Upload File

©copyright 2013 isaca. todos los derechos reservados. 2.12.4 proveedores de servicios externos las...

  • Home
  • Documents
  • ©Copyright 2013 ISACA. Todos los derechos reservados. 2.12.4 Proveedores de servicios externos Las consideraciones al contratar servicios de outsourcing
15
©Copyright 2013 ISACA. Todos los derechos reservados. 2.12.4 Proveedores de servicios externos Las consideraciones al contratar servicios de outsourcing incluyen: • Criticidad de las funciones de negocio a ser tercerizadas. • La complejidad del proceso. • Requerimientos de control sobre segregación de funciones y controles de diseño, implementación y monitoreo. • Requerimientos regulatorios. • Los cambios en los ambientes internos y externos del negocio.

Upload: juan-antonio-blazquez-mora

Post on 24-Jan-2016

216 views

Category:

Documents


0 download

Report

TRANSCRIPT

Information Risk Management and Compliance Chapter 2

2.12.4 Proveedores de servicios externos Las consideraciones al contratar servicios de outsourcing incluyen:Criticidad de las funciones de negocio a ser tercerizadas.La complejidad del proceso.Requerimientos de control sobre segregacin de funciones y controles de diseo, implementacin y monitoreo.Requerimientos regulatorios.Los cambios en los ambientes internos y externos del negocio.

Copyright 2013 ISACA. Todos los derechos reservados.1Directivas para el Instructor:

Pginas de Referencia del Manual de Preparacin al Examen: Pgs. 1272.12.4 Proveedores de servicios externos Las clusulas clave que deberan ser parte de un SLA deben incluir, sin limitarse a:El derecho a auditar los libros contables de los proveedores.El derecho a revisar sus procesos.La insistencia en los procedimientos operativos estndar (SOPs).El derecho a evaluar las habilidades de los recursos del proveedor.Informar con anticipacin si se van a realizar cambios en los recursos utilizados.

Copyright 2013 ISACA. Todos los derechos reservados.2Directivas para el Instructor:Para los recursos internos y externos, el Gerente de Seguridad de Informacin debe entender los procesos de negocio y los recursos de informacin que son crticos a cada lnea de negocio. Esta informacin se puede obtener de discusiones con los dueos individuales de los procesos de negocio, de la documentacin tcnica mantenida por las reas de sistema y de las discusiones con la alta direccin.

Pginas de Referencia del Manual de Preparacin al Examen: Pg. 1282.13 Integracin con los procesos de Ciclo de VidaLos cambios a una organizacin pueden afectar la informacin crtica que debe asegurar:Cambios a nivel de aplicaciones, red o hardware.xito financiero (objetivo mayor para ataques).Nuevos productos.Cambios en el liderazgo.Cambios en los procesos.Cambio organizacional (fusiones).La gestin de cambios es un mtodo efectivo para mantener una adecuada proteccin de seguridad.Un enfoque proactivo permite al Gerente de Seguridad de Informacin planear e implementar mejor las polticas y los procedimientos de seguridad de manera consistente con los objetivos y las metas de negocio de la organizacin.

Copyright 2013 ISACA. Todos los derechos reservados.3Contenidos a Enfatizar: Asegurar que las actividades de identificacin, anlisis y mitigacin de riesgos se integren a los procesos de ciclo de vida diferente es una tarea importante de la gerencia de seguridad de la informacin. La mayora de las organizaciones cuentan con procedimientos para la gestin de cambios que pueden ofrecer al gerente de seguridad de la informacin un enfoque para implementar procesos de gestin de riesgos de forma continua. Debido a que es probable que los cambios a cualquier recurso de informacin introduzcan nuevas vulnerabilidades y que modifiquen la ecuacin del riesgo general, es importante que el gerente de seguridad de la informacin est al tanto de las modificaciones propuestas.

Pginas de Referencia del Manual de Preparacin al Examen: Pg. 129Para poder integrar las actividades de identificacin, anlisis y mitigacin de riesgos en los procesos de ciclo de vida, el Gerente de Seguridad de Informacin debe saber:De principios y prcticas para la gestin de riesgos basada en el ciclo de vida.Principios para el desarrollo de lneas base y su relacin con las evaluaciones de requerimientos de control basadas en riesgos.2.13 Integracin con los procesos de Ciclo de Vida

Copyright 2013 ISACA. Todos los derechos reservados.4Contenidos a Enfatizar: Al integrar las actividades de identificacin, anlisis y mitigacin de riesgos en la gestin de cambio (procesos de ciclo de vida), el gerente de seguridad de la informacin puede asegurar que los recursos de informacin crticos se protejan adecuadamente. Se trata de un enfoque proactivo, permitiendo al gerente de seguridad de la informacin planificar e implementar mejor polticas y procedimientos de seguridad en alineacin con las metas y los objetivos de negocio de la organizacin. Igualmente permite que los controles de la seguridad de la informacin se agreguen a una actividad que tiene el mayor potencial para degradar los controles existentes.

