vez que se producen cambios significativos en la implantación de la seguridad. ® Por ejemplo, por medio de la figura de auditor interno, un gestor independiente o una tercera parte especializada en ese tipo de revisiones ®Riesgos derivados de la externalización de servicios IT: ®Objetivo: Mantener la seguridad de la información de la organización así como la de los dispositivos de tratamiento de información a los que acceden, procesan, se comunican o son gestionados por partes externas. ®Controles de acceso a los dispositivos de tratamiento de la información así como al tratamiento y comunicación de la información por partes externas. ®Valoración previa del riesgo en el acceso de la información de la organización por terceros.

Buenas prácticas (ISO27002) ®Ejemplos de puntos de control (I): ®Dispositivos de tratamiento de la información que requieren acceso de la parte externa ®Tipo de acceso que la parte externa tendrá a la información y a los dispositivos de tratamiento de la información, por ejemplo: ®Físico, a instalaciones/oficinas del cliente ®Lógico, a sistemas de información de la Organización ®Conectividad remota ®Acceso in-site o off-site ®Valor y sensibilidad de la información accedida por terceros ®Controles necesarios para la protección de la información accedida por partes externas ®Identificación del personal externo involucrado en el manejo de la información de la organización ®Gestión de los accesos autorizados a empresas externas (altas, bajas, modificaciones, etc. Departamento/s implicado/s (Sistemas, RRHH, Seguridad física, todos?)

Buenas prácticas (ISO27002) ®Ejemplos de puntos de control (II): ®Soportes empleados por la empresa externa cuando almacena, procesa, comunica, comparte e intercambia información (software empleado en su protección: de la empresa cliente o del proveedor? ®Cumplimiento de las políticas y procedimientos de seguridad del cliente ®Requisitos legales, regulatorios y otras obligaciones contractuales correspondiente a la parte externa que deberían ser tenidos en cuenta (laborales, propiedad intelectual, protección de datos, licencias de software, etc) ®Impacto en el negocio de la no disponibilidad de las personas/tecnología/sistemas externos ®Cláusulas de auditoría periódicas o exigencia del cumplimiento de auditorías de obligado cumplimiento (por ejemplo, LOPD) ®Posibilidad de subcontratación de parte de los servicios ®Fijación en el contrato de prestación de servicios de los puntos de control ®Posibilidad de exigencia de seguros de responsabilidad civil ®Cobertura de daños propios o responsabilidad civil por reclamaciones de terceros ®Disponible tanto para clientes como proveedores de servicios. ®La organización debería asegurarse de que la parte externa es consciente de sus obligaciones y acepta las responsabilidades y limitaciones implicadas en el acceso, tratamiento, comunicación o gestión de la información y de los recursos de tratamiento de la información de la organización.

Buenas prácticas (ISO27002) ®Acuerdo con distintos tipos de proveedores: ® Servicios de seguridad gestionada; ® Externalización de recursos y/o operaciones, por ejemplo sistemas de TI, servicios de recopilación de datos, centrales de llamada (call centre); ®Consultores de gestión y de negocio, y auditores ®Proveedores y suministradores, por ejemplo de telecomunicaciones y productos y sistemas de software y TI; ®Servicio de mantenimiento, limpieza, catering y otros servicios de soporte externalizados ®Personal de carácter temporal, contratación de estudiantes y otros nombramientos ocasionales a corto plazo.

 Estándares de seguridad de datos de la industria de pagos con tarjeta (PCI DSS)  Todo comercio o proveedor de servicios que almacene, procese y/o transmita información de titulares de tarjeta debe cumplir con PCI DSS - independientemente del tamaño de la entidad y del volumen de transacciones realizadas.  PCI DSS no sólo es aplicable a información electrónica. Los negocios están obligados a disponer de material impreso que contenga los detalles de las tarjetas de pago y de la información de titulares de tarjeta de crédito en una forma apropiada.  En grandes entornos donde la gestión de los residuos está subcontratada a contratistas como las empresas de destrucción de papel, las empresas cliente deben asegurar que su proveedores de servicio también cumplan PCI DSS.  Con carácter general, se extiende las responsabilidades de gestión de riesgos a todos los participantes en la cadena de valor extendida. Inclusión en estándares de seguridad

Protección de datos (encargados del tratamiento)

 Encargado del tratamiento (ET) Vs. Responsable del Fichero (RF): Se considera comunicación de datos cuando se produce un nuevo vínculo entre la el encargado del tratamiento y el afectado. El RF velará porque el ET reúna las garantías para cumplir lo dispuesto en el Reglamento. El ET será considerado RF si incumple las condiciones estipuladas en el artículo 12 caso de infracción en materia de protección de datos. Posibilidad de subcontratación de los servicios:  Regla general: sí, si existe autorización del RF.  Excepciones: será posible la subcontratación sin autorización si: 1.Se especifican en el contrato los servicios que puedan ser objeto de subcontratación y la empresa con la que se vaya a subcontratar. 2.Si el tratamiento de datos de carácter personal por parte del subcontratista se ajuste a las instrucciones del responsable del fichero. 3.Si el ET y la empresa subcontratista formalizan el contrato, en los términos previstos en el artículo anterior. En estos casos, el subcontratista será considerado ET. Protección de datos: Próximamente en sus pantallas

 Encargado del tratamiento (ET) Vs. Responsable del Fichero (RF): Prestación del servicio en los locales del RF: constancia en el Documento de Seguridad del RF y cumplimiento de las medidas de seguridad del RF por parte del personal del ET. Accesos remotos del ET: compromiso de cumplimento de las medidas de seguridad del RF. Servicio prestado en locales del ET: documento de seguridad específico del fichero tratado o capítulo específico en el Documento de seguridad del ET Prestaciones sin acceso a datos personales: El RF adoptará las medidas adecuadas para limitar el acceso del personal a datos personales, a los soportes que los contengan o a los recursos del sistema de información, para la realización de trabajos que no impliquen el tratamiento de datos personales.  Cuando se trate de personal ajeno, el contrato de prestación de servicios recogerá expresamente la prohibición de acceder a los datos personales y la obligación de secreto respecto a los datos que el personal hubiera podido conocer con motivo de la prestación del servicio. Protección de datos: Próximamente en sus pantallas

Fernando Aparicio 4 Muchas gracias

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.