Panorama actual de la externalización en sistemas IT, con especial relevancia en los procesos de...
14
Panorama actual de la Panorama actual de la externalización en sistemas externalización en sistemas IT, con especial relevancia IT, con especial relevancia en los procesos de seguridad en los procesos de seguridad de la información de la información Tendencias detectadas y Tendencias detectadas y aspectos generales. aspectos generales. Beneficios percibidos VS. Beneficios percibidos VS. Reticencias subyacentes Reticencias subyacentes
-
Upload
caridad-oropeza -
Category
Documents
-
view
219 -
download
0
Transcript of Panorama actual de la externalización en sistemas IT, con especial relevancia en los procesos de...
Panorama actual de la Panorama actual de la externalización en sistemas externalización en sistemas
IT, con especial relevancia en IT, con especial relevancia en los procesos de seguridad de los procesos de seguridad de
la informaciónla información
Tendencias detectadas y Tendencias detectadas y aspectos generales. aspectos generales.
Beneficios percibidos VS. Beneficios percibidos VS. Reticencias subyacentes Reticencias subyacentes
® ¿Externalizar o no externalizar sistemas IT ? Esa es la pregunta® En caso afirmativo, ¿qué externalizo y con qué criterio? ® Dos enfoques:
® Riesgo de la externalización de sistemas como tal® Áreas externalizables (ej. seguridad de la información)
® ¿Externalizo sistemas, tecnología, personas?® ¿He analizado en profundidad todos los riesgos de la externalización?
® Tecnológicos® Legales (sobre todo, laborales)® Nivel de servicio® Protección de datos® Reputacionales
® ¿He incluido dichos riesgos en mi análisis coste-beneficio?® Y, en concreto, ¿qué áreas de la seguridad puedo externalizar?® ¿Qué garantías de nivel de servicio y de responsabilidad exijo a mis proveedores?
Preguntas previas
¿Qué áreas de la seguridad de la información se externalizan?
19,00%
17,00%
1,00%
9,00%
5,23% Seguridad tecnológica
Aplicaciones de Firmaelectrónica
Almacenamiento remoto(copias de seguridad)
Adecuación LOPD
Plan de continuidad denegocio
Fuente: Estudio de la Cátedra de Riesgos en Sistemas de Información Año 2007
¿Realiza su empresa habitualmente auditorias de sistemas de información?
Fuente: Estudio de la Cátedra de Riesgos en Sistemas de Información Año 2007
90%
8% 2%
No
Sí
NS/NC
¿Dispone su empresa de un departamento de auditoría de sistemas de información ?
Fuente: Estudio de la Cátedra de Riesgos en Sistemas de Información Año 2007
6,27%
1,05%
58,89%
12,20%
21,60%
Sí, dependiente deDirección General
No, las auditorías sonexternas
No, no se realizanperiódicamenteauditorías
No, pero está prevista larealización de auditoríasen el próximo ejercicio
NS/NC
6,27%
1,05%
58,89%
12,20%
21,60%
Sí, dependiente deDirección General
No, las auditorías sonexternas
No, no se realizanperiódicamenteauditorías
No, pero está prevista larealización de auditoríasen el próximo ejercicio
NS/NC
Buenas prácticas (ISO27002)
® Revisión independiente de la seguridad: ® Revisión del enfoque de gestión de la seguridad de la información y su implantación (por ejemplo objetivos del
control, controles, políticas, procedimientos para seguridad de la información) de manera independiente, planificada y periódica o cada vez que se producen cambios significativos en la implantación de la seguridad.
® Por ejemplo, por medio de la figura de auditor interno, un gestor independiente o una tercera parte especializada en ese tipo de revisiones
® Riesgos derivados de la externalización de servicios IT: ® Objetivo: Mantener la seguridad de la información de la organización así como la de los dispositivos de tratamiento de
información a los que acceden, procesan, se comunican o son gestionados por partes externas.® Controles de acceso a los dispositivos de tratamiento de la información así como al tratamiento y comunicación de la
información por partes externas.® Valoración previa del riesgo en el acceso de la información de la organización por terceros.
Buenas prácticas (ISO27002)
® Ejemplos de puntos de control (I): ® Dispositivos de tratamiento de la información que requieren acceso de la parte externa® Tipo de acceso que la parte externa tendrá a la información y a los dispositivos de tratamiento de la información, por
ejemplo:® Físico, a instalaciones/oficinas del cliente® Lógico, a sistemas de información de la Organización® Conectividad remota® Acceso in-site o off-site
® Valor y sensibilidad de la información accedida por terceros® Controles necesarios para la protección de la información accedida por partes externas® Identificación del personal externo involucrado en el manejo de la información de la organización® Gestión de los accesos autorizados a empresas externas (altas, bajas, modificaciones, etc. Departamento/s
implicado/s (Sistemas, RRHH, Seguridad física, todos?)