Pginas de Referencia del Manual de Preparacin al Examen: Pgs. 129

2.13.2 Principios y prcticas de la gestin de riesgos basada en el Ciclo de VidaLa gestin de riesgos tiene un ciclo de vida:Es ms rentable actualizar peridicamente los riesgos.Es una prctica ms prudente emplear el enfoque de ciclo de vida para identificar, analizar, evaluar y realizar seguimiento a los riesgos.Un enfoque sistemtico, de arriba hacia abajo, por lo general puede beneficiarse de herramientas de apoyo, capacitacin y asesora.El Gerente de Seguridad de la Informacin tambin podr recurrir a herramientas de software diseado para realizar seguimiento al ciclo de vida de gestin de riesgos.

Copyright 2013 ISACA. Todos los derechos reservados.5Contenidos a Enfatizar: En vista de que la gestin de riesgos es un proceso continuo, el gerente de seguridad de la informacin debera considerar que la misma gestin de riesgos tiene un ciclo de vida. Este ciclo de vida puede comprometer las fases de evaluacin, tratamiento y supervisin. La aplicacin de un enfoque de gestin de riesgos basado en el ciclo de vida y su integracin con la gestin de cambios mejora los costos en cuanto a que no necesariamente debe realizarse una evaluacin de riesgo completa en forma peridica. Por el contrario, se pueden hacer actualizaciones a la valoracin de riesgos y a los procesos de gestin de riesgos de forma incremental.

Pginas de Referencia del Manual de Preparacin al Examen: Pg. 1302.13.2 Principios y prcticas de la gestin de riesgos basada en el Ciclo de VidaEn vista de que la gestin de riesgos es un proceso continuo, el gerente de seguridad de la informacin debera considerar que la misma gestin de riesgos tiene un ciclo de vida. Este ciclo de vida puede comprometer las fases de evaluacin, tratamiento y supervisin. La aplicacin de un enfoque de gestin de riesgos basado en el ciclo de vida y su integracin con la gestin de cambios mejora los costos en cuanto a que no necesariamente debe realizarse una evaluacin de riesgo completa en forma peridica. Por el contrario, se pueden hacer actualizaciones a la valoracin de riesgos y a los procesos de gestin de riesgos de forma incremental.Copyright 2013 ISACA. Todos los derechos reservados.6Contenidos a Enfatizar: En vista de que la gestin de riesgos es un proceso continuo, el gerente de seguridad de la informacin debera considerar que la misma gestin de riesgos tiene un ciclo de vida. Este ciclo de vida puede comprometer las fases de evaluacin, tratamiento y supervisin. La aplicacin de un enfoque de gestin de riesgos basado en el ciclo de vida y su integracin con la gestin de cambios mejora los costos en cuanto a que no necesariamente debe realizarse una evaluacin de riesgo completa en forma peridica. Por el contrario, se pueden hacer actualizaciones a la valoracin de riesgos y a los procesos de gestin de riesgos de forma incremental.

Pginas de Referencia del Manual de Preparacin al Examen: Pg. 1302.14 Niveles mnimos de controles de seguridadLos niveles base (baselines) especifican los requisitos mnimos de los controles de seguridad.Los principios para desarrollo de niveles mnimos incluyen:Estar familiarizado con controles aceptables de seguridad especificados por los proveedores de tecnologas de informacin y por organizaciones de seguridad.Evaluar el nivel de seguridad apropiado para una organizacin y por consiguiente adaptar los niveles mnimos.

