SlideShare ist ein Scribd-Unternehmen logo

Principales aspectos y requisitos en contratos de servicios tenologicos

Fabián Descalzo
Fabián Descalzo

Consideraciones relacionadas con la responsabilidad sobre el tratamiento de los datos, normativa, seguridad y confidencialidad de los datos y aspectos esenciales del contrato de servicios desde el punto de vista técnico/funcional relacionado con la seguridad de la información

Bildung
1 von 9
Downloaden Sie, um offline zu lesen
Principales Aspectos y Requisitos en la Contratación de Servicios Tecnológicos Asegurando el Gobierno de Seguridad de la Información Consideraciones relacionadas con la responsabilidad sobre el tratamiento de los datos, normativa, seguridad y confidencialidad de los datos y aspectos esenciales del contrato de servicios desde el punto de vista técnico/funcional relacionado con la seguridad de la información
Principales Aspectos y Requisitos en la Contratación de Servicios Tecnológicos Contenido Delegación de actividades, no de responsabilidad ................................................................................................ 2 Aspectos y requisitos contractuales relacionados con la Seguridad de la Información: ....................................... 3 Aspectos y requisitos funcionales .......................................................................................................................... 4 Condiciones para el control y registro ................................................................................................................... 5 Información regulatoria sobre el almacenamiento de datos ................................................................................ 6 Recomendaciones finales ...................................................................................................................................... 7 Fabian Descalzo 1
Principales Aspectos y Requisitos en la Contratación de Servicios Tecnológicos Fabian Descalzo 2 Delegación de actividades, no de responsabilidad Definir un adecuado mecanismo de delegación de actividades propias de las áreas tecnológicas y de seguridad de la información hacia Terceras Partes, requiere de un enfoque práctico bajo el cual se establezcan pautas para facilitar la interlocución con los proveedores de servicios tecnológicos, el control sobre su gestión operativa y la revisión del cumplimiento regulatorio. La delegación de la operación no implica una delegación de responsabilidad, por lo cual aquello que dejemos de Operar/Administrar debemos Controlarlo/Auditarlo. Adicionalmente, no deben tercerizarse actividades con proveedores que a su vez tengan contratada la función de auditoría interna y/o externa de dichas actividades. ¿Qué actividades son las que se delegan habitualmente? 1. Administración, transmisión y/o procesamiento de datos 2. Administración de servicios o equipos relacionados con la seguridad de la información 3. Desarrollo de software, incluyendo la adquisición de desarrollos especiales de “software a medida” o módulos adaptados a las necesidades de la Organización. 4. Mantenimiento de equipos o consultoría especializada. Para delegar estas actividades es recomendable que los contratos celebrados entre las áreas tecnológicas o de seguridad de la información con Terceras Partes en quienes se delegarán servicios contemplen, entre otros de forma, los siguientes puntos: 1. Alcance de las actividades; 2. Niveles mínimos de prestación de servicio y su tipo / condiciones del servicio brindado; 3. Informar sobre la participación de subcontratistas, e incluirlos en los anexos de nómina 4. Resultado del análisis de riesgo efectuado sobre los procedimientos, para establecer el Riesgo Operativo asociado al Servicio. 5. Los mecanismos de notificación de cambios en el control accionario; 6. Los mecanismos de notificación de cambios de niveles gerenciales; 7. Resarcimiento hacia la Organización por daños económicos que causará el proveedor por: · No cumplir con fechas de implementación · Fallas del sistema que generen daños patrimoniales a la Organización · Demora en la entrega de la información a presentar a la Organización y que este Presente tarde la información al Ente respectivo · Información errónea presentada a la Organización y que presente daños de imagen o económicos para la Organización 8. El procedimiento por el cual las áreas tecnológicas y de seguridad de la Organización pueda obtener los datos, los programas fuentes, los manuales y la documentación técnica de los sistemas, ante cualquier situación que pudiera sufrir el proveedor por la cual dejara de prestar sus servicios o de operar en el mercado, a fin de poder asegurar la continuidad de procesamiento. 9. Un plan de contingencia del proveedor con el fin de no cesar en sus actividades normales y asegurar la continuidad del procesamiento ante cualquier situación que pudiera sufrir. 10. Mantener archivos de auditoría, tanto para acceso de la Organización o de auditorías externas.
Principales Aspectos y Requisitos en la Contratación de Servicios Tecnológicos Entre las Gerencias de Tecnología y de Seguridad de la Información deben definir los planes de control y monitoreo de las actividades delegadas, los cuales se ejecutarán con una periodicidad acorde al nivel de criticidad de la actividad. Los planes deben estar alineados a lo establecido por la Política de Seguridad de la Información y su ejecución debe ser documentada. La documentación de la ejecución de los controles debe resguardarse por un período no inferior a 2 años, o de acuerdo a lo indicado por el marco regulatorio de la Organización. Fabian Descalzo 3 Aspectos y requisitos contractuales relacionados con la Seguridad de la Información: • Contar con una cláusula de confidencialidad • Incluir las penalidades relacionadas con la divulgación total o parcial de la información confiada • Incluir una clausula de responsabilidad por la integridad de los datos ante errores de operación • Incluir el conocimiento y consentimiento de las Políticas de Seguridad de la Organización por parte del proveedor • En el caso de tercerización de operaciones, debe acompañarse documentación relacionada a entregar al proveedor (normas, procedimientos, manuales, y documentación de soporte como checklist) e incluir su inventario en el contrato como “Anexo Técnico” • Exigir contractualmente evaluaciones de vulnerabilidad y pentest. • Exigir contractualmente la existencia de una estrategia de gestión de riesgos • Contemplar el derecho a realizar auditorías en las instalaciones del proveedor y a sus procesos asociados al servicio contratado, por parte de la Organización o de empresas contratadas para tal fin • Contemplar que cualquier Entidad Regulatoria (Nacional o Internacional) pueda acceder sin limitación, en cuanto a: el acceso a los datos y a toda documentación técnica relacionada (metodología del servicio, procedimientos internos del proveedor, etc.) y a la realización de auditorías periódicas en las instalaciones del proveedor. a definir por la Organización. En concreto el contrato de prestación de servicios debe suscribir como mínimo las siguientes clausulas orientadas a la seguridad de la información: • Régimen de los datos. Es esencial que el contrato especifique que el proveedor no puede disponer de los datos ni hacer uso de los mismos para ningún fin que no esté expresamente autorizado por la Organización. En caso que se trate de datos personales también es necesario el consentimiento del titular de los datos. • Cumplimiento de legislación de protección de datos de carácter personal y tarjeta-habiente. El proveedor ha de asumir expresamente el papel de encargado del tratamiento de datos que la Organización decida trasladar al CPD del Proveedor (sea el caso de servicios de housing/hosting o bien de cloud computing), con todas las obligaciones propias de tal figura tal y como se recogen en la
