La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Análisis de riesgos y proceso de decisión. Balance y resultados: de la teoría a la realidad. La experiencia de Sol Meliá Christian Palomino.

Publicada porBautista Vega Modificado hace 9 años

Presentaciones similares

Presentación del tema: "Análisis de riesgos y proceso de decisión. Balance y resultados: de la teoría a la realidad. La experiencia de Sol Meliá Christian Palomino."— Transcripción de la presentación:

1 Análisis de riesgos y proceso de decisión. Balance y resultados: de la teoría a la realidad. La experiencia de Sol Meliá Christian Palomino

2

3

4 Objetivo “Daros mi visión sobre la externalización de la Seguridad de la Información en las empresas”

5 ¿Cómo? Externalización de los Servicios de Sistemas de SSII. Tipos, Riesgos y Controles. Externalización de la Seguridad de la Información. Conclusiones

6 Externalización “Contratar a un tercero trabajos, tareas o procesos que anteriormente realizaba personal interno”

7 Tipos de externalización en Sistemas de Información Subcontratación de recursos Proyectos Explotación y Operación de los sistemas Gestión de los Sistemas de Información

8 Riesgos de la subcontratación de recursos Mala rentabilidad del precio hora/hombre Perdida de know how Rotación de recursos fuera de nuestro control Fugas de información propia Insensibilización del personal interno a los extraños manipulando activos

9 Controles para la subcontratación de recursos Vigilancia de la rentabilidad Seguimiento de sus tareas por personal interno Cláusulas de control de la rotación Cláusulas de confidencialidad, LOPD y uso de empresas de confianza Entrenamiento y formación al personal interno

10 Riesgos en la contratación de proyectos Insensibilidad a las necesidades del negocio -> Insatisfacción con el resultado Desviación costes / tiempos fuera de nuestro control Incapacidad de explotar el proyecto entregado Costes desproporcionados de explotación Perpetuación del mantenimiento del proveedor

11 Controles para la contratación de proyectos Participación de Key Users en la elaboración del RFP de proyecto y en los controles de calidad del mismo Precio cerrado, sin costes ocultos y con penalizaciones por desviaciones Control de cambios al alcance Inclusión de requerimientos para la explotación en las RFP Auditoría del proyecto

12 Riesgos en la externalización de la operación de los sistemas Rechazo interno por el personal de sistemas Usuarios descontentos con el nuevo servicio Perdida de capacidad de retomar la operación de los sistemas Comprar servicios y recibir recursos Resistencia a la innovación por el proveedor Acceso a información sensible por mucho personal externo Desconocimiento del negocio

13 Riesgos en la externalización de la operación de los sistemas (y II) Desacuerdo económico Responsabilidades ambiguas Problemas de comunicación Daño de la imagen interna Gestión de emergencias Perdida del control administrativo de los sistemas Colonización

14 Controles para la externalización de la operación de los sistemas Implicar al personal en el proceso. Convertir amenaza en oportunidad. Participación de Key Users en la RFP y definición de SLAs Vinculación de la imagen del proveedor a la de Sistemas Propiedad intelectual del Manual de Explotación, detallado en la RFP Formación al proveedor del negocio

15 Controles para la externalización de la operación de los sistemas (y II) SLAs acotados Compromiso contractual de renovación tecnológica Formación al proveedor del negocio Clausulas contractuales de confidencialidad, LOPD,...

16 Controles para la externalización de la operación de los sistemas (y III) Definición exhaustiva de nuestros requerimientos en el contrato, no aceptación del contrato modelo. Definición exhaustiva de una matriz de responsabilidades Establecimiento de un modelo de comunicación con responsabilidades claras Procedimiento de toma de control de los sistemas Auditoria

17 Riesgos de la externalización de la gestión de SSII Desalineación con la estrategia de la empresa Perdida del know how que vincula la innovación al negocio Perdida del control por desconocimiento por parte de la empresa de la tecnología

18 Controles para la externalización de la gestión de SSII Cuadros de mandos estratégicos. BSCs. Asegurarnos de no externalizar procesos de valor Control presupuestario. Retribución alineada al cuadro de mandos. Auditoria

19 Externalización de la Seguridad ?

20 ¿Quiénes somos? Somos una empresa cuyo negocio está en la información o en los sistemas que la tratan Somos una empresa que usa Sistemas de Información para soportar procesos de negocio Somos una empresa en la que los sistemas son anecdóticos

21 ¿De donde venimos? Tenemos controles de seguridad técnicos. Diligencia debida. Tenemos un responsable de seguridad que elabora un plan de seguridad, pero no analizamos los riesgos Gestionamos la seguridad en base a análisis de riesgos sobre los procesos

22 ¿A dónde vamos? ?

