SlideShare una empresa de Scribd logo

Principales aspectos y requisitos en contratos de servicios tenologicos

Fabián Descalzo
Fabián Descalzo

Consideraciones relacionadas con la responsabilidad sobre el tratamiento de los datos, normativa, seguridad y confidencialidad de los datos y aspectos esenciales del contrato de servicios desde el punto de vista técnico/funcional relacionado con la seguridad de la información

Educación
1 de 9
Descargar para leer sin conexión
Principales Aspectos y Requisitos en la Contratación de Servicios Tecnológicos Asegurando el Gobierno de Seguridad de la Información Consideraciones relacionadas con la responsabilidad sobre el tratamiento de los datos, normativa, seguridad y confidencialidad de los datos y aspectos esenciales del contrato de servicios desde el punto de vista técnico/funcional relacionado con la seguridad de la información
Principales Aspectos y Requisitos en la Contratación de Servicios Tecnológicos Contenido Delegación de actividades, no de responsabilidad ................................................................................................ 2 Aspectos y requisitos contractuales relacionados con la Seguridad de la Información: ....................................... 3 Aspectos y requisitos funcionales .......................................................................................................................... 4 Condiciones para el control y registro ................................................................................................................... 5 Información regulatoria sobre el almacenamiento de datos ................................................................................ 6 Recomendaciones finales ...................................................................................................................................... 7 Fabian Descalzo 1
Principales Aspectos y Requisitos en la Contratación de Servicios Tecnológicos Fabian Descalzo 2 Delegación de actividades, no de responsabilidad Definir un adecuado mecanismo de delegación de actividades propias de las áreas tecnológicas y de seguridad de la información hacia Terceras Partes, requiere de un enfoque práctico bajo el cual se establezcan pautas para facilitar la interlocución con los proveedores de servicios tecnológicos, el control sobre su gestión operativa y la revisión del cumplimiento regulatorio. La delegación de la operación no implica una delegación de responsabilidad, por lo cual aquello que dejemos de Operar/Administrar debemos Controlarlo/Auditarlo. Adicionalmente, no deben tercerizarse actividades con proveedores que a su vez tengan contratada la función de auditoría interna y/o externa de dichas actividades. ¿Qué actividades son las que se delegan habitualmente? 1. Administración, transmisión y/o procesamiento de datos 2. Administración de servicios o equipos relacionados con la seguridad de la información 3. Desarrollo de software, incluyendo la adquisición de desarrollos especiales de “software a medida” o módulos adaptados a las necesidades de la Organización. 4. Mantenimiento de equipos o consultoría especializada. Para delegar estas actividades es recomendable que los contratos celebrados entre las áreas tecnológicas o de seguridad de la información con Terceras Partes en quienes se delegarán servicios contemplen, entre otros de forma, los siguientes puntos: 1. Alcance de las actividades; 2. Niveles mínimos de prestación de servicio y su tipo / condiciones del servicio brindado; 3. Informar sobre la participación de subcontratistas, e incluirlos en los anexos de nómina 4. Resultado del análisis de riesgo efectuado sobre los procedimientos, para establecer el Riesgo Operativo asociado al Servicio. 5. Los mecanismos de notificación de cambios en el control accionario; 6. Los mecanismos de notificación de cambios de niveles gerenciales; 7. Resarcimiento hacia la Organización por daños económicos que causará el proveedor por: · No cumplir con fechas de implementación · Fallas del sistema que generen daños patrimoniales a la Organización · Demora en la entrega de la información a presentar a la Organización y que este Presente tarde la información al Ente respectivo · Información errónea presentada a la Organización y que presente daños de imagen o económicos para la Organización 8. El procedimiento por el cual las áreas tecnológicas y de seguridad de la Organización pueda obtener los datos, los programas fuentes, los manuales y la documentación técnica de los sistemas, ante cualquier situación que pudiera sufrir el proveedor por la cual dejara de prestar sus servicios o de operar en el mercado, a fin de poder asegurar la continuidad de procesamiento. 9. Un plan de contingencia del proveedor con el fin de no cesar en sus actividades normales y asegurar la continuidad del procesamiento ante cualquier situación que pudiera sufrir. 10. Mantener archivos de auditoría, tanto para acceso de la Organización o de auditorías externas.