Principales Aspectos y Requisitos en la Contratación de Servicios Tecnológicos Legislación Argentina. Además si el proveedor almacena la información de carácter personal en sistemas ubicados fuera de la República Argentina, ha de asumir las obligaciones que al encargado del tratamiento de datos de carácter personal le impone la Legislación Argentina, con independencia de la jurisdicción aplicable al territorio en el que se localizan los centros de proceso de datos. • Seguridad en el acceso. El proveedor ha de garantizar que la información solo será accesible a la Organización, y a quien él determine con los perfiles de acceso correspondientes. En caso de que la Organización trate datos especialmente protegidos, se incluirán cláusulas que garanticen su tratamiento con las medidas de seguridad que sean exigibles. • Integridad y conservación. El proveedor debe disponer de los mecanismos de recuperación ante desastres, continuidad en el servicio y copia de seguridad necesarios para garantizar la integridad y conservación de la información. Fabian Descalzo 4 • Disponibilidad. El proveedor debe garantizar una elevada disponibilidad del servicio, así como comprometerse a organizar las paradas programadas para mantenimiento con la suficiente antelación y dando aviso de las mismas al despacho. • Portabilidad. El proveedor ha de obligarse, a la terminación del servicio, a entregar toda la información a la Organización en el formato que se acuerde, para que éste pueda almacenarla en sus propios sistemas o bien trasladarla a los de un nuevo proveedor, en el plazo más breve posible y con total garantía de la integridad de la información. • Consecuencias para el caso de incumplimiento del proveedor. La falta de cumplimiento o el cumplimento diligente de las garantías ofrecidas a la Organización para la protección de datos por parte del proveedor permitirá excluir la responsabilidad de la Organización. Aspectos y requisitos funcionales • Al evaluar el contrato y antes de su firma, tanto la Organización como el prestador de servicios deben solicitar y ofrecer información detallada sobre las medidas que vayan a garantizar la seguridad y confidencialidad de los datos, intercambiando información sobre la naturaleza de los mismos para establecer un nivel de seguridad apropiado. • El proveedor debe garantizar la conservación de los datos, mediante la realización de copias de seguridad periódicas y dotando a su infraestructura de los mayores niveles de seguridad física y lógica. • El proveedor debe demostrar mecanismos seguros de autenticación para el acceso a la información. • El proveedor debe garantizar el cifrado de los datos almacenados dando a conocer a la Organización el
Principales Aspectos y Requisitos en la Contratación de Servicios Tecnológicos nivel de seguridad ofrecido por las técnicas de cifrado de la información que aplique en sus sistemas • Se debe acordar el procedimiento de recuperación y migración de los datos a la terminación de la relación entre la Organización y el proveedor; así como el mecanismo de borrado de los datos por parte del proveedor una vez que estos han sido transferidos a la Organización o al nuevo proveedor designado por éste. • Solicitar al proveedor que su encargado del tratamiento establezca un registro de los accesos Fabian Descalzo 5 realizados a los datos críticos • En el caso de que no sea posible verificar directamente las medidas de seguridad del prestador de servicios, contemplar garantías alternativas que cumplan el mismo objetivo, como por ejemplo: o La intervención de un tercero independiente que audite las medidas de seguridad implantadas. o Contemplar que el proveedor posea una certificación SAS70, ISO 27001 o alguna que certifique el nivel de seguridad necesario, y solicitar los resultados de las auditorías periódicas de la certificación • Solicitar al proveedor la información relativa a su Sistema de Gestión de Incidentes de Seguridad, para que sean puestos en conocimiento a la Organización junto con las medidas adoptadas para corregir los daños producidos y evitar que se reproduzcan dichos incidentes. Condiciones para el control y registro Para acreditar que los procedimientos y medidas de seguridad aplicados al servicio a contratar cumplen con los distintos estándares y normas legales y pueda establecerse una metodología de monitoreo y control del servicio, la Organización debe tener acceso a un conjunto de documentos que especifiquen, como mínimo, los siguientes aspectos: • Ámbito de aplicación del conjunto de documentos (Marco Normativo del proveedor) con especificación detallada de los recursos protegidos. • Políticas, normas, procedimientos de actuación, reglas y estándares utilizados para garantizar el nivel de seguridad exigido en la normativa aplicable de protección de datos. • Procedimientos establecidos para comunicar los resultados de las auditorías exigidas por los estándares y normas aplicados a los ficheros tratados. • Funciones y obligaciones del personal en relación con el tratamiento de los datos. • En caso que el servicio incluya el alojamiento y tratamiento de datos personales, estructura de los ficheros y descripción de los sistemas de información que tratan los datos. • Procedimiento de notificación, gestión y respuesta ante incidentes. • Procedimientos de realización de copias de respaldo y de recuperación de los datos • Las medidas de seguridad que se adoptan en el transporte de soportes y documentos, así como para
Principales Aspectos y Requisitos en la Contratación de Servicios Tecnológicos Fabian Descalzo 6 la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos. • Departamento o persona responsable de la aplicación de los procedimientos y medidas de seguridad. • Procedimiento establecido para acceder al registro de acceso a los datos cuando sean exigibles medidas de seguridad de nivel alto. En referencia a los controles y dependiendo del tipo de servicio, además de solicitar la evidencia de los procesos documentados debemos establecer un monitoreo de cumplimiento por parte del proveedor. Para ello puede establecerse un monitoreo de cumplimiento por tipo de servicio contratado, como por ejemplo en los asociados al Cloud Computing: IaaS PaaS SaaS • Seguridad física • Red y cifrado • Partes de la seguridad sobre el hardware (actualizaciones de firmware, etc.) • Seguridad en la plataforma de las aplicaciones • Seguridad física • Red y cifrado • Gestión de claves • Seguridad lógica • Política de seguridad • Seguridad física • Red y cifrado • Gestión de claves • Seguridad lógica • Partes de seguridad de las aplicaciones (parches, actualización de versiones, etc.) Y como adicional a lo ya indicado: • Verificar periódicamente la gestión de terceros del Proveedor • Auditar políticas, procesos y procedimientos de continuidad del proveedor y sus evaluaciones realizadas a terceros • Verificar el Marco Normativo y su cumplimiento en la gestión del servicio Información regulatoria sobre el almacenamiento de datos La Organización es responsable del tratamiento cuando contrate servicios de Terceras Partes y por ello debe velar porque el proveedor de servicios cumpla las regulaciones que le apliquen a la Organización, por ejemplo SOX, PCI, BCRA, incluyendo la legislación sobre protección de datos personales (Ley de Habeas Data N° 25.326). Por tanto, las garantías exigibles son las establecidas en las Leyes y sus reglamentaciones. Para el caso de Cloud Computing, por ejemplo, como posiblemente los datos no se almacenen en territorio argentino sino en un tercer país, el artículo 12 de la Ley de Habeas Data prevé la transferencia de datos personales a países terceros indicando que la transferencia ha de limitarse a naciones en las que los datos cuenten con lo que se define como “un nivel de protección adecuado”
Principales Aspectos y Requisitos en la Contratación de Servicios Tecnológicos Fabian Descalzo 7 Recomendaciones finales Bien, para finalizar les dejo algunas recomendaciones adicionales: • Desarrollar una matriz de responsabilidad compartida entre el proveedor y la Organización • Asegurar la intervención interdisciplinaria de diferentes sectores de la Organización en sus proyectos (Legales, Tecnología, Seguridad Informática, Desarrollo, Facilities, etc.) • Orientar la selección a proveedores certificados • Ejecutar los controles y gestión de riesgos en forma continua • Mitigar los riesgos a través de contratos y SLAs orientados a los Controles y Gestión de Riesgo • Robustecer la seguridad en base a las capacidades del proveedor, y así reducir la carga “local” de cumplimiento al compartirla con el proveedor
Principales Aspectos y Requisitos en la Contratación de Servicios Tecnológicos Fabian Descalzo 8 Fabián Descalzo Es Gerente de Governance, Risk Compliance (GRC) en Cybsec, Director Certificado en Seguridad de la Información (CAECE), certificado ITIL v3-2011 y auditor ISO 20000. Posee amplia experiencia en la implementación y cumplimiento de Leyes y Normativas Nacionales e Internacionales en compañías de primer nivel de diferentes áreas de negocio en la optimización y cumplimiento de la seguridad en sistemas de información, Gobierno de TI/SI y Continuidad del Negocio. Actualmente es responsable de servicios y soluciones en las áreas de Gobierno, Riesgos y Cumplimiento asociados al aseguramiento del Negocio.