Copyright 2013 ISACA. Todos los derechos reservados.7Contenidos a Enfatizar: La aplicacin de niveles mnimos para los procesos de seguridad establece los requerimientos de seguridad mnimos en toda la organizacin para sean consistentes con los niveles de riesgo aceptables. Se debe establecer diferentes referencias para diferentes clasificaciones de seguridad, con controles de seguridad ms estrictos requeridos para ms recursos crticos o sensibles. Si la organizacin no ha implementado un esquema de clasificacin, ser difcil para el gerente de seguridad de la informacin desarrollar bases racionales para establecer las referencias sin el riesgo de proteger demasiado algunos recursos o proteger de manera insuficiente a otros. Los niveles de riesgo para cada clasificacin de seguridad deben tambin determinarse y los estndares desarrollarse o modificarse para establecer los lmites inferiores de proteccin de cada dominio de seguridad. Los estndares proporcionan la base para la medicin y mtodos de anlisis con el fin de evaluar si los controles existentes cumplen con las referencias de seguridad.Pginas de Referencia del Manual de Preparacin al Examen: Pg. 1302.14 Niveles mnimos de controles de seguridadLa aplicacin de niveles mnimos para los procesos de seguridad establece los requerimientos de seguridad mnimos en toda la organizacin para sean consistentes con los niveles de riesgo aceptables. Se debe establecer diferentes referencias para diferentes clasificaciones de seguridad, con controles de seguridad ms estrictos requeridos para ms recursos crticos o sensibles. Si la organizacin no ha implementado un esquema de clasificacin, ser difcil para el gerente de seguridad de la informacin desarrollar bases racionales para establecer las referencias sin el riesgo de proteger demasiado algunos recursos o proteger de manera insuficiente a otros. Copyright 2013 ISACA. Todos los derechos reservados.8Contenidos a Enfatizar: La aplicacin de niveles mnimos para los procesos de seguridad establece los requerimientos de seguridad mnimos en toda la organizacin para sean consistentes con los niveles de riesgo aceptables. Se debe establecer diferentes referencias para diferentes clasificaciones de seguridad, con controles de seguridad ms estrictos requeridos para ms recursos crticos o sensibles. Si la organizacin no ha implementado un esquema de clasificacin, ser difcil para el gerente de seguridad de la informacin desarrollar bases racionales para establecer las referencias sin el riesgo de proteger demasiado algunos recursos o proteger de manera insuficiente a otros. Los niveles de riesgo para cada clasificacin de seguridad deben tambin determinarse y los estndares desarrollarse o modificarse para establecer los lmites inferiores de proteccin de cada dominio de seguridad. Los estndares proporcionan la base para la medicin y mtodos de anlisis con el fin de evaluar si los controles existentes cumplen con las referencias de seguridad.Pginas de Referencia del Manual de Preparacin al Examen: Pg. 1302.14 Niveles mnimos de controles de seguridadLos niveles de riesgo para cada clasificacin de seguridad deben tambin determinarse y los estndares desarrollarse o modificarse para establecer los lmites inferiores de proteccin de cada dominio de seguridad. Los estndares proporcionan la base para la medicin y mtodos de anlisis con el fin de evaluar si los controles existentes cumplen con las referencias de seguridad.

Copyright 2013 ISACA. Todos los derechos reservados.9Contenidos a Enfatizar: La aplicacin de niveles mnimos para los procesos de seguridad establece los requerimientos de seguridad mnimos en toda la organizacin para sean consistentes con los niveles de riesgo aceptables. Se debe establecer diferentes referencias para diferentes clasificaciones de seguridad, con controles de seguridad ms estrictos requeridos para ms recursos crticos o sensibles. Si la organizacin no ha implementado un esquema de clasificacin, ser difcil para el gerente de seguridad de la informacin desarrollar bases racionales para establecer las referencias sin el riesgo de proteger demasiado algunos recursos o proteger de manera insuficiente a otros. Los niveles de riesgo para cada clasificacin de seguridad deben tambin determinarse y los estndares desarrollarse o modificarse para establecer los lmites inferiores de proteccin de cada dominio de seguridad. Los estndares proporcionan la base para la medicin y mtodos de anlisis con el fin de evaluar si los controles existentes cumplen con las referencias de seguridad.Pginas de Referencia del Manual de Preparacin al Examen: Pg. 1302.15.1 Monitoreo de riesgosUn componente importante del ciclo de vida de la gestin de riesgos es su monitoreo, valoracin y evaluacin continua. Tanto los resultados como el estado de este anlisis continuo necesitan documentarse y reportarse a la Alta Direccin con regularidad peridica.El Gerente de Seguridad de Informacin debe contar con procesos definidos mediante los cuales sea posible evaluar eventos relacionados con la seguridad con base en el impacto que tendran en la organizacin. Monitoreo y reporte de riesgos mediante indicadores clave de riesgos (KRIs), que sealan cuando una empresa est sujeta a riesgos que exceden el apetito o tolerancia.

Copyright 2013 ISACA. Todos los derechos reservados.10Contenidos a Enfatizar: Implementar un programa efectivo de gestin de riesgos requiere de monitoreo y comunicacin. Monitorear la eficacia de los controles es una actividad continua que se requiere para gestionar el riesgo. Es preciso establecer canales de comunicacin tanto para reportar como para difundir informacin relevante para gestionar los riesgos, como para proporcionar informacin sobre actividades relacionadas con los riesgos en toda la empresa al gerente de seguridad de la informacin, que incluya el reporte de cambios significativos en el riesgo, la capacitacin y la concienciacin.