Principales Aspectos y Requisitos en la Contratación de Servicios Tecnológicos Entre las Gerencias de Tecnología y de Seguridad de la Información deben definir los planes de control y monitoreo de las actividades delegadas, los cuales se ejecutarán con una periodicidad acorde al nivel de criticidad de la actividad. Los planes deben estar alineados a lo establecido por la Política de Seguridad de la Información y su ejecución debe ser documentada. La documentación de la ejecución de los controles debe resguardarse por un período no inferior a 2 años, o de acuerdo a lo indicado por el marco regulatorio de la Organización. Fabian Descalzo 3 Aspectos y requisitos contractuales relacionados con la Seguridad de la Información: • Contar con una cláusula de confidencialidad • Incluir las penalidades relacionadas con la divulgación total o parcial de la información confiada • Incluir una clausula de responsabilidad por la integridad de los datos ante errores de operación • Incluir el conocimiento y consentimiento de las Políticas de Seguridad de la Organización por parte del proveedor • En el caso de tercerización de operaciones, debe acompañarse documentación relacionada a entregar al proveedor (normas, procedimientos, manuales, y documentación de soporte como checklist) e incluir su inventario en el contrato como “Anexo Técnico” • Exigir contractualmente evaluaciones de vulnerabilidad y pentest. • Exigir contractualmente la existencia de una estrategia de gestión de riesgos • Contemplar el derecho a realizar auditorías en las instalaciones del proveedor y a sus procesos asociados al servicio contratado, por parte de la Organización o de empresas contratadas para tal fin • Contemplar que cualquier Entidad Regulatoria (Nacional o Internacional) pueda acceder sin limitación, en cuanto a: el acceso a los datos y a toda documentación técnica relacionada (metodología del servicio, procedimientos internos del proveedor, etc.) y a la realización de auditorías periódicas en las instalaciones del proveedor. a definir por la Organización. En concreto el contrato de prestación de servicios debe suscribir como mínimo las siguientes clausulas orientadas a la seguridad de la información: • Régimen de los datos. Es esencial que el contrato especifique que el proveedor no puede disponer de los datos ni hacer uso de los mismos para ningún fin que no esté expresamente autorizado por la Organización. En caso que se trate de datos personales también es necesario el consentimiento del titular de los datos. • Cumplimiento de legislación de protección de datos de carácter personal y tarjeta-habiente. El proveedor ha de asumir expresamente el papel de encargado del tratamiento de datos que la Organización decida trasladar al CPD del Proveedor (sea el caso de servicios de housing/hosting o bien de cloud computing), con todas las obligaciones propias de tal figura tal y como se recogen en la
Principales Aspectos y Requisitos en la Contratación de Servicios Tecnológicos Legislación Argentina. Además si el proveedor almacena la información de carácter personal en sistemas ubicados fuera de la República Argentina, ha de asumir las obligaciones que al encargado del tratamiento de datos de carácter personal le impone la Legislación Argentina, con independencia de la jurisdicción aplicable al territorio en el que se localizan los centros de proceso de datos. • Seguridad en el acceso. El proveedor ha de garantizar que la información solo será accesible a la Organización, y a quien él determine con los perfiles de acceso correspondientes. En caso de que la Organización trate datos especialmente protegidos, se incluirán cláusulas que garanticen su tratamiento con las medidas de seguridad que sean exigibles. • Integridad y conservación. El proveedor debe disponer de los mecanismos de recuperación ante desastres, continuidad en el servicio y copia de seguridad necesarios para garantizar la integridad y conservación de la información. Fabian Descalzo 4 • Disponibilidad. El proveedor debe garantizar una elevada disponibilidad del servicio, así como comprometerse a organizar las paradas programadas para mantenimiento con la suficiente antelación y dando aviso de las mismas al despacho. • Portabilidad. El proveedor ha de obligarse, a la terminación del servicio, a entregar toda la información a la Organización en el formato que se acuerde, para que éste pueda almacenarla en sus propios sistemas o bien trasladarla a los de un nuevo proveedor, en el plazo más breve posible y con total garantía de la integridad de la información. • Consecuencias para el caso de incumplimiento del proveedor. La falta de cumplimiento o el cumplimento diligente de las garantías ofrecidas a la Organización para la protección de datos por parte del proveedor permitirá excluir la responsabilidad de la Organización. Aspectos y requisitos funcionales • Al evaluar el contrato y antes de su firma, tanto la Organización como el prestador de servicios deben solicitar y ofrecer información detallada sobre las medidas que vayan a garantizar la seguridad y confidencialidad de los datos, intercambiando información sobre la naturaleza de los mismos para establecer un nivel de seguridad apropiado. • El proveedor debe garantizar la conservación de los datos, mediante la realización de copias de seguridad periódicas y dotando a su infraestructura de los mayores niveles de seguridad física y lógica. • El proveedor debe demostrar mecanismos seguros de autenticación para el acceso a la información. • El proveedor debe garantizar el cifrado de los datos almacenados dando a conocer a la Organización el
Principales Aspectos y Requisitos en la Contratación de Servicios Tecnológicos nivel de seguridad ofrecido por las técnicas de cifrado de la información que aplique en sus sistemas • Se debe acordar el procedimiento de recuperación y migración de los datos a la terminación de la relación entre la Organización y el proveedor; así como el mecanismo de borrado de los datos por parte del proveedor una vez que estos han sido transferidos a la Organización o al nuevo proveedor designado por éste. • Solicitar al proveedor que su encargado del tratamiento establezca un registro de los accesos Fabian Descalzo 5 realizados a los datos críticos • En el caso de que no sea posible verificar directamente las medidas de seguridad del prestador de servicios, contemplar garantías alternativas que cumplan el mismo objetivo, como por ejemplo: o La intervención de un tercero independiente que