Buenas prácticas (ISO27002)
® Ejemplos de puntos de control (II): ® Soportes empleados por la empresa externa cuando almacena, procesa, comunica, comparte e intercambia información (software empleado en su
protección: de la empresa cliente o del proveedor?® Cumplimiento de las políticas y procedimientos de seguridad del cliente® Requisitos legales, regulatorios y otras obligaciones contractuales correspondiente a la parte externa que deberían ser tenidos en cuenta (laborales,
propiedad intelectual, protección de datos, licencias de software, etc) ® Impacto en el negocio de la no disponibilidad de las personas/tecnología/sistemas externos® Cláusulas de auditoría periódicas o exigencia del cumplimiento de auditorías de obligado cumplimiento (por ejemplo, LOPD)® Posibilidad de subcontratación de parte de los servicios ® Fijación en el contrato de prestación de servicios de los puntos de control® Posibilidad de exigencia de seguros de responsabilidad civil
® Cobertura de daños propios o responsabilidad civil por reclamaciones de terceros® Disponible tanto para clientes como proveedores de servicios.
® La organización debería asegurarse de que la parte externa es consciente de sus obligaciones y acepta las responsabilidades y limitaciones implicadas en el acceso, tratamiento, comunicación o gestión de la información y de los recursos de tratamiento de la información de la organización.
Buenas prácticas (ISO27002)
® Acuerdo con distintos tipos de proveedores: ® Servicios de seguridad gestionada;
® Externalización de recursos y/o operaciones, por ejemplo sistemas de TI, servicios de recopilación de datos, centrales de llamada (call centre);
® Consultores de gestión y de negocio, y auditores
® Proveedores y suministradores, por ejemplo de telecomunicaciones y productos y sistemas de software y TI;
® Servicio de mantenimiento, limpieza, catering y otros servicios de soporte externalizados
® Personal de carácter temporal, contratación de estudiantes y otros nombramientos ocasionales a corto plazo.
Estándares de seguridad de datos de la industria de pagos con tarjeta (PCI DSS)
Todo comercio o proveedor de servicios que almacene, procese y/o transmita información de titulares de tarjeta debe cumplir con PCI DSS - independientemente del tamaño de la entidad y del volumen de transacciones realizadas.
PCI DSS no sólo es aplicable a información electrónica. Los negocios están obligados a disponer de material impreso que contenga los detalles de las tarjetas de pago y de la información de titulares de tarjeta de crédito en una forma apropiada.
En grandes entornos donde la gestión de los residuos está subcontratada a contratistas como las empresas de destrucción de papel, las empresas cliente deben asegurar que su proveedores de servicio también cumplan PCI DSS.
Con carácter general, se extiende las responsabilidades de gestión de riesgos a todos los participantes en la cadena de valor extendida.
Inclusión en estándares de seguridad
Protección de datos (encargados del tratamiento)
Encargado del tratamiento (ET) Vs. Responsable del Fichero (RF):
• Se considera comunicación de datos cuando se produce un nuevo vínculo entre la el encargado del tratamiento y el afectado.
• El RF velará porque el ET reúna las garantías para cumplir lo dispuesto en el Reglamento.
• El ET será considerado RF si incumple las condiciones estipuladas en el artículo 12 caso de infracción en materia de protección de datos.
• Posibilidad de subcontratación de los servicios: Regla general: sí, si existe autorización del RF. Excepciones: será posible la subcontratación sin autorización si:
1. Se especifican en el contrato los servicios que puedan ser objeto de subcontratación y la empresa con la que se vaya a subcontratar.
2. Si el tratamiento de datos de carácter personal por parte del subcontratista se ajuste a las instrucciones del responsable del fichero.
3. Si el ET y la empresa subcontratista formalizan el contrato, en los términos previstos en el artículo anterior.
• En estos casos, el subcontratista será considerado ET.
Protección de datos: Próximamente en sus pantallas
Encargado del tratamiento (ET) Vs. Responsable del Fichero (RF):
• Prestación del servicio en los locales del RF: constancia en el Documento de Seguridad del RF y cumplimiento de las medidas de seguridad del RF por parte del personal del ET.
• Accesos remotos del ET: compromiso de cumplimento de las medidas de seguridad del RF.
• Servicio prestado en locales del ET: documento de seguridad específico del fichero tratado o capítulo específico en el Documento de seguridad del ET
• Prestaciones sin acceso a datos personales: El RF adoptará las medidas adecuadas para limitar el acceso del personal a datos personales, a los soportes que los contengan o a los recursos del sistema de información, para la realización de trabajos que no impliquen el tratamiento de datos personales. Cuando se trate de personal ajeno, el contrato de prestación de
servicios recogerá expresamente la prohibición de acceder a los datos personales y la obligación de secreto respecto a los datos que el personal hubiera podido conocer con motivo de la prestación del servicio.
Protección de datos: Próximamente en sus pantallas