Empfohlen

POLITEKNIK MALAYSIA
POLITEKNIK MALAYSIA POLITEKNIK MALAYSIA
POLITEKNIK MALAYSIA
Aiman Hud
 
Módulo II: Interpretación de la Constitución y los Derechos Fundamentales
Módulo II: Interpretación de la Constitución y los Derechos FundamentalesMódulo II: Interpretación de la Constitución y los Derechos Fundamentales
Módulo II: Interpretación de la Constitución y los Derechos Fundamentales
ENJ
 
Ley de adquisiciones, arrendamientos y servicios del sector publico
Ley de adquisiciones, arrendamientos y servicios del sector publicoLey de adquisiciones, arrendamientos y servicios del sector publico
Ley de adquisiciones, arrendamientos y servicios del sector publico
Raí Lopez Jimenez
 
Metodología de auditoria informática
Metodología de auditoria informáticaMetodología de auditoria informática
Metodología de auditoria informática
Guillermo Garcia
 
Seguridad y respaldo de base de datos
Seguridad y respaldo de base de datosSeguridad y respaldo de base de datos
Seguridad y respaldo de base de datos
Carlos Guerrero
 
La prueba en la fase del juicio 1
La prueba en la fase del juicio 1La prueba en la fase del juicio 1
La prueba en la fase del juicio 1
e19d73
 
Proyecto de auditoria
Proyecto de auditoriaProyecto de auditoria
Proyecto de auditoria
cesar209935
 
Nueva Ley 30225 CONTRATACIONES Y ADQUISICIONES 2014
Nueva Ley 30225 CONTRATACIONES Y ADQUISICIONES 2014Nueva Ley 30225 CONTRATACIONES Y ADQUISICIONES 2014
Nueva Ley 30225 CONTRATACIONES Y ADQUISICIONES 2014
Julio Soto
 

Empfohlen

POLITEKNIK MALAYSIA
POLITEKNIK MALAYSIA POLITEKNIK MALAYSIA
POLITEKNIK MALAYSIA
Aiman Hud
 
Módulo II: Interpretación de la Constitución y los Derechos Fundamentales
Módulo II: Interpretación de la Constitución y los Derechos FundamentalesMódulo II: Interpretación de la Constitución y los Derechos Fundamentales
Módulo II: Interpretación de la Constitución y los Derechos Fundamentales
ENJ
 