audite las medidas de seguridad implantadas. o Contemplar que el proveedor posea una certificación SAS70, ISO 27001 o alguna que certifique el nivel de seguridad necesario, y solicitar los resultados de las auditorías periódicas de la certificación • Solicitar al proveedor la información relativa a su Sistema de Gestión de Incidentes de Seguridad, para que sean puestos en conocimiento a la Organización junto con las medidas adoptadas para corregir los daños producidos y evitar que se reproduzcan dichos incidentes. Condiciones para el control y registro Para acreditar que los procedimientos y medidas de seguridad aplicados al servicio a contratar cumplen con los distintos estándares y normas legales y pueda establecerse una metodología de monitoreo y control del servicio, la Organización debe tener acceso a un conjunto de documentos que especifiquen, como mínimo, los siguientes aspectos: • Ámbito de aplicación del conjunto de documentos (Marco Normativo del proveedor) con especificación detallada de los recursos protegidos. • Políticas, normas, procedimientos de actuación, reglas y estándares utilizados para garantizar el nivel de seguridad exigido en la normativa aplicable de protección de datos. • Procedimientos establecidos para comunicar los resultados de las auditorías exigidas por los estándares y normas aplicados a los ficheros tratados. • Funciones y obligaciones del personal en relación con el tratamiento de los datos. • En caso que el servicio incluya el alojamiento y tratamiento de datos personales, estructura de los ficheros y descripción de los sistemas de información que tratan los datos. • Procedimiento de notificación, gestión y respuesta ante incidentes. • Procedimientos de realización de copias de respaldo y de recuperación de los datos • Las medidas de seguridad que se adoptan en el transporte de soportes y documentos, así como para
Principales Aspectos y Requisitos en la Contratación de Servicios Tecnológicos Fabian Descalzo 6 la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos. • Departamento o persona responsable de la aplicación de los procedimientos y medidas de seguridad. • Procedimiento establecido para acceder al registro de acceso a los datos cuando sean exigibles medidas de seguridad de nivel alto. En referencia a los controles y dependiendo del tipo de servicio, además de solicitar la evidencia de los procesos documentados debemos establecer un monitoreo de cumplimiento por parte del proveedor. Para ello puede establecerse un monitoreo de cumplimiento por tipo de servicio contratado, como por ejemplo en los asociados al Cloud Computing: IaaS PaaS SaaS • Seguridad física • Red y cifrado • Partes de la seguridad sobre el hardware (actualizaciones de firmware, etc.) • Seguridad en la plataforma de las aplicaciones • Seguridad física • Red y cifrado • Gestión de claves • Seguridad lógica • Política de seguridad • Seguridad física • Red y cifrado • Gestión de claves • Seguridad lógica • Partes de seguridad de las aplicaciones (parches, actualización de versiones, etc.) Y como adicional a lo ya indicado: • Verificar periódicamente la gestión de terceros del Proveedor • Auditar políticas, procesos y procedimientos de continuidad del proveedor y sus evaluaciones realizadas a terceros • Verificar el Marco Normativo y su cumplimiento en la gestión del servicio Información regulatoria sobre el almacenamiento de datos La Organización es responsable del tratamiento cuando contrate servicios de Terceras Partes y por ello debe velar porque el proveedor de servicios cumpla las regulaciones que le apliquen a la Organización, por ejemplo SOX, PCI, BCRA, incluyendo la legislación sobre protección de datos personales (Ley de Habeas Data N° 25.326). Por tanto, las garantías exigibles son las establecidas en las Leyes y sus reglamentaciones. Para el caso de Cloud Computing, por ejemplo, como posiblemente los datos no se almacenen en territorio argentino sino en un tercer país, el artículo 12 de la Ley de Habeas Data prevé la transferencia de datos personales a países terceros indicando que la transferencia ha de limitarse a naciones en las que los datos cuenten con lo que se define como “un nivel de protección adecuado”
Principales Aspectos y Requisitos en la Contratación de Servicios Tecnológicos Fabian Descalzo 7 Recomendaciones finales Bien, para finalizar les dejo algunas recomendaciones adicionales: • Desarrollar una matriz de responsabilidad compartida entre el proveedor y la Organización • Asegurar la intervención interdisciplinaria de diferentes sectores de la Organización en sus proyectos (Legales, Tecnología, Seguridad Informática, Desarrollo, Facilities, etc.) • Orientar la selección a proveedores certificados • Ejecutar los controles y gestión de riesgos en forma continua • Mitigar los riesgos a través de contratos y SLAs orientados a los Controles y Gestión de Riesgo • Robustecer la seguridad en base a las capacidades del proveedor, y así reducir la carga “local” de cumplimiento al compartirla con el proveedor
Principales Aspectos y Requisitos en la Contratación de Servicios Tecnológicos Fabian Descalzo 8 Fabián Descalzo Es Gerente de Governance, Risk Compliance (GRC) en Cybsec, Director Certificado en Seguridad de la Información (CAECE), certificado ITIL v3-2011 y auditor ISO 20000. Posee amplia experiencia en la implementación y cumplimiento de Leyes y Normativas Nacionales e Internacionales en compañías de primer nivel de diferentes áreas de negocio en la optimización y cumplimiento de la seguridad en sistemas de información, Gobierno de TI/SI y Continuidad del Negocio. Actualmente es responsable de servicios y soluciones en las áreas de Gobierno, Riesgos y Cumplimiento asociados al aseguramiento del Negocio.