Pginas de Referencia del Manual de Preparacin al Examen: Pg. 132

Notificacin de cambios significativos en riesgos:Actualizarse cuando existan cambios en la organizacin.Considerar cualquier cambio significativo del perfil de riesgos de la organizacin.Incluir un proceso mediante el cual un importante fallo o evento de seguridad desencadenar un informe a la alta direccin.2.15.2 Reporte de cambios significativos en el riesgo

Copyright 2013 ISACA. Todos los derechos reservados.11Para facilitar dicho reporte, se pueden utilizar ayudas visuales como grficos, cuadros y visiones generales resumidas.

Asimismo, el programa de seguridad debe incluir un proceso mediante el cual una violacin significativa a la seguridad o un evento importante en la seguridad generen un reporte especial a la alta direccin. El gerente de seguridad de la informacin debe contar con procesos definidos mediante los cuales sea posible evaluar eventos relacionados con la seguridad con base en el impacto que tendran en la organizacin. Dicha evaluacin podra garantizar que se emita un informe especial a la alta direccin para informarle del evento, el impacto y las acciones tomadas para mitigar el riesgo.

Pginas de Referencia del Manual de Preparacin al Examen: Pg. 1332.16 Capacitacin y concientizacinDado que las personas son generalmente el mayor riesgo para una organizacin, el entrenamiento apropiado puede tener un impacto significativo en la mitigacin del riesgo.Copyright 2013 ISACA. Todos los derechos reservados.12Contenidos a Enfatizar: La gente, por lo general, representa el mayor riesgo para cualquier organizacin casi siempre mediante accidentes, errores, falta de conocimiento / informacin y, de vez en cuando, mediante intentos maliciosos. Implementar campaas apropiadas de capacitacin y concientizacin puede hacer una contribucin positiva sustancial a la gestin de riesgos. Muchos controles son de procedimientos y requieren de conocimiento operativo y cumplimiento. Se deben configurar y operar correctamente los controles tcnicos para brindar el nivel esperado de aseguramiento. Es responsabilidad del gerente de seguridad de la informacin garantizar que los usuarios reciban formacin sobre procedimientos y que entiendan los procesos de gestin de riesgos. Asimismo, se deben incluir actividades apropiadas de capacitacin y concientizacin en cualquier programa de gestin de riesgos.

Pginas de Referencia del Manual de Preparacin al Examen: Pg. 1332.16 Capacitacin y concientizacinLa gente, por lo general, representa el mayor riesgo para cualquier organizacin casi siempre mediante accidentes, errores, falta de conocimiento / informacin y, de vez en cuando, mediante intentos maliciosos. Implementar campaas apropiadas de capacitacin y concientizacin puede hacer una contribucin positiva sustancial a la gestin de riesgos. Muchos controles son de procedimientos y requieren de conocimiento operativo y cumplimiento. Se deben configurar y operar correctamente los controles tcnicos para brindar el nivel esperado de aseguramiento. Copyright 2013 ISACA. Todos los derechos reservados.13Contenidos a Enfatizar: La gente, por lo general, representa el mayor riesgo para cualquier organizacin casi siempre mediante accidentes, errores, falta de conocimiento / informacin y, de vez en cuando, mediante intentos maliciosos. Implementar campaas apropiadas de capacitacin y concientizacin puede hacer una contribucin positiva sustancial a la gestin de riesgos. Muchos controles son de procedimientos y requieren de conocimiento operativo y cumplimiento. Se deben configurar y operar correctamente los controles tcnicos para brindar el nivel esperado de aseguramiento. Es responsabilidad del gerente de seguridad de la informacin garantizar que los usuarios reciban formacin sobre procedimientos y que entiendan los procesos de gestin de riesgos. Asimismo, se deben incluir actividades apropiadas de capacitacin y concientizacin en cualquier programa de gestin de riesgos.