Ley de adquisiciones, arrendamientos y servicios del sector publico
Ley de adquisiciones, arrendamientos y servicios del sector publicoLey de adquisiciones, arrendamientos y servicios del sector publico
Ley de adquisiciones, arrendamientos y servicios del sector publico
Raí Lopez Jimenez
 
Metodología de auditoria informática
Metodología de auditoria informáticaMetodología de auditoria informática
Metodología de auditoria informática
Guillermo Garcia
 
Seguridad y respaldo de base de datos
Seguridad y respaldo de base de datosSeguridad y respaldo de base de datos
Seguridad y respaldo de base de datos
Carlos Guerrero
 
La prueba en la fase del juicio 1
La prueba en la fase del juicio 1La prueba en la fase del juicio 1
La prueba en la fase del juicio 1
e19d73
 
Proyecto de auditoria
Proyecto de auditoriaProyecto de auditoria
Proyecto de auditoria
cesar209935
 
Nueva Ley 30225 CONTRATACIONES Y ADQUISICIONES 2014
Nueva Ley 30225 CONTRATACIONES Y ADQUISICIONES 2014Nueva Ley 30225 CONTRATACIONES Y ADQUISICIONES 2014
Nueva Ley 30225 CONTRATACIONES Y ADQUISICIONES 2014
Julio Soto
 
Ser compliance o pagar mas
Ser compliance o pagar masSer compliance o pagar mas
Ser compliance o pagar mas
Fabián Descalzo
 
Diapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.tDiapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.t
yuliaranda
 
Diapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.tDiapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.t
yuliaranda
 
Mi proveedor, mi socio: Contratación de terceras partes, cuando dejamos de ve...
Mi proveedor, mi socio: Contratación de terceras partes, cuando dejamos de ve...Mi proveedor, mi socio: Contratación de terceras partes, cuando dejamos de ve...
Mi proveedor, mi socio: Contratación de terceras partes, cuando dejamos de ve...
Fabián Descalzo
 
Manual usuario 2014
Manual usuario 2014Manual usuario 2014
Manual usuario 2014
Juli Sure
 
manual
manual manual
manual
Dayan Saray
 
Manual usuario 2014
Manual usuario 2014Manual usuario 2014
Manual usuario 2014
Yue Jimenez
 
Evaluación del proceso de datos
Evaluación del proceso de datos Evaluación del proceso de datos
Evaluación del proceso de datos
favioVargasArevalo
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
ebonhoure
 
Po li tica seguridad informatica colombia tsg v1
Po li tica seguridad informatica colombia tsg v1Po li tica seguridad informatica colombia tsg v1
Po li tica seguridad informatica colombia tsg v1
MayraAlejandraMolavo
 
Ejercicio sobre protección de datos y transparencia
Ejercicio sobre protección de datos y transparenciaEjercicio sobre protección de datos y transparencia
Ejercicio sobre protección de datos y transparencia
a2garriido
 
Manual politicas de seguridad grupo10
Manual politicas de seguridad grupo10Manual politicas de seguridad grupo10
Manual politicas de seguridad grupo10
Eduardo Maradiaga
 
auditoria de sistemas - capitulo 5
auditoria de sistemas - capitulo 5auditoria de sistemas - capitulo 5
auditoria de sistemas - capitulo 5
KarenSalazarOrtega
 
REVISTA CISALUD La salud por las nubes
REVISTA CISALUD La salud por las nubesREVISTA CISALUD La salud por las nubes
REVISTA CISALUD La salud por las nubes
Fabián Descalzo
 
Auditoria Fisica
Auditoria FisicaAuditoria Fisica
Auditoria Fisica
Manuel Medina
 
Modulo III, parte 4
Modulo III, parte 4Modulo III, parte 4
Modulo III, parte 4
ANTONIO GARCÍA HERRÁIZ
 
Los desafíos que presenta la explosión de los medios digitales horacio granero
Los desafíos que presenta la explosión de los medios digitales horacio graneroLos desafíos que presenta la explosión de los medios digitales horacio granero
Los desafíos que presenta la explosión de los medios digitales horacio granero
amdia
 
Contratos InformáTicos (Mug 31 10 08)2
Contratos InformáTicos (Mug 31 10 08)2Contratos InformáTicos (Mug 31 10 08)2
Contratos InformáTicos (Mug 31 10 08)2
whuertas
 
Principales areas de la auditoria informatica
Principales areas de la auditoria informaticaPrincipales areas de la auditoria informatica
Principales areas de la auditoria informatica
Carlos Ledesma
 
Diapositiva
DiapositivaDiapositiva
Diapositiva
ricardolopezmorales
 
𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
Fabián Descalzo
 
CFOs Meeting 2023 | Ciberseguridad en el negocio
CFOs Meeting 2023 | Ciberseguridad en el negocioCFOs Meeting 2023 | Ciberseguridad en el negocio
CFOs Meeting 2023 | Ciberseguridad en el negocio
Fabián Descalzo
 

Weitere ähnliche Inhalte

Ähnlich wie Principales aspectos y requisitos en contratos de servicios tenologicos

Diapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.tDiapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.t
yuliaranda
 
Diapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.tDiapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.t
yuliaranda
 
Contratos InformáTicos (Mug 31 10 08)2
Contratos InformáTicos (Mug 31 10 08)2Contratos InformáTicos (Mug 31 10 08)2
Contratos InformáTicos (Mug 31 10 08)2
whuertas
 

Ähnlich wie Principales aspectos y requisitos en contratos de servicios tenologicos (20)

Ser compliance o pagar mas
Ser compliance o pagar masSer compliance o pagar mas
Ser compliance o pagar mas
 
Diapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.tDiapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.t
 
Diapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.tDiapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.t
 
Mi proveedor, mi socio: Contratación de terceras partes, cuando dejamos de ve...
Mi proveedor, mi socio: Contratación de terceras partes, cuando dejamos de ve...Mi proveedor, mi socio: Contratación de terceras partes, cuando dejamos de ve...
Mi proveedor, mi socio: Contratación de terceras partes, cuando dejamos de ve...
 