Recomendados

TALLER DE CONTRATACIONES DEL ESTADO
TALLER DE CONTRATACIONES DEL ESTADOTALLER DE CONTRATACIONES DEL ESTADO
TALLER DE CONTRATACIONES DEL ESTADOTVPerú
 
8. tipos de auditoria en informatica
8. tipos de auditoria en informatica8. tipos de auditoria en informatica
8. tipos de auditoria en informaticaGemiunivo
 
Tdr alquiler 230 pcs anual 2021
Tdr alquiler 230 pcs anual 2021Tdr alquiler 230 pcs anual 2021
Tdr alquiler 230 pcs anual 2021Roberto384067
 
Regulación jurídica de la información y de los datos personales
Regulación jurídica de la información y de los datos personalesRegulación jurídica de la información y de los datos personales
Regulación jurídica de la información y de los datos personalesyamile bañuelos ramos
 
Propuesta de Negocio para Inversores
Propuesta de Negocio para InversoresPropuesta de Negocio para Inversores
Propuesta de Negocio para InversoresGlobal Negotiator
 
Alineamiento Estratégico de las Tecnologías de Información en las Empresas (v...
Alineamiento Estratégico de las Tecnologías de Información en las Empresas (v...Alineamiento Estratégico de las Tecnologías de Información en las Empresas (v...
Alineamiento Estratégico de las Tecnologías de Información en las Empresas (v...Walter Edison Alanya Flores
 
Ley de Comercio Electrónico
Ley de Comercio Electrónico Ley de Comercio Electrónico
Ley de Comercio ElectrónicoDanielaAnahy
 
Rol del auditor interno
Rol del auditor internoRol del auditor interno
Rol del auditor internomlemus1621
 

Recomendados

TALLER DE CONTRATACIONES DEL ESTADO
TALLER DE CONTRATACIONES DEL ESTADOTALLER DE CONTRATACIONES DEL ESTADO
TALLER DE CONTRATACIONES DEL ESTADOTVPerú
 
8. tipos de auditoria en informatica
8. tipos de auditoria en informatica8. tipos de auditoria en informatica
8. tipos de auditoria en informaticaGemiunivo
 
Tdr alquiler 230 pcs anual 2021
Tdr alquiler 230 pcs anual 2021Tdr alquiler 230 pcs anual 2021
Tdr alquiler 230 pcs anual 2021Roberto384067
 
Regulación jurídica de la información y de los datos personales
Regulación jurídica de la información y de los datos personalesRegulación jurídica de la información y de los datos personales
Regulación jurídica de la información y de los datos personalesyamile bañuelos ramos
 
Propuesta de Negocio para Inversores
Propuesta de Negocio para InversoresPropuesta de Negocio para Inversores
Propuesta de Negocio para InversoresGlobal Negotiator
 
Alineamiento Estratégico de las Tecnologías de Información en las Empresas (v...
Alineamiento Estratégico de las Tecnologías de Información en las Empresas (v...Alineamiento Estratégico de las Tecnologías de Información en las Empresas (v...
Alineamiento Estratégico de las Tecnologías de Información en las Empresas (v...Walter Edison Alanya Flores
 
Ley de Comercio Electrónico
Ley de Comercio Electrónico Ley de Comercio Electrónico
Ley de Comercio ElectrónicoDanielaAnahy
 
Rol del auditor interno
Rol del auditor internoRol del auditor interno
Rol del auditor internomlemus1621
 
Casos Prácticos: Sanciones a Proveedores en las Contrataciones del Estado
Casos Prácticos: Sanciones a Proveedores en las Contrataciones del EstadoCasos Prácticos: Sanciones a Proveedores en las Contrataciones del Estado
Casos Prácticos: Sanciones a Proveedores en las Contrataciones del EstadoOscar Saravia
 
Cumplimiento Circular G-140-2009-Perú
Cumplimiento Circular G-140-2009-PerúCumplimiento Circular G-140-2009-Perú
Cumplimiento Circular G-140-2009-PerúAranda Software
 
Legislacion de los delitos Informáticos en Mexico
Legislacion de los delitos Informáticos en MexicoLegislacion de los delitos Informáticos en Mexico
Legislacion de los delitos Informáticos en MexicoVanessaRamirezB
 
Auditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónAuditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónUniversidad San Agustin
 
Auditora de-redes
Auditora de-redesAuditora de-redes
Auditora de-redesalexaldaz5
 
Material de estudio (Derecho Informático)
Material de estudio (Derecho Informático)Material de estudio (Derecho Informático)
Material de estudio (Derecho Informático)informaticajuridicaugma
 
Cómo Contratar Exitosamente con el Estado - 2022
Cómo Contratar Exitosamente con el Estado - 2022Cómo Contratar Exitosamente con el Estado - 2022
Cómo Contratar Exitosamente con el Estado - 2022Oscar Saravia
 
Cómo Elaborar una Oferta Exitosa - 2022
Cómo Elaborar una Oferta Exitosa - 2022Cómo Elaborar una Oferta Exitosa - 2022
Cómo Elaborar una Oferta Exitosa - 2022Oscar Saravia
 
Plan de contingencia (control interno)
Plan de contingencia (control interno)Plan de contingencia (control interno)
Plan de contingencia (control interno)Pame3090
 
Plan de continuidad de negocio
Plan de continuidad de negocioPlan de continuidad de negocio
Plan de continuidad de negocioAndres Ldño
 
