La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Panorama actual de la externalización en sistemas IT, con especial relevancia en los procesos de seguridad de la información Tendencias detectadas y aspectos.

Publicada porCaridad Oropeza Modificado hace 9 años

Presentaciones similares

Presentación del tema: "Panorama actual de la externalización en sistemas IT, con especial relevancia en los procesos de seguridad de la información Tendencias detectadas y aspectos."— Transcripción de la presentación:

1 Panorama actual de la externalización en sistemas IT, con especial relevancia en los procesos de seguridad de la información Tendencias detectadas y aspectos generales. Beneficios percibidos VS. Reticencias subyacentes

2 ® ¿Externalizar o no externalizar sistemas IT ? Esa es la pregunta ® En caso afirmativo, ¿qué externalizo y con qué criterio? ® Dos enfoques: ® Riesgo de la externalización de sistemas como tal ® Áreas externalizables (ej. seguridad de la información) ® ¿Externalizo sistemas, tecnología, personas? ® ¿He analizado en profundidad todos los riesgos de la externalización? ® Tecnológicos ® Legales (sobre todo, laborales) ® Nivel de servicio ® Protección de datos ® Reputacionales ® ¿He incluido dichos riesgos en mi análisis coste-beneficio? ® Y, en concreto, ¿qué áreas de la seguridad puedo externalizar? ® ¿Qué garantías de nivel de servicio y de responsabilidad exijo a mis proveedores? Preguntas previas

3 ¿Qué áreas de la seguridad de la información se externalizan? Fuente: Estudio de la Cátedra de Riesgos en Sistemas de Información Año 2007

4 ¿Realiza su empresa habitualmente auditorias de sistemas de información? Fuente: Estudio de la Cátedra de Riesgos en Sistemas de Información Año 2007

5 ¿Dispone su empresa de un departamento de auditoría de sistemas de información ? Fuente: Estudio de la Cátedra de Riesgos en Sistemas de Información Año 2007

6 Buenas prácticas (ISO27002) ®Revisión independiente de la seguridad: ® Revisión del enfoque de g estión de la seguridad de la información y su implantación (por ejemplo objetivos del control, controles, políticas, procedimientos para seguridad de la información) de manera independiente, planificada y periódica o cada vez que se producen cambios significativos en la implantación de la seguridad. ® Por ejemplo, por medio de la figura de auditor interno, un gestor independiente o una tercera parte especializada en ese tipo de revisiones ®Riesgos derivados de la externalización de servicios IT: ®Objetivo: Mantener la seguridad de la información de la organización así como la de los dispositivos de tratamiento de información a los que acceden, procesan, se comunican o son gestionados por partes externas. ®Controles de acceso a los dispositivos de tratamiento de la información así como al tratamiento y comunicación de la información por partes externas. ®Valoración previa del riesgo en el acceso de la información de la organización por terceros.

7 Buenas prácticas (ISO27002) ®Ejemplos de puntos de control (I): ®Dispositivos de tratamiento de la información que requieren acceso de la parte externa ®Tipo de acceso que la parte externa tendrá a la información y a los dispositivos de tratamiento de la información, por ejemplo: ®Físico, a instalaciones/oficinas del cliente ®Lógico, a sistemas de información de la Organización ®Conectividad remota ®Acceso in-site o off-site ®Valor y sensibilidad de la información accedida por terceros ®Controles necesarios para la protección de la información accedida por partes externas ®Identificación del personal externo involucrado en el manejo de la información de la organización ®Gestión de los accesos autorizados a empresas externas (altas, bajas, modificaciones, etc. Departamento/s implicado/s (Sistemas, RRHH, Seguridad física, todos?)