Pginas de Referencia del Manual de Preparacin al Examen: Pg. 1332.16 Capacitacin y concientizacinEs responsabilidad del gerente de seguridad de la informacin garantizar que los usuarios reciban formacin sobre procedimientos y que entiendan los procesos de gestin de riesgos. Asimismo, se deben incluir actividades apropiadas de capacitacin y concientizacin en cualquier programa de gestin de riesgos.Copyright 2013 ISACA. Todos los derechos reservados.14Contenidos a Enfatizar: La gente, por lo general, representa el mayor riesgo para cualquier organizacin casi siempre mediante accidentes, errores, falta de conocimiento / informacin y, de vez en cuando, mediante intentos maliciosos. Implementar campaas apropiadas de capacitacin y concientizacin puede hacer una contribucin positiva sustancial a la gestin de riesgos. Muchos controles son de procedimientos y requieren de conocimiento operativo y cumplimiento. Se deben configurar y operar correctamente los controles tcnicos para brindar el nivel esperado de aseguramiento. Es responsabilidad del gerente de seguridad de la informacin garantizar que los usuarios reciban formacin sobre procedimientos y que entiendan los procesos de gestin de riesgos. Asimismo, se deben incluir actividades apropiadas de capacitacin y concientizacin en cualquier programa de gestin de riesgos.

Pginas de Referencia del Manual de Preparacin al Examen: Pg. 1332.16 Capacitacin y concientizacin Los usuarios finales deben recibir entrenamiento en:La importancia de adherirse a las polticas y procedimientos de seguridad de la empresa. Responder a situaciones de emergencia.La importancia del acceso lgico en un ambiente de TI.Los requerimientos de privacidad y confidencialidad.Copyright 2013 ISACA. Todos los derechos reservados.15Pginas de Referencia del Manual de Preparacin al Examen: Pg. 133


SOLUCIONES INTELIGENTES PARA UN MUNDO DIGITAL · Externalización de Procesos • Gestión de aplicaciones (AM) • IT Outsourcing • Business Processes Outsourcing (BPO) • Servicios

6. Outsourcing

ESTUDIO SOBRE OUTSOURCING DE SERVICIOS DE TI ESPAÑA 2015info.ibermaticacloud.com/multimedia/Estudio-sobre-el-Outsourcing-d… · 1 Estudio sobre Outsourcing de Servicios de TI en

Outsourcing 1

Outsourcing de servicios de maquinaria

Webinar ISACA Chalico

Aplicaciones y Soluciones en Tecnología … Soluciones de Outsourcing a su medida Business Process Outsourcing Servicios de Outsourcing de Personal

1. El Outsourcing en Una Empresa de Servicios

Presentación de Servicios -Externalización de Servicios- Outsourcing de Servicios

Líder Reconocido en Auditoría, Seguridad y Gobierno de TI · 2018. 11. 27. · 18/11/2011 2 V Congreso ISACA Valencia ISACA CARACTERISTICAS DE ISACA – Organización Internacional

Simposio ISACA · Puerto Rico 2018 · 2018. 12. 7. · Simposio ISACA · Puerto Rico 2018. 02 ISACA PUERTO RICO CHAPTER APOCALIPSIS CIBERNÉTICO: LA MADRE DE TODAS LAS BATALLAS DICE

Outsourcing y Outsourcing Logístico

Outsourcing para la prestación de los servicios especializados de red de Comunicaciones, Centro de Datos y Servicios Conexos

OUTSOURCING Y TERCERIZACIÓN DE SERVICIOS …

Penetration Testing - ISACA

OUTSOURCING Prof. Mabel Calvo /. TRADUCCIONES APROXIMADAS SUBCONTRATACION EXTERNALIZACION TERCERIZACION OUTSOURCING OUTSOURCING “Transferencia a terceros

Isaca Final Impresion

El Mercado Chileno de Servicios de Outsourcing de Centros de Contacto Mayo 2013

Mercado Outsourcing

WmContentFile 1112464174800 CTX Isaca

Viii congreso isaca 2015 grc

Presentación ISACA - Estudiantil

Certificaciones Internacionales ISACA 07Sep2016 JSR

Outsourcing pili

Isaca presentation

Business Process Outsourcing privado out.pdf · procesos de Outsourcing. ŸAplicaciones Tecnológicas de punta que soportan nuestros servicios, adaptables a cambios normativos. ŸContamos

Outsourcing Final

ISACA – Buenos Aires Chapter – ISACA - Presentación de … · 2020. 10. 14. · El logo de ISACA IBEROAMERICA es una marca de ISACA, objeto de uso bajo licencia El logotipo de

ISACA Valencia  · 2019-09-03 · Sobre ISACA Con casi 140.000 miembros en 180 países, la Information Systems Audit and Control Association (ISACA) es un líder global que provee

SCM Outsourcing

IMPACTO DEL “OUTSOURCING” EN LA CALIDAD DE VIDA DE ... · Esencialmente, el outsourcing es la transferencia de servicios o funciones previamente ejecutadas dentro de la organización

Presentación isaca prezi

Tendencias Outsourcing

Outsourcing AGUILAS

ISACA oferta formativa