Sistemas de administracion del conocimiento a nivel empresarial
Sistemas de administracion del conocimiento a nivel empresarialSistemas de administracion del conocimiento a nivel empresarial
Sistemas de administracion del conocimiento a nivel empresarialCRISTOPHERSTEVENOSPI
 
Proyecto auditoria
Proyecto auditoriaProyecto auditoria
Proyecto auditoriaCARLOS martin
 
Nia 16, 17 y 18
Nia 16, 17 y 18Nia 16, 17 y 18
Nia 16, 17 y 18Yulieth Muñoz
 
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...UNEG-AS
 
AUDITORIA INFORMATICA
AUDITORIA INFORMATICAAUDITORIA INFORMATICA
AUDITORIA INFORMATICApersonal
 
SISTEMA DE INFORMACIÓN GERENCIAL
SISTEMA DE INFORMACIÓN GERENCIALSISTEMA DE INFORMACIÓN GERENCIAL
SISTEMA DE INFORMACIÓN GERENCIALNATHALY ARIAS
 
Auditoria informática
Auditoria informáticaAuditoria informática
Auditoria informáticaLuis Guallpa
 
Herramientas y técnicas para la auditoria informática
Herramientas y técnicas para la auditoria informáticaHerramientas y técnicas para la auditoria informática
Herramientas y técnicas para la auditoria informáticajoseaunefa
 
Presentación - Elaboración de Requerimientos.pdf
Presentación - Elaboración de Requerimientos.pdfPresentación - Elaboración de Requerimientos.pdf
Presentación - Elaboración de Requerimientos.pdfLinda Villegas
 
Evaluacion del proceso de datos y de los
Evaluacion del proceso de datos y de losEvaluacion del proceso de datos y de los
Evaluacion del proceso de datos y de losdianaamuyo
 
Ser compliance o pagar mas
Ser compliance o pagar masSer compliance o pagar mas
Ser compliance o pagar masFabián Descalzo
 
Diapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.tDiapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.tyuliaranda
 

Más contenido relacionado

La actualidad más candente

Casos Prácticos: Sanciones a Proveedores en las Contrataciones del Estado
Casos Prácticos: Sanciones a Proveedores en las Contrataciones del EstadoCasos Prácticos: Sanciones a Proveedores en las Contrataciones del Estado
Casos Prácticos: Sanciones a Proveedores en las Contrataciones del EstadoOscar Saravia
 
Cumplimiento Circular G-140-2009-Perú
Cumplimiento Circular G-140-2009-PerúCumplimiento Circular G-140-2009-Perú
Cumplimiento Circular G-140-2009-PerúAranda Software
 
Legislacion de los delitos Informáticos en Mexico
Legislacion de los delitos Informáticos en MexicoLegislacion de los delitos Informáticos en Mexico
Legislacion de los delitos Informáticos en MexicoVanessaRamirezB
 
Auditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónAuditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónUniversidad San Agustin
 
Auditora de-redes
Auditora de-redesAuditora de-redes
Auditora de-redesalexaldaz5
 
Material de estudio (Derecho Informático)
Material de estudio (Derecho Informático)Material de estudio (Derecho Informático)
Material de estudio (Derecho Informático)informaticajuridicaugma
 
Cómo Contratar Exitosamente con el Estado - 2022
Cómo Contratar Exitosamente con el Estado - 2022Cómo Contratar Exitosamente con el Estado - 2022
Cómo Contratar Exitosamente con el Estado - 2022Oscar Saravia
 
Cómo Elaborar una Oferta Exitosa - 2022
Cómo Elaborar una Oferta Exitosa - 2022Cómo Elaborar una Oferta Exitosa - 2022
Cómo Elaborar una Oferta Exitosa - 2022Oscar Saravia
 
Plan de contingencia (control interno)
Plan de contingencia (control interno)Plan de contingencia (control interno)
Plan de contingencia (control interno)Pame3090
 
Plan de continuidad de negocio
Plan de continuidad de negocioPlan de continuidad de negocio
Plan de continuidad de negocioAndres Ldño
 
Sistemas de administracion del conocimiento a nivel empresarial
Sistemas de administracion del conocimiento a nivel empresarialSistemas de administracion del conocimiento a nivel empresarial
Sistemas de administracion del conocimiento a nivel empresarialCRISTOPHERSTEVENOSPI
 
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...UNEG-AS
 
AUDITORIA INFORMATICA
AUDITORIA INFORMATICAAUDITORIA INFORMATICA
AUDITORIA INFORMATICApersonal
 
SISTEMA DE INFORMACIÓN GERENCIAL
SISTEMA DE INFORMACIÓN GERENCIALSISTEMA DE INFORMACIÓN GERENCIAL
SISTEMA DE INFORMACIÓN GERENCIALNATHALY ARIAS
 
Auditoria informática
Auditoria informáticaAuditoria informática
Auditoria informáticaLuis Guallpa
 
Herramientas y técnicas para la auditoria informática
Herramientas y técnicas para la auditoria informáticaHerramientas y técnicas para la auditoria informática
Herramientas y técnicas para la auditoria informáticajoseaunefa
 