8 Buenas prácticas (ISO27002) ®Ejemplos de puntos de control (II): ®Soportes empleados por la empresa externa cuando almacena, procesa, comunica, comparte e intercambia información (software empleado en su protección: de la empresa cliente o del proveedor? ®Cumplimiento de las políticas y procedimientos de seguridad del cliente ®Requisitos legales, regulatorios y otras obligaciones contractuales correspondiente a la parte externa que deberían ser tenidos en cuenta (laborales, propiedad intelectual, protección de datos, licencias de software, etc) ®Impacto en el negocio de la no disponibilidad de las personas/tecnología/sistemas externos ®Cláusulas de auditoría periódicas o exigencia del cumplimiento de auditorías de obligado cumplimiento (por ejemplo, LOPD) ®Posibilidad de subcontratación de parte de los servicios ®Fijación en el contrato de prestación de servicios de los puntos de control ®Posibilidad de exigencia de seguros de responsabilidad civil ®Cobertura de daños propios o responsabilidad civil por reclamaciones de terceros ®Disponible tanto para clientes como proveedores de servicios. ®La organización debería asegurarse de que la parte externa es consciente de sus obligaciones y acepta las responsabilidades y limitaciones implicadas en el acceso, tratamiento, comunicación o gestión de la información y de los recursos de tratamiento de la información de la organización.

9 Buenas prácticas (ISO27002) ®Acuerdo con distintos tipos de proveedores: ® Servicios de seguridad gestionada; ® Externalización de recursos y/o operaciones, por ejemplo sistemas de TI, servicios de recopilación de datos, centrales de llamada (call centre); ®Consultores de gestión y de negocio, y auditores ®Proveedores y suministradores, por ejemplo de telecomunicaciones y productos y sistemas de software y TI; ®Servicio de mantenimiento, limpieza, catering y otros servicios de soporte externalizados ®Personal de carácter temporal, contratación de estudiantes y otros nombramientos ocasionales a corto plazo.

10  Estándares de seguridad de datos de la industria de pagos con tarjeta (PCI DSS)  Todo comercio o proveedor de servicios que almacene, procese y/o transmita información de titulares de tarjeta debe cumplir con PCI DSS - independientemente del tamaño de la entidad y del volumen de transacciones realizadas.  PCI DSS no sólo es aplicable a información electrónica. Los negocios están obligados a disponer de material impreso que contenga los detalles de las tarjetas de pago y de la información de titulares de tarjeta de crédito en una forma apropiada.  En grandes entornos donde la gestión de los residuos está subcontratada a contratistas como las empresas de destrucción de papel, las empresas cliente deben asegurar que su proveedores de servicio también cumplan PCI DSS.  Con carácter general, se extiende las responsabilidades de gestión de riesgos a todos los participantes en la cadena de valor extendida. Inclusión en estándares de seguridad

11 Protección de datos (encargados del tratamiento)

12  Encargado del tratamiento (ET) Vs. Responsable del Fichero (RF): Se considera comunicación de datos cuando se produce un nuevo vínculo entre la el encargado del tratamiento y el afectado. El RF velará porque el ET reúna las garantías para cumplir lo dispuesto en el Reglamento. El ET será considerado RF si incumple las condiciones estipuladas en el artículo 12 caso de infracción en materia de protección de datos. Posibilidad de subcontratación de los servicios:  Regla general: sí, si existe autorización del RF.  Excepciones: será posible la subcontratación sin autorización si: 1.Se especifican en el contrato los servicios que puedan ser objeto de subcontratación y la empresa con la que se vaya a subcontratar. 2.Si el tratamiento de datos de carácter personal por parte del subcontratista se ajuste a las instrucciones del responsable del fichero. 3.Si el ET y la empresa subcontratista formalizan el contrato, en los términos previstos en el artículo anterior. En estos casos, el subcontratista será considerado ET. Protección de datos: Próximamente en sus pantallas