23 ¿Qué nos aporta la subcontratación de la administración de la seguridad? Extraer tareas de escaso valor para el negocio Evitamos tener en plantilla personal cualificado en tecnología volátil

24 ¿Qué nos aporta la subcontratación de auditorías consultorías de la seguridad? Asesoramiento del experto Una segunda visión Aprendizaje de los responsables internos

25 ¿Qué nos aporta la subcontratación del proceso de seguridad? Despreocuparnos de un problema que no genera negocio

26 Riesgos inherentes a la externalización de la seguridad Ausencia de lealtad Priorización de hacer negocio sobre la seguridad de la empresa Desconocimiento de las particularidades de la empresa Desconocimiento del negocio

27 Controles para la externalización de la seguridad Control del proveedor vs implicación en la empresa Formación al personal del proveedor en nuestro negocio, proporcionarla o exigirla Implicación de la dirección del proveedor en organismos internos Auditoría

28 ¿Qué hacer? “Be quick or be dead” “Velocidad = f (masa, energía)”

29 Mi opinión Dispongamos de un Responsable de la Seguridad interno Debemos externalizar la administración de la seguridad Establezcamos un modelo basado en análisis de riesgos de seguridad sobre los procesos de negocio Contratemos proyectos llave en mano encaminados a alimentar los análisis de riesgos Auditorías periódicas al proceso

30 GRACIAS POR VUESTRA ATENCIÓN

Descargar ppt "Análisis de riesgos y proceso de decisión. Balance y resultados: de la teoría a la realidad. La experiencia de Sol Meliá Christian Palomino."

Presentaciones similares

De las Finanzas a la Estrategia

De las Finanzas a la Estrategia
OUTSOURCING O SUBCONTRATACION

OUTSOURCING O SUBCONTRATACION
OUTSOURCING Outsourcing, consiste en la transferencia a terceros de ciertos procesos complementarios que no forman parte del giro principal del negocio.

OUTSOURCING Outsourcing, consiste en la transferencia a terceros de ciertos procesos complementarios que no forman parte del giro principal del negocio.
AUDITORIA DE LA EXPLOTACIÓN

AUDITORIA DE LA EXPLOTACIÓN
LOS PROCESOS DE GESTIÓN SON UN MEDIO Y NO EL FINAL El Trabajo En Conjunto Que Producen Las Características Del Servicio Que Definen Valor.

LOS PROCESOS DE GESTIÓN SON UN MEDIO Y NO EL FINAL El Trabajo En Conjunto Que Producen Las Características Del Servicio Que Definen Valor.
Security Business Continuity Somos la solución de negocio en Seguridad Integral.

Security Business Continuity Somos la solución de negocio en Seguridad Integral.
“8 Principios de la Gestión Administrativa”

“8 Principios de la Gestión Administrativa”
Un Programa de Gestión del Conocimiento para E&P

Un Programa de Gestión del Conocimiento para E&P
ISO INTEGRANTES: NAYIB GELO CARLOS CASSINELLI DANIEL VILLACIS

ISO INTEGRANTES: NAYIB GELO CARLOS CASSINELLI DANIEL VILLACIS
METODOLOGÍA PARA IMPLANTAR UN SISTEMA INTEGRADO DE INFORMACIÓN

METODOLOGÍA PARA IMPLANTAR UN SISTEMA INTEGRADO DE INFORMACIÓN
Cuadro de Mando Integral

Cuadro de Mando Integral
COMUNICACIÓN Y CALIDAD Asunto de Cultura Organizacional

COMUNICACIÓN Y CALIDAD Asunto de Cultura Organizacional
ESCUELA POLITÉCNICA DEL EJÉRCITO

ESCUELA POLITÉCNICA DEL EJÉRCITO
Estrategia TI Entendimiento estratégico

Estrategia TI Entendimiento estratégico
U n i d a d 9 El plan de empresa u n i d a d 9. u n i d a d 9.

U n i d a d 9 El plan de empresa u n i d a d 9. u n i d a d 9.
Gestión de Activos/Infraestructura y su Mantenimiento en el Sector Público

Gestión de Activos/Infraestructura y su Mantenimiento en el Sector Público
1 Seminarios y Formación II Jornadas Universitarias de Calidad y Bibliotecas La implantación de un sistema de calidad en el Consorcio Madroño Ianko López.

1 Seminarios y Formación II Jornadas Universitarias de Calidad y Bibliotecas La implantación de un sistema de calidad en el Consorcio Madroño Ianko López.
SISTEMA DE GESTION DE CALIDAD

SISTEMA DE GESTION DE CALIDAD
OHSAS NORMA SISTEMA DE GESTIÓN DE SALUD Y SEGURIDAD LABORAL

OHSAS NORMA SISTEMA DE GESTIÓN DE SALUD Y SEGURIDAD LABORAL
H2 CREACIÓN DE MANUALES Y CAPACITACIÓN

H2 CREACIÓN DE MANUALES Y CAPACITACIÓN

Presentaciones similares

Anuncios Google