Presentación - Elaboración de Requerimientos.pdf
Presentación - Elaboración de Requerimientos.pdfPresentación - Elaboración de Requerimientos.pdf
Presentación - Elaboración de Requerimientos.pdfLinda Villegas
 
Evaluacion del proceso de datos y de los
Evaluacion del proceso de datos y de losEvaluacion del proceso de datos y de los
Evaluacion del proceso de datos y de losdianaamuyo
 

La actualidad más candente (20)

Casos Prácticos: Sanciones a Proveedores en las Contrataciones del Estado
Casos Prácticos: Sanciones a Proveedores en las Contrataciones del EstadoCasos Prácticos: Sanciones a Proveedores en las Contrataciones del Estado
Casos Prácticos: Sanciones a Proveedores en las Contrataciones del Estado
 
Cumplimiento Circular G-140-2009-Perú
Cumplimiento Circular G-140-2009-PerúCumplimiento Circular G-140-2009-Perú
Cumplimiento Circular G-140-2009-Perú
 
Legislacion de los delitos Informáticos en Mexico
Legislacion de los delitos Informáticos en MexicoLegislacion de los delitos Informáticos en Mexico
Legislacion de los delitos Informáticos en Mexico
 
Auditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónAuditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - Introducción
 
Auditora de-redes
Auditora de-redesAuditora de-redes
Auditora de-redes
 
Material de estudio (Derecho Informático)
Material de estudio (Derecho Informático)Material de estudio (Derecho Informático)
Material de estudio (Derecho Informático)
 
Cómo Contratar Exitosamente con el Estado - 2022
Cómo Contratar Exitosamente con el Estado - 2022Cómo Contratar Exitosamente con el Estado - 2022
Cómo Contratar Exitosamente con el Estado - 2022
 
Cómo Elaborar una Oferta Exitosa - 2022
Cómo Elaborar una Oferta Exitosa - 2022Cómo Elaborar una Oferta Exitosa - 2022
Cómo Elaborar una Oferta Exitosa - 2022
 
Plan de contingencia (control interno)
Plan de contingencia (control interno)Plan de contingencia (control interno)
Plan de contingencia (control interno)
 
Plan de continuidad de negocio
Plan de continuidad de negocioPlan de continuidad de negocio
Plan de continuidad de negocio
 
Sistemas de administracion del conocimiento a nivel empresarial
Sistemas de administracion del conocimiento a nivel empresarialSistemas de administracion del conocimiento a nivel empresarial
Sistemas de administracion del conocimiento a nivel empresarial
 
Proyecto auditoria
Proyecto auditoriaProyecto auditoria
Proyecto auditoria
 
Nia 16, 17 y 18
Nia 16, 17 y 18Nia 16, 17 y 18
Nia 16, 17 y 18
 
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...
 
AUDITORIA INFORMATICA
AUDITORIA INFORMATICAAUDITORIA INFORMATICA
AUDITORIA INFORMATICA
 
SISTEMA DE INFORMACIÓN GERENCIAL
SISTEMA DE INFORMACIÓN GERENCIALSISTEMA DE INFORMACIÓN GERENCIAL
SISTEMA DE INFORMACIÓN GERENCIAL
 
Auditoria informática
Auditoria informáticaAuditoria informática
Auditoria informática
 
Herramientas y técnicas para la auditoria informática
Herramientas y técnicas para la auditoria informáticaHerramientas y técnicas para la auditoria informática
Herramientas y técnicas para la auditoria informática
 
Presentación - Elaboración de Requerimientos.pdf
Presentación - Elaboración de Requerimientos.pdfPresentación - Elaboración de Requerimientos.pdf
Presentación - Elaboración de Requerimientos.pdf
 
Evaluacion del proceso de datos y de los
Evaluacion del proceso de datos y de losEvaluacion del proceso de datos y de los
Evaluacion del proceso de datos y de los
 

Similar a Principales aspectos y requisitos en contratos de servicios tenologicos

Ser compliance o pagar mas
Ser compliance o pagar masSer compliance o pagar mas
Ser compliance o pagar masFabián Descalzo
 
Diapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.tDiapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.tyuliaranda
 
Diapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.tDiapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.tyuliaranda
 
Mi proveedor, mi socio: Contratación de terceras partes, cuando dejamos de ve...
Mi proveedor, mi socio: Contratación de terceras partes, cuando dejamos de ve...Mi proveedor, mi socio: Contratación de terceras partes, cuando dejamos de ve...
Mi proveedor, mi socio: Contratación de terceras partes, cuando dejamos de ve...Fabián Descalzo
 
Manual usuario 2014
Manual usuario 2014Manual usuario 2014
Manual usuario 2014Yue Jimenez
 
Manual usuario 2014
Manual usuario 2014Manual usuario 2014
Manual usuario 2014Juli Sure
 
Evaluación del proceso de datos
Evaluación del proceso de datos Evaluación del proceso de datos
Evaluación del proceso de datos favioVargasArevalo
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informaticaebonhoure
 
Po li tica seguridad informatica colombia tsg v1
Po li tica seguridad informatica colombia tsg v1Po li tica seguridad informatica colombia tsg v1
Po li tica seguridad informatica colombia tsg v1MayraAlejandraMolavo
 