Manual usuario 2014
Manual usuario 2014Manual usuario 2014
Manual usuario 2014
 
manual
manual manual
manual
 
Manual usuario 2014
Manual usuario 2014Manual usuario 2014
Manual usuario 2014
 
Evaluación del proceso de datos
Evaluación del proceso de datos Evaluación del proceso de datos
Evaluación del proceso de datos
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Po li tica seguridad informatica colombia tsg v1
Po li tica seguridad informatica colombia tsg v1Po li tica seguridad informatica colombia tsg v1
Po li tica seguridad informatica colombia tsg v1
 
Ejercicio sobre protección de datos y transparencia
Ejercicio sobre protección de datos y transparenciaEjercicio sobre protección de datos y transparencia
Ejercicio sobre protección de datos y transparencia
 
Manual politicas de seguridad grupo10
Manual politicas de seguridad grupo10Manual politicas de seguridad grupo10
Manual politicas de seguridad grupo10
 
auditoria de sistemas - capitulo 5
auditoria de sistemas - capitulo 5auditoria de sistemas - capitulo 5
auditoria de sistemas - capitulo 5
 
REVISTA CISALUD La salud por las nubes
REVISTA CISALUD La salud por las nubesREVISTA CISALUD La salud por las nubes
REVISTA CISALUD La salud por las nubes
 
Auditoria Fisica
Auditoria FisicaAuditoria Fisica
Auditoria Fisica
 
Modulo III, parte 4
Modulo III, parte 4Modulo III, parte 4
Modulo III, parte 4
 
Los desafíos que presenta la explosión de los medios digitales horacio granero
Los desafíos que presenta la explosión de los medios digitales horacio graneroLos desafíos que presenta la explosión de los medios digitales horacio granero
Los desafíos que presenta la explosión de los medios digitales horacio granero
 
Contratos InformáTicos (Mug 31 10 08)2
Contratos InformáTicos (Mug 31 10 08)2Contratos InformáTicos (Mug 31 10 08)2
Contratos InformáTicos (Mug 31 10 08)2
 
Principales areas de la auditoria informatica
Principales areas de la auditoria informaticaPrincipales areas de la auditoria informatica
Principales areas de la auditoria informatica
 
Diapositiva
DiapositivaDiapositiva
Diapositiva
 

Mehr von Fabián Descalzo

𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
Fabián Descalzo
 
CFOs Meeting 2023 | Ciberseguridad en el negocio
CFOs Meeting 2023 | Ciberseguridad en el negocioCFOs Meeting 2023 | Ciberseguridad en el negocio
CFOs Meeting 2023 | Ciberseguridad en el negocio
Fabián Descalzo
 
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
Fabián Descalzo
 
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOSCONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
Fabián Descalzo
 
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf
Fabián Descalzo
 
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
Fabián Descalzo
 
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
Fabián Descalzo
 
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
Fabián Descalzo
 
Concientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfConcientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdf
Fabián Descalzo
 
Mapa regional en ciberseguridad y gobierno IT.pdf
Mapa regional en ciberseguridad y gobierno IT.pdfMapa regional en ciberseguridad y gobierno IT.pdf
Mapa regional en ciberseguridad y gobierno IT.pdf
Fabián Descalzo
 
2022 BDO Gobierno de TI y Ciberseguridad.pdf
2022 BDO Gobierno de TI y Ciberseguridad.pdf2022 BDO Gobierno de TI y Ciberseguridad.pdf
2022 BDO Gobierno de TI y Ciberseguridad.pdf
Fabián Descalzo
 
Dia internacional ciberseguridad 30 noviembre 2021
Dia internacional ciberseguridad 30 noviembre 2021Dia internacional ciberseguridad 30 noviembre 2021
Dia internacional ciberseguridad 30 noviembre 2021
Fabián Descalzo
 
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍALA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
Fabián Descalzo
 
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORESRIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
Fabián Descalzo
 
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUDGESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
Fabián Descalzo
 
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIOCIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
Fabián Descalzo
 
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
Fabián Descalzo
 

Mehr von Fabián Descalzo (20)

𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
 
CFOs Meeting 2023 | Ciberseguridad en el negocio
CFOs Meeting 2023 | Ciberseguridad en el negocioCFOs Meeting 2023 | Ciberseguridad en el negocio
CFOs Meeting 2023 | Ciberseguridad en el negocio
 
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
 
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOSCONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
 
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf
 
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
 
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
 
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
 
Concientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfConcientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdf
 
Mapa regional en ciberseguridad y gobierno IT.pdf
Mapa regional en ciberseguridad y gobierno IT.pdfMapa regional en ciberseguridad y gobierno IT.pdf
Mapa regional en ciberseguridad y gobierno IT.pdf
 
2022 BDO Gobierno de TI y Ciberseguridad.pdf
2022 BDO Gobierno de TI y Ciberseguridad.pdf2022 BDO Gobierno de TI y Ciberseguridad.pdf
2022 BDO Gobierno de TI y Ciberseguridad.pdf
 
Proteccion frente a ciberataques
Proteccion frente a ciberataques Proteccion frente a ciberataques
Proteccion frente a ciberataques
 
Dia internacional ciberseguridad 30 noviembre 2021
Dia internacional ciberseguridad 30 noviembre 2021Dia internacional ciberseguridad 30 noviembre 2021
Dia internacional ciberseguridad 30 noviembre 2021
 
2021 Mes de la ciberseguridad
2021 Mes de la ciberseguridad 2021 Mes de la ciberseguridad
2021 Mes de la ciberseguridad
 
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍALA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
 
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORESRIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
 
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
 
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUDGESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
 
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIOCIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
 
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
 

Kürzlich hochgeladen

🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
EliaHernndez7
 
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLAACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
JAVIER SOLIS NOYOLA
 
5.- Doerr-Mide-lo-que-importa-DESARROLLO PERSONAL
5.- Doerr-Mide-lo-que-importa-DESARROLLO PERSONAL5.- Doerr-Mide-lo-que-importa-DESARROLLO PERSONAL
5.- Doerr-Mide-lo-que-importa-DESARROLLO PERSONAL
MiNeyi1
 
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAFORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
El Fortí
 
Concepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptxConcepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptx
Fernando Solis
 

Kürzlich hochgeladen (20)

🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
 
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLAACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
 
Tema 11. Dinámica de la hidrosfera 2024
Tema 11. Dinámica de la hidrosfera 2024Tema 11. Dinámica de la hidrosfera 2024
Tema 11. Dinámica de la hidrosfera 2024
 
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptxSEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
 
Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.
Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.
Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.
 