13  Encargado del tratamiento (ET) Vs. Responsable del Fichero (RF): Prestación del servicio en los locales del RF: constancia en el Documento de Seguridad del RF y cumplimiento de las medidas de seguridad del RF por parte del personal del ET. Accesos remotos del ET: compromiso de cumplimento de las medidas de seguridad del RF. Servicio prestado en locales del ET: documento de seguridad específico del fichero tratado o capítulo específico en el Documento de seguridad del ET Prestaciones sin acceso a datos personales: El RF adoptará las medidas adecuadas para limitar el acceso del personal a datos personales, a los soportes que los contengan o a los recursos del sistema de información, para la realización de trabajos que no impliquen el tratamiento de datos personales.  Cuando se trate de personal ajeno, el contrato de prestación de servicios recogerá expresamente la prohibición de acceder a los datos personales y la obligación de secreto respecto a los datos que el personal hubiera podido conocer con motivo de la prestación del servicio. Protección de datos: Próximamente en sus pantallas

14 Fernando Aparicio faparicio@profesor.ie.edu catedra.riesgos@ie.edu 4 Muchas gracias

Descargar ppt "Panorama actual de la externalización en sistemas IT, con especial relevancia en los procesos de seguridad de la información Tendencias detectadas y aspectos."

Presentaciones similares

INTRODUCCION La norma NTC (Norma técnica colombiana) ISO 9001:08 consta de 8 capítulos, de los cuales son auditables del capítulo número cuatro al ocho.

INTRODUCCION La norma NTC (Norma técnica colombiana) ISO 9001:08 consta de 8 capítulos, de los cuales son auditables del capítulo número cuatro al ocho.
María José Gómez Yubero DGEMV / Dirección de Supervisión - CNMV

María José Gómez Yubero DGEMV / Dirección de Supervisión - CNMV
ATI NOVIEMBRE 2000Marina Touriño1 AUDITORÍA DE SISTEMAS DE INFORMACIÓN IMPACTO DE LA CALIDAD DEL SOFTWARE EN LA REALIZACIÓN DE UNA AUDITORÍA DE SISTEMAS.

ATI NOVIEMBRE 2000Marina Touriño1 AUDITORÍA DE SISTEMAS DE INFORMACIÓN IMPACTO DE LA CALIDAD DEL SOFTWARE EN LA REALIZACIÓN DE UNA AUDITORÍA DE SISTEMAS.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
UNIVERSIDAD ALONSO DE OJEDA

UNIVERSIDAD "ALONSO DE OJEDA"
Control Interno Informático. Concepto

Control Interno Informático. Concepto
Universidad Nacional de Ingeniería UNI-Norte

Universidad Nacional de Ingeniería UNI-Norte
Aclaraciones de la Realización del Producto

Aclaraciones de la Realización del Producto
Aspectos Organizativos para la Seguridad

Aspectos Organizativos para la Seguridad
Tipos y clases de auditoria

Tipos y clases de auditoria
LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4

LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4
Www.iso27002.es.

Contabilidad FINANCIERA

Contabilidad FINANCIERA
ISO INTEGRANTES: NAYIB GELO CARLOS CASSINELLI DANIEL VILLACIS

ISO INTEGRANTES: NAYIB GELO CARLOS CASSINELLI DANIEL VILLACIS
Foro de Seguridad 2010 RedIRIS Universidad Autónoma de Madrid 23 de abril de 2010 Emilio Aced Félez Subdirector General de Registro de Ficheros y Consultoría.

Foro de Seguridad 2010 RedIRIS Universidad Autónoma de Madrid 23 de abril de 2010 Emilio Aced Félez Subdirector General de Registro de Ficheros y Consultoría.
Medición, Análisis y Mejora

Medición, Análisis y Mejora
Claudia Stéphanie Prado Aguirre

Claudia Stéphanie Prado Aguirre
VI. TRANSFERENCIA DE FONDO DE COMERCIO (CONTINUACION).

VI. TRANSFERENCIA DE FONDO DE COMERCIO (CONTINUACION).
PRINCIPIOS RECTORES. De manera general los principios son las bases de todo ordenamiento legal, que sirven como criterios orientadores e interpretativos.

PRINCIPIOS RECTORES. De manera general los principios son las bases de todo ordenamiento legal, que sirven como criterios orientadores e interpretativos.
AUDITORIA DE SISTEMAS DE INFORMACIÓN

AUDITORIA DE SISTEMAS DE INFORMACIÓN

Presentaciones similares

Anuncios Google