Ejercicio sobre protección de datos y transparencia
Ejercicio sobre protección de datos y transparenciaEjercicio sobre protección de datos y transparencia
Ejercicio sobre protección de datos y transparenciaa2garriido
 
Manual politicas de seguridad grupo10
Manual politicas de seguridad grupo10Manual politicas de seguridad grupo10
Manual politicas de seguridad grupo10Eduardo Maradiaga
 
auditoria de sistemas - capitulo 5
auditoria de sistemas - capitulo 5auditoria de sistemas - capitulo 5
auditoria de sistemas - capitulo 5KarenSalazarOrtega
 
REVISTA CISALUD La salud por las nubes
REVISTA CISALUD La salud por las nubesREVISTA CISALUD La salud por las nubes
REVISTA CISALUD La salud por las nubesFabián Descalzo
 
Los desafíos que presenta la explosión de los medios digitales horacio granero
Los desafíos que presenta la explosión de los medios digitales horacio graneroLos desafíos que presenta la explosión de los medios digitales horacio granero
Los desafíos que presenta la explosión de los medios digitales horacio graneroamdia
 
Contratos InformáTicos (Mug 31 10 08)2
Contratos InformáTicos (Mug 31 10 08)2Contratos InformáTicos (Mug 31 10 08)2
Contratos InformáTicos (Mug 31 10 08)2whuertas
 
Principales areas de la auditoria informatica
Principales areas de la auditoria informaticaPrincipales areas de la auditoria informatica
Principales areas de la auditoria informaticaCarlos Ledesma
 

Similar a Principales aspectos y requisitos en contratos de servicios tenologicos (20)

Ser compliance o pagar mas
Ser compliance o pagar masSer compliance o pagar mas
Ser compliance o pagar mas
 
Diapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.tDiapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.t
 
Diapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.tDiapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.t
 
Mi proveedor, mi socio: Contratación de terceras partes, cuando dejamos de ve...
Mi proveedor, mi socio: Contratación de terceras partes, cuando dejamos de ve...Mi proveedor, mi socio: Contratación de terceras partes, cuando dejamos de ve...
Mi proveedor, mi socio: Contratación de terceras partes, cuando dejamos de ve...
 
Manual usuario 2014
Manual usuario 2014Manual usuario 2014
Manual usuario 2014
 
manual
manual manual
manual
 
Manual usuario 2014
Manual usuario 2014Manual usuario 2014
Manual usuario 2014
 
Evaluación del proceso de datos
Evaluación del proceso de datos Evaluación del proceso de datos
Evaluación del proceso de datos
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Po li tica seguridad informatica colombia tsg v1
Po li tica seguridad informatica colombia tsg v1Po li tica seguridad informatica colombia tsg v1
Po li tica seguridad informatica colombia tsg v1
 
Ejercicio sobre protección de datos y transparencia
Ejercicio sobre protección de datos y transparenciaEjercicio sobre protección de datos y transparencia
Ejercicio sobre protección de datos y transparencia
 
Manual politicas de seguridad grupo10
Manual politicas de seguridad grupo10Manual politicas de seguridad grupo10
Manual politicas de seguridad grupo10
 
auditoria de sistemas - capitulo 5
auditoria de sistemas - capitulo 5auditoria de sistemas - capitulo 5
auditoria de sistemas - capitulo 5
 
REVISTA CISALUD La salud por las nubes
REVISTA CISALUD La salud por las nubesREVISTA CISALUD La salud por las nubes
REVISTA CISALUD La salud por las nubes
 
Auditoria Fisica
Auditoria FisicaAuditoria Fisica
Auditoria Fisica
 
Modulo III, parte 4
Modulo III, parte 4Modulo III, parte 4
Modulo III, parte 4
 
Los desafíos que presenta la explosión de los medios digitales horacio granero
Los desafíos que presenta la explosión de los medios digitales horacio graneroLos desafíos que presenta la explosión de los medios digitales horacio granero
Los desafíos que presenta la explosión de los medios digitales horacio granero
 
Contratos InformáTicos (Mug 31 10 08)2
Contratos InformáTicos (Mug 31 10 08)2Contratos InformáTicos (Mug 31 10 08)2
Contratos InformáTicos (Mug 31 10 08)2
 
Principales areas de la auditoria informatica
Principales areas de la auditoria informaticaPrincipales areas de la auditoria informatica
Principales areas de la auditoria informatica
 
Diapositiva
DiapositivaDiapositiva
Diapositiva
 

Más de Fabián Descalzo

𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂Fabián Descalzo
 
CFOs Meeting 2023 | Ciberseguridad en el negocio
CFOs Meeting 2023 | Ciberseguridad en el negocioCFOs Meeting 2023 | Ciberseguridad en el negocio
CFOs Meeting 2023 | Ciberseguridad en el negocioFabián Descalzo
 
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS Fabián Descalzo
 
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOSCONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOSFabián Descalzo
 
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdfFabián Descalzo
 
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...Fabián Descalzo
 
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃Fabián Descalzo
 
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridadFabián Descalzo
 
Concientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfConcientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfFabián Descalzo
 