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
 
5.- Doerr-Mide-lo-que-importa-DESARROLLO PERSONAL
5.- Doerr-Mide-lo-que-importa-DESARROLLO PERSONAL5.- Doerr-Mide-lo-que-importa-DESARROLLO PERSONAL
5.- Doerr-Mide-lo-que-importa-DESARROLLO PERSONAL
 
Interpretación de cortes geológicos 2024
Interpretación de cortes geológicos 2024Interpretación de cortes geológicos 2024
Interpretación de cortes geológicos 2024
 
SESION DE PERSONAL SOCIAL. La convivencia en familia 22-04-24 -.doc
SESION DE PERSONAL SOCIAL. La convivencia en familia 22-04-24 -.docSESION DE PERSONAL SOCIAL. La convivencia en familia 22-04-24 -.doc
SESION DE PERSONAL SOCIAL. La convivencia en familia 22-04-24 -.doc
 
AFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA II
AFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA IIAFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA II
AFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA II
 
origen y desarrollo del ensayo literario
origen y desarrollo del ensayo literarioorigen y desarrollo del ensayo literario
origen y desarrollo del ensayo literario
 
Unidad 3 | Metodología de la Investigación
Unidad 3 | Metodología de la InvestigaciónUnidad 3 | Metodología de la Investigación
Unidad 3 | Metodología de la Investigación
 
Dinámica florecillas a María en el mes d
Dinámica florecillas a María en el mes dDinámica florecillas a María en el mes d
Dinámica florecillas a María en el mes d
 
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLAACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
 
LA LITERATURA DEL BARROCO 2023-2024pptx.pptx
LA LITERATURA DEL BARROCO 2023-2024pptx.pptxLA LITERATURA DEL BARROCO 2023-2024pptx.pptx
LA LITERATURA DEL BARROCO 2023-2024pptx.pptx
 
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAFORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
 
Supuestos_prácticos_funciones.docx
Supuestos_prácticos_funciones.docxSupuestos_prácticos_funciones.docx
Supuestos_prácticos_funciones.docx
 
Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...
 
Concepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptxConcepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptx
 
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdfSELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
 

