Descargar la presentación
La descarga está en progreso. Por favor, espere
Publicada porBautista Vega Modificado hace 9 años
1
Análisis de riesgos y proceso de decisión. Balance y resultados: de la teoría a la realidad. La experiencia de Sol Meliá Christian Palomino
4
Objetivo “Daros mi visión sobre la externalización de la Seguridad de la Información en las empresas”
5
¿Cómo? Externalización de los Servicios de Sistemas de SSII. Tipos, Riesgos y Controles. Externalización de la Seguridad de la Información. Conclusiones
6
Externalización “Contratar a un tercero trabajos, tareas o procesos que anteriormente realizaba personal interno”
7
Tipos de externalización en Sistemas de Información Subcontratación de recursos Proyectos Explotación y Operación de los sistemas Gestión de los Sistemas de Información
8
Riesgos de la subcontratación de recursos Mala rentabilidad del precio hora/hombre Perdida de know how Rotación de recursos fuera de nuestro control Fugas de información propia Insensibilización del personal interno a los extraños manipulando activos
9
Controles para la subcontratación de recursos Vigilancia de la rentabilidad Seguimiento de sus tareas por personal interno Cláusulas de control de la rotación Cláusulas de confidencialidad, LOPD y uso de empresas de confianza Entrenamiento y formación al personal interno
10
Riesgos en la contratación de proyectos Insensibilidad a las necesidades del negocio -> Insatisfacción con el resultado Desviación costes / tiempos fuera de nuestro control Incapacidad de explotar el proyecto entregado Costes desproporcionados de explotación Perpetuación del mantenimiento del proveedor
11
Controles para la contratación de proyectos Participación de Key Users en la elaboración del RFP de proyecto y en los controles de calidad del mismo Precio cerrado, sin costes ocultos y con penalizaciones por desviaciones Control de cambios al alcance Inclusión de requerimientos para la explotación en las RFP Auditoría del proyecto
12
Riesgos en la externalización de la operación de los sistemas Rechazo interno por el personal de sistemas Usuarios descontentos con el nuevo servicio Perdida de capacidad de retomar la operación de los sistemas Comprar servicios y recibir recursos Resistencia a la innovación por el proveedor Acceso a información sensible por mucho personal externo Desconocimiento del negocio
13
Riesgos en la externalización de la operación de los sistemas (y II) Desacuerdo económico Responsabilidades ambiguas Problemas de comunicación Daño de la imagen interna Gestión de emergencias Perdida del control administrativo de los sistemas Colonización
14
Controles para la externalización de la operación de los sistemas Implicar al personal en el proceso. Convertir amenaza en oportunidad. Participación de Key Users en la RFP y definición de SLAs Vinculación de la imagen del proveedor a la de Sistemas Propiedad intelectual del Manual de Explotación, detallado en la RFP Formación al proveedor del negocio
15
Controles para la externalización de la operación de los sistemas (y II) SLAs acotados Compromiso contractual de renovación tecnológica Formación al proveedor del negocio Clausulas contractuales de confidencialidad, LOPD,...
16
Controles para la externalización de la operación de los sistemas (y III) Definición exhaustiva de nuestros requerimientos en el contrato, no aceptación del contrato modelo. Definición exhaustiva de una matriz de responsabilidades Establecimiento de un modelo de comunicación con responsabilidades claras Procedimiento de toma de control de los sistemas Auditoria
17
Riesgos de la externalización de la gestión de SSII Desalineación con la estrategia de la empresa Perdida del know how que vincula la innovación al negocio Perdida del control por desconocimiento por parte de la empresa de la tecnología
18
Controles para la externalización de la gestión de SSII Cuadros de mandos estratégicos. BSCs. Asegurarnos de no externalizar procesos de valor Control presupuestario. Retribución alineada al cuadro de mandos. Auditoria
19
Externalización de la Seguridad ?
20
¿Quiénes somos? Somos una empresa cuyo negocio está en la información o en los sistemas que la tratan Somos una empresa que usa Sistemas de Información para soportar procesos de negocio Somos una empresa en la que los sistemas son anecdóticos
21
¿De donde venimos? Tenemos controles de seguridad técnicos. Diligencia debida. Tenemos un responsable de seguridad que elabora un plan de seguridad, pero no analizamos los riesgos Gestionamos la seguridad en base a análisis de riesgos sobre los procesos
22
¿A dónde vamos? ?
23
¿Qué nos aporta la subcontratación de la administración de la seguridad? Extraer tareas de escaso valor para el negocio Evitamos tener en plantilla personal cualificado en tecnología volátil
24
¿Qué nos aporta la subcontratación de auditorías consultorías de la seguridad? Asesoramiento del experto Una segunda visión Aprendizaje de los responsables internos
25
¿Qué nos aporta la subcontratación del proceso de seguridad? Despreocuparnos de un problema que no genera negocio
26
Riesgos inherentes a la externalización de la seguridad Ausencia de lealtad Priorización de hacer negocio sobre la seguridad de la empresa Desconocimiento de las particularidades de la empresa Desconocimiento del negocio
27
Controles para la externalización de la seguridad Control del proveedor vs implicación en la empresa Formación al personal del proveedor en nuestro negocio, proporcionarla o exigirla Implicación de la dirección del proveedor en organismos internos Auditoría
28
¿Qué hacer? “Be quick or be dead” “Velocidad = f (masa, energía)”
29
Mi opinión Dispongamos de un Responsable de la Seguridad interno Debemos externalizar la administración de la seguridad Establezcamos un modelo basado en análisis de riesgos de seguridad sobre los procesos de negocio Contratemos proyectos llave en mano encaminados a alimentar los análisis de riesgos Auditorías periódicas al proceso
30
GRACIAS POR VUESTRA ATENCIÓN
Presentaciones similares
© 2024 SlidePlayer.es Inc.
All rights reserved.