Javier Córdova nos explica los lineamientos que debemos contemplar a la hora de gestionar los servicios con terceros.
Enlace del video del webinar: https://www.youtube.com/watch?v=0-9z9ugjbvM&t=679s
15. 0. Marco de la gestión de proveedores
➢ Conciencia de la importancia de la seguridad en proveedores para toda la organización, en especial
a los tomadores de decisiones.
➢ Categorizar los servicios de la organización.
➢ Definir e implementar el concepto de servicios importantes para la Seguridad de la Información.
➢ Definición de las responsabilidades sobre seguridad en proveedores.
➢ Combatir el Shadow Service. Definir un plan de comunicación consistente para que los evaluadores
de riesgos de servicios estén al tanto de su aparición oportunamente.
➢ Definir criterios de elección de proveedores, en donde deben hacerse presente los criterios de
Seguridad para proveedores.
➢ Definir lineamientos generales de Seguridad para proveedores.
16. 1. Definición del servicio
➢ Evitar adquirir servicios importantes para la seguridad de la información.
➢ Entender el requerimiento inicial del servicio desde la óptica del proceso.
2. Evaluación de Proveedores
➢ Participar en las entrevistas con la terna de escogida por el cliente para así
estimar su seguridad.
➢ Solicitar checklist de seguridad para completar la estimación inicial.
➢ Calificar a los proveedores de acuerdo a los criterios definidos en el punto 0.
17. 3. Negociaciones con el ganador
➢ Solicitar el flujo de información de la organización respecto al proveedor y su
servicio.
➢ Definir reuniones para absolver cuestiones importantes respecto a la
seguridad.
➢ Evaluar los riesgos de información del proveedor.
➢ Compartir los resultados con el área cliente.
➢ Enviar los términos de Seguridad al proveedor.
○ Control de Recursos Humanos
○ Auditorías
○ Cumplimiento Normativo
○ Términos Específicos (de acuerdo al servicio)
○ Otros
➢ Negociar.
18.
19. 4. La operación del servicio
➢ Aplicar los acuerdos contractuales respecto a la monitorización.
○ Firma de acuerdos de confidencialidad
○ Entrega de información inicial del proveedor
○ Auditoría
5. La salida del servicio
➢ Entrega de todos los activos de información de la organización.