Principales aspectos y requisitos en contratos de servicios tenologicos

  • 1. Principales Aspectos y Requisitos en la Contratación de Servicios Tecnológicos Asegurando el Gobierno de Seguridad de la Información Consideraciones relacionadas con la responsabilidad sobre el tratamiento de los datos, normativa, seguridad y confidencialidad de los datos y aspectos esenciales del contrato de servicios desde el punto de vista técnico/funcional relacionado con la seguridad de la información
  • 2. Principales Aspectos y Requisitos en la Contratación de Servicios Tecnológicos Contenido Delegación de actividades, no de responsabilidad ................................................................................................ 2 Aspectos y requisitos contractuales relacionados con la Seguridad de la Información: ....................................... 3 Aspectos y requisitos funcionales .......................................................................................................................... 4 Condiciones para el control y registro ................................................................................................................... 5 Información regulatoria sobre el almacenamiento de datos ................................................................................ 6 Recomendaciones finales ...................................................................................................................................... 7 Fabian Descalzo 1
  • 3. Principales Aspectos y Requisitos en la Contratación de Servicios Tecnológicos Fabian Descalzo 2 Delegación de actividades, no de responsabilidad Definir un adecuado mecanismo de delegación de actividades propias de las áreas tecnológicas y de seguridad de la información hacia Terceras Partes, requiere de un enfoque práctico bajo el cual se establezcan pautas para facilitar la interlocución con los proveedores de servicios tecnológicos, el control sobre su gestión operativa y la revisión del cumplimiento regulatorio. La delegación de la operación no implica una delegación de responsabilidad, por lo cual aquello que dejemos de Operar/Administrar debemos Controlarlo/Auditarlo. Adicionalmente, no deben tercerizarse actividades con proveedores que a su vez tengan contratada la función de auditoría interna y/o externa de dichas actividades. ¿Qué actividades son las que se delegan habitualmente? 1. Administración, transmisión y/o procesamiento de datos 2. Administración de servicios o equipos relacionados con la seguridad de la información 3. Desarrollo de software, incluyendo la adquisición de desarrollos especiales de “software a medida” o módulos adaptados a las necesidades de la Organización. 4. Mantenimiento de equipos o consultoría especializada. Para delegar estas actividades es recomendable que los contratos celebrados entre las áreas tecnológicas o de seguridad de la información con Terceras Partes en quienes se delegarán servicios contemplen, entre otros de forma, los siguientes puntos: 1. Alcance de las actividades; 2. Niveles mínimos de prestación de servicio y su tipo / condiciones del servicio brindado; 3. Informar sobre la participación de subcontratistas, e incluirlos en los anexos de nómina 4. Resultado del análisis de riesgo efectuado sobre los procedimientos, para establecer el Riesgo Operativo asociado al Servicio. 5. Los mecanismos de notificación de cambios en el control accionario; 6. Los mecanismos de notificación de cambios de niveles gerenciales; 7. Resarcimiento hacia la Organización por daños económicos que causará el proveedor por: · No cumplir con fechas de implementación · Fallas del sistema que generen daños patrimoniales a la Organización · Demora en la entrega de la información a presentar a la Organización y que este Presente tarde la información al Ente respectivo · Información errónea presentada a la Organización y que presente daños de imagen o económicos para la Organización 8. El procedimiento por el cual las áreas tecnológicas y de seguridad de la Organización pueda obtener los datos, los programas fuentes, los manuales y la documentación técnica de los sistemas, ante cualquier situación que pudiera sufrir el proveedor por la cual dejara de prestar sus servicios o de operar en el mercado, a fin de poder asegurar la continuidad de procesamiento. 9. Un plan de contingencia del proveedor con el fin de no cesar en sus actividades normales y asegurar la continuidad del procesamiento ante cualquier situación que pudiera sufrir. 10. Mantener archivos de auditoría, tanto para acceso de la Organización o de auditorías externas.
  • 4. Principales Aspectos y Requisitos en la Contratación de Servicios Tecnológicos Entre las Gerencias de Tecnología y de Seguridad de la Información deben definir los planes de control y monitoreo de las actividades delegadas, los cuales se ejecutarán con una periodicidad acorde al nivel de criticidad de la actividad. Los planes deben estar alineados a lo establecido por la Política de Seguridad de la Información y su ejecución debe ser documentada. La documentación de la ejecución de los controles debe resguardarse por un período no inferior a 2 años, o de acuerdo a lo indicado por el marco regulatorio de la Organización. Fabian Descalzo 3 Aspectos y requisitos contractuales relacionados con la Seguridad de la Información: • Contar con una cláusula de confidencialidad • Incluir las penalidades relacionadas con la divulgación total o parcial de la información confiada • Incluir una clausula de responsabilidad por la integridad de los datos ante errores de operación • Incluir el conocimiento y consentimiento de las Políticas de Seguridad de la Organización por parte del proveedor • En el caso de tercerización de operaciones, debe acompañarse documentación relacionada a entregar al proveedor (normas, procedimientos, manuales, y documentación de soporte como checklist) e incluir su inventario en el contrato como “Anexo Técnico” • Exigir contractualmente evaluaciones de vulnerabilidad y pentest. • Exigir contractualmente la existencia de una estrategia de gestión de riesgos • Contemplar el derecho a realizar auditorías en las instalaciones del proveedor y a sus procesos asociados al servicio contratado, por parte de la Organización o de empresas contratadas para tal fin • Contemplar que cualquier Entidad Regulatoria (Nacional o Internacional) pueda acceder sin limitación, en cuanto a: el acceso a los datos y a toda documentación técnica relacionada (metodología del servicio, procedimientos internos del proveedor, etc.) y a la realización de auditorías periódicas en las instalaciones del proveedor. a definir por la Organización. En concreto el contrato de prestación de servicios debe suscribir como mínimo las siguientes clausulas orientadas a la seguridad de la información: • Régimen de los datos. Es esencial que el contrato especifique que el proveedor no puede disponer de los datos ni hacer uso de los mismos para ningún fin que no esté expresamente autorizado por la Organización. En caso que se trate de datos personales también es necesario el consentimiento del titular de los datos. • Cumplimiento de legislación de protección de datos de carácter personal y tarjeta-habiente. El proveedor ha de asumir expresamente el papel de encargado del tratamiento de datos que la Organización decida trasladar al CPD del Proveedor (sea el caso de servicios de housing/hosting o bien de cloud computing), con todas las obligaciones propias de tal figura tal y como se recogen en la
