Análisis de riesgos y Análisis de riesgos y proceso de decisión. proceso de decisión. Balance y resultados: Balance y resultados:

de la teoría a la de la teoría a la realidad. La realidad. La

experiencia de Sol experiencia de Sol MeliáMeliá Christian Palomino

Objetivo

“Daros mi visión sobre la externalización de la Seguridad de la Información en las empresas”

¿Cómo?

• Externalización de los Servicios de Sistemas de SSII. Tipos, Riesgos y Controles.• Externalización de la Seguridad de la Información.• Conclusiones

Externalización

“Contratar a un tercero trabajos, tareas o procesos que anteriormente realizaba personal interno”

Tipos de externalización en Sistemas de Información

• Subcontratación de recursos• Proyectos• Explotación y Operación de los sistemas• Gestión de los Sistemas de Información

Riesgos de la subcontratación de recursos

• Mala rentabilidad del precio hora/hombre • Perdida de know how • Rotación de recursos fuera de nuestro control • Fugas de información propia • Insensibilización del personal interno a los extraños manipulando activos

Controles para la subcontratación de recursos

• Vigilancia de la rentabilidad • Seguimiento de sus tareas por personal interno • Cláusulas de control de la rotación • Cláusulas de confidencialidad, LOPD y uso de empresas de confianza • Entrenamiento y formación al personal interno

Riesgos en la contratación de proyectos

• Insensibilidad a las necesidades del negocio -> Insatisfacción con el resultado • Desviación costes / tiempos fuera de nuestro control• Incapacidad de explotar el proyecto entregado • Costes desproporcionados de explotación • Perpetuación del mantenimiento del proveedor

Controles para la contratación de proyectos

• Participación de Key Users en la elaboración del RFP de proyecto y en los controles de calidad del mismo • Precio cerrado, sin costes ocultos y con penalizaciones por desviaciones• Control de cambios al alcance• Inclusión de requerimientos para la explotación en las RFP • Auditoría del proyecto

Riesgos en la externalización de la operación de los sistemas

• Rechazo interno por el personal de sistemas• Usuarios descontentos con el nuevo servicio• Perdida de capacidad de retomar la operación de los sistemas • Comprar servicios y recibir recursos • Resistencia a la innovación por el proveedor • Acceso a información sensible por mucho personal externo • Desconocimiento del negocio

Riesgos en la externalización de la operación de los sistemas (y II)

• Desacuerdo económico • Responsabilidades ambiguas • Problemas de comunicación • Daño de la imagen interna • Gestión de emergencias • Perdida del control administrativo de los sistemas • Colonización

Controles para la externalización de la operación de los sistemas

• Implicar al personal en el proceso. Convertir amenaza en oportunidad. • Participación de Key Users en la RFP y definición de SLAs• Vinculación de la imagen del proveedor a la de Sistemas • Propiedad intelectual del Manual de Explotación, detallado en la RFP• Formación al proveedor del negocio

Controles para la externalización de la operación de los sistemas (y II)

• SLAs acotados• Compromiso contractual de renovación tecnológica • Formación al proveedor del negocio• Clausulas contractuales de confidencialidad, LOPD,...

Controles para la externalización de la operación de los sistemas (y III)

• Definición exhaustiva de nuestros requerimientos en el contrato, no aceptación del contrato modelo. • Definición exhaustiva de una matriz de responsabilidades • Establecimiento de un modelo de comunicación con responsabilidades claras • Procedimiento de toma de control de los sistemas • Auditoria

Riesgos de la externalización de la gestión de SSII

• Desalineación con la estrategia de la empresa • Perdida del know how que vincula la innovación al negocio• Perdida del control por desconocimiento por parte de la empresa de la tecnología

Controles para la externalización de la gestión de SSII

• Cuadros de mandos estratégicos. BSCs. • Asegurarnos de no externalizar procesos de valor • Control presupuestario. Retribución alineada al cuadro de mandos. • Auditoria

Externalización de la Seguridad

?

¿Quiénes somos?

• Somos una empresa cuyo negocio está en la información o en los sistemas que la tratan• Somos una empresa que usa Sistemas de Información para soportar procesos de negocio• Somos una empresa en la que los sistemas son anecdóticos

¿De donde venimos?

• Tenemos controles de seguridad técnicos. Diligencia debida.• Tenemos un responsable de seguridad que elabora un plan de seguridad, pero no analizamos los riesgos• Gestionamos la seguridad en base a análisis de riesgos sobre los procesos

¿A dónde vamos?

?

¿Qué nos aporta la subcontratación de la administración de la seguridad?

• Extraer tareas de escaso valor para el negocio• Evitamos tener en plantilla personal cualificado en tecnología volátil

¿Qué nos aporta la subcontratación de auditorías consultorías de la seguridad?

• Asesoramiento del experto• Una segunda visión• Aprendizaje de los responsables internos

¿Qué nos aporta la subcontratación del proceso de seguridad?

• Despreocuparnos de un problema que no genera negocio

Riesgos inherentes a la externalización de la seguridad

• Ausencia de lealtad • Priorización de hacer negocio sobre la seguridad de la empresa • Desconocimiento de las particularidades de la empresa • Desconocimiento del negocio

Controles para la externalización de la seguridad

• Control del proveedor vs implicación en la empresa • Formación al personal del proveedor en nuestro negocio, proporcionarla o exigirla • Implicación de la dirección del proveedor en organismos internos • Auditoría

¿Qué hacer?

“Be quick or be dead”

“Velocidad = f (masa, energía)”

Mi opinión

• Dispongamos de un Responsable de la Seguridad interno• Debemos externalizar la administración de la seguridad• Establezcamos un modelo basado en análisis de riesgos de seguridad sobre los procesos de negocio• Contratemos proyectos llave en mano encaminados a alimentar los análisis de riesgos• Auditorías periódicas al proceso

GRACIAS POR VUESTRA ATENCIÓN