  • 5. Principales Aspectos y Requisitos en la Contratación de Servicios Tecnológicos Legislación Argentina. Además si el proveedor almacena la información de carácter personal en sistemas ubicados fuera de la República Argentina, ha de asumir las obligaciones que al encargado del tratamiento de datos de carácter personal le impone la Legislación Argentina, con independencia de la jurisdicción aplicable al territorio en el que se localizan los centros de proceso de datos. • Seguridad en el acceso. El proveedor ha de garantizar que la información solo será accesible a la Organización, y a quien él determine con los perfiles de acceso correspondientes. En caso de que la Organización trate datos especialmente protegidos, se incluirán cláusulas que garanticen su tratamiento con las medidas de seguridad que sean exigibles. • Integridad y conservación. El proveedor debe disponer de los mecanismos de recuperación ante desastres, continuidad en el servicio y copia de seguridad necesarios para garantizar la integridad y conservación de la información. Fabian Descalzo 4 • Disponibilidad. El proveedor debe garantizar una elevada disponibilidad del servicio, así como comprometerse a organizar las paradas programadas para mantenimiento con la suficiente antelación y dando aviso de las mismas al despacho. • Portabilidad. El proveedor ha de obligarse, a la terminación del servicio, a entregar toda la información a la Organización en el formato que se acuerde, para que éste pueda almacenarla en sus propios sistemas o bien trasladarla a los de un nuevo proveedor, en el plazo más breve posible y con total garantía de la integridad de la información. • Consecuencias para el caso de incumplimiento del proveedor. La falta de cumplimiento o el cumplimento diligente de las garantías ofrecidas a la Organización para la protección de datos por parte del proveedor permitirá excluir la responsabilidad de la Organización. Aspectos y requisitos funcionales • Al evaluar el contrato y antes de su firma, tanto la Organización como el prestador de servicios deben solicitar y ofrecer información detallada sobre las medidas que vayan a garantizar la seguridad y confidencialidad de los datos, intercambiando información sobre la naturaleza de los mismos para establecer un nivel de seguridad apropiado. • El proveedor debe garantizar la conservación de los datos, mediante la realización de copias de seguridad periódicas y dotando a su infraestructura de los mayores niveles de seguridad física y lógica. • El proveedor debe demostrar mecanismos seguros de autenticación para el acceso a la información. • El proveedor debe garantizar el cifrado de los datos almacenados dando a conocer a la Organización el
  • 6. Principales Aspectos y Requisitos en la Contratación de Servicios Tecnológicos nivel de seguridad ofrecido por las técnicas de cifrado de la información que aplique en sus sistemas • Se debe acordar el procedimiento de recuperación y migración de los datos a la terminación de la relación entre la Organización y el proveedor; así como el mecanismo de borrado de los datos por parte del proveedor una vez que estos han sido transferidos a la Organización o al nuevo proveedor designado por éste. • Solicitar al proveedor que su encargado del tratamiento establezca un registro de los accesos Fabian Descalzo 5 realizados a los datos críticos • En el caso de que no sea posible verificar directamente las medidas de seguridad del prestador de servicios, contemplar garantías alternativas que cumplan el mismo objetivo, como por ejemplo: o La intervención de un tercero independiente que audite las medidas de seguridad implantadas. o Contemplar que el proveedor posea una certificación SAS70, ISO 27001 o alguna que certifique el nivel de seguridad necesario, y solicitar los resultados de las auditorías periódicas de la certificación • Solicitar al proveedor la información relativa a su Sistema de Gestión de Incidentes de Seguridad, para que sean puestos en conocimiento a la Organización junto con las medidas adoptadas para corregir los daños producidos y evitar que se reproduzcan dichos incidentes. Condiciones para el control y registro Para acreditar que los procedimientos y medidas de seguridad aplicados al servicio a contratar cumplen con los distintos estándares y normas legales y pueda establecerse una metodología de monitoreo y control del servicio, la Organización debe tener acceso a un conjunto de documentos que especifiquen, como mínimo, los siguientes aspectos: • Ámbito de aplicación del conjunto de documentos (Marco Normativo del proveedor) con especificación detallada de los recursos protegidos. • Políticas, normas, procedimientos de actuación, reglas y estándares utilizados para garantizar el nivel de seguridad exigido en la normativa aplicable de protección de datos. • Procedimientos establecidos para comunicar los resultados de las auditorías exigidas por los estándares y normas aplicados a los ficheros tratados. • Funciones y obligaciones del personal en relación con el tratamiento de los datos. • En caso que el servicio incluya el alojamiento y tratamiento de datos personales, estructura de los ficheros y descripción de los sistemas de información que tratan los datos. • Procedimiento de notificación, gestión y respuesta ante incidentes. • Procedimientos de realización de copias de respaldo y de recuperación de los datos • Las medidas de seguridad que se adoptan en el transporte de soportes y documentos, así como para
  • 7. Principales Aspectos y Requisitos en la Contratación de Servicios Tecnológicos Fabian Descalzo 6 la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos. • Departamento o persona responsable de la aplicación de los procedimientos y medidas de seguridad. • Procedimiento establecido para acceder al registro de acceso a los datos cuando sean exigibles medidas de seguridad de nivel alto. En referencia a los controles y dependiendo del tipo de servicio, además de solicitar la evidencia de los procesos documentados debemos establecer un monitoreo de cumplimiento por parte del proveedor. Para ello puede establecerse un monitoreo de cumplimiento por tipo de servicio contratado, como por ejemplo en los asociados al Cloud Computing: IaaS PaaS SaaS • Seguridad física • Red y cifrado • Partes de la seguridad sobre el hardware (actualizaciones de firmware, etc.) • Seguridad en la plataforma de las aplicaciones • Seguridad física • Red y cifrado • Gestión de claves • Seguridad lógica • Política de seguridad • Seguridad física • Red y cifrado • Gestión de claves • Seguridad lógica • Partes de seguridad de las aplicaciones (parches, actualización de versiones, etc.) Y como adicional a lo ya indicado: • Verificar periódicamente la gestión de terceros del Proveedor • Auditar políticas, procesos y procedimientos de continuidad del proveedor y sus evaluaciones realizadas a terceros • Verificar el Marco Normativo y su cumplimiento en la gestión del servicio Información regulatoria sobre el almacenamiento de datos La Organización es responsable del tratamiento cuando contrate servicios de Terceras Partes y por ello debe velar porque el proveedor de servicios cumpla las regulaciones que le apliquen a la Organización, por ejemplo SOX, PCI, BCRA, incluyendo la legislación sobre protección de datos personales (Ley de Habeas Data N° 25.326). Por tanto, las garantías exigibles son las establecidas en las Leyes y sus reglamentaciones. Para el caso de Cloud Computing, por ejemplo, como posiblemente los datos no se almacenen en territorio argentino sino en un tercer país, el artículo 12 de la Ley de Habeas Data prevé la transferencia de datos personales a países terceros indicando que la transferencia ha de limitarse a naciones en las que los datos cuenten con lo que se define como “un nivel de protección adecuado”
  • 8. Principales Aspectos y Requisitos en la Contratación de Servicios Tecnológicos Fabian Descalzo 7 Recomendaciones finales Bien, para finalizar les dejo algunas recomendaciones adicionales: • Desarrollar una matriz de responsabilidad compartida entre el proveedor y la Organización • Asegurar la intervención interdisciplinaria de diferentes sectores de la Organización en sus proyectos (Legales, Tecnología, Seguridad Informática, Desarrollo, Facilities, etc.) • Orientar la selección a proveedores certificados • Ejecutar los controles y gestión de riesgos en forma continua • Mitigar los riesgos a través de contratos y SLAs orientados a los Controles y Gestión de Riesgo • Robustecer la seguridad en base a las capacidades del proveedor, y así reducir la carga “local” de cumplimiento al compartirla con el proveedor
  • 9. Principales Aspectos y Requisitos en la Contratación de Servicios Tecnológicos Fabian Descalzo 8 Fabián Descalzo Es Gerente de Governance, Risk Compliance (GRC) en Cybsec, Director Certificado en Seguridad de la Información (CAECE), certificado ITIL v3-2011 y auditor ISO 20000. Posee amplia experiencia en la implementación y cumplimiento de Leyes y Normativas Nacionales e Internacionales en compañías de primer nivel de diferentes áreas de negocio en la optimización y cumplimiento de la seguridad en sistemas de información, Gobierno de TI/SI y Continuidad del Negocio. Actualmente es responsable de servicios y soluciones en las áreas de Gobierno, Riesgos y Cumplimiento asociados al aseguramiento del Negocio.