Mapa regional en ciberseguridad y gobierno IT.pdf
Mapa regional en ciberseguridad y gobierno IT.pdfMapa regional en ciberseguridad y gobierno IT.pdf
Mapa regional en ciberseguridad y gobierno IT.pdfFabián Descalzo
 
2022 BDO Gobierno de TI y Ciberseguridad.pdf
2022 BDO Gobierno de TI y Ciberseguridad.pdf2022 BDO Gobierno de TI y Ciberseguridad.pdf
2022 BDO Gobierno de TI y Ciberseguridad.pdfFabián Descalzo
 
Proteccion frente a ciberataques
Proteccion frente a ciberataques Proteccion frente a ciberataques
Proteccion frente a ciberataquesFabián Descalzo
 
Dia internacional ciberseguridad 30 noviembre 2021
Dia internacional ciberseguridad 30 noviembre 2021Dia internacional ciberseguridad 30 noviembre 2021
Dia internacional ciberseguridad 30 noviembre 2021Fabián Descalzo
 
2021 Mes de la ciberseguridad
2021 Mes de la ciberseguridad 2021 Mes de la ciberseguridad
2021 Mes de la ciberseguridadFabián Descalzo
 
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍALA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍAFabián Descalzo
 
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORESRIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORESFabián Descalzo
 
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018Fabián Descalzo
 
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUDGESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUDFabián Descalzo
 
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIOCIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIOFabián Descalzo
 
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...Fabián Descalzo
 

Más de Fabián Descalzo (20)

𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
 
CFOs Meeting 2023 | Ciberseguridad en el negocio
CFOs Meeting 2023 | Ciberseguridad en el negocioCFOs Meeting 2023 | Ciberseguridad en el negocio
CFOs Meeting 2023 | Ciberseguridad en el negocio
 
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
 
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOSCONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
 
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf
 
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
 
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
 
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
 
Concientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfConcientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdf
 
Mapa regional en ciberseguridad y gobierno IT.pdf
Mapa regional en ciberseguridad y gobierno IT.pdfMapa regional en ciberseguridad y gobierno IT.pdf
Mapa regional en ciberseguridad y gobierno IT.pdf
 
2022 BDO Gobierno de TI y Ciberseguridad.pdf
2022 BDO Gobierno de TI y Ciberseguridad.pdf2022 BDO Gobierno de TI y Ciberseguridad.pdf
2022 BDO Gobierno de TI y Ciberseguridad.pdf
 
Proteccion frente a ciberataques
Proteccion frente a ciberataques Proteccion frente a ciberataques
Proteccion frente a ciberataques
 
Dia internacional ciberseguridad 30 noviembre 2021
Dia internacional ciberseguridad 30 noviembre 2021Dia internacional ciberseguridad 30 noviembre 2021
Dia internacional ciberseguridad 30 noviembre 2021
 
2021 Mes de la ciberseguridad
2021 Mes de la ciberseguridad 2021 Mes de la ciberseguridad
2021 Mes de la ciberseguridad
 
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍALA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
 
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORESRIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
 
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
 
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUDGESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
 
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIOCIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
 
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
 

Último

MAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMarjorie Burga
 
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdfPlanificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdfDemetrio Ccesa Rayme
 
origen y desarrollo del ensayo literario
origen y desarrollo del ensayo literarioorigen y desarrollo del ensayo literario
origen y desarrollo del ensayo literarioELIASAURELIOCHAVEZCA1
 
Historia y técnica del collage en el arte
Historia y técnica del collage en el arteHistoria y técnica del collage en el arte
Historia y técnica del collage en el arteRaquel Martín Contreras
 
CALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADCALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADauxsoporte
 
Neurociencias para Educadores NE24 Ccesa007.pdf
Neurociencias para Educadores NE24 Ccesa007.pdfNeurociencias para Educadores NE24 Ccesa007.pdf
Neurociencias para Educadores NE24 Ccesa007.pdfDemetrio Ccesa Rayme
 
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLAACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLAJAVIER SOLIS NOYOLA
 
plande accion dl aula de innovación pedagogica 2024.pdf
plande accion dl aula de innovación pedagogica 2024.pdfplande accion dl aula de innovación pedagogica 2024.pdf
plande accion dl aula de innovación pedagogica 2024.pdfenelcielosiempre
 
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAFORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAEl Fortí
 
Cuaderno de trabajo Matemática 3 tercer grado.pdf
Cuaderno de trabajo Matemática 3 tercer grado.pdfCuaderno de trabajo Matemática 3 tercer grado.pdf
Cuaderno de trabajo Matemática 3 tercer grado.pdfNancyLoaa
 
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...JAVIER SOLIS NOYOLA
 
proyecto de mayo inicial 5 añitos aprender es bueno para tu niño
proyecto de mayo inicial 5 añitos aprender es bueno para tu niñoproyecto de mayo inicial 5 añitos aprender es bueno para tu niño
proyecto de mayo inicial 5 añitos aprender es bueno para tu niñotapirjackluis
 
Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.
Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.
Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.Alejandrino Halire Ccahuana
 
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdfEjercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdfMaritzaRetamozoVera
 
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VSOCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VSYadi Campos
 
La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.amayarogel
 
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...JAVIER SOLIS NOYOLA
 
Heinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativoHeinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativoFundación YOD YOD
 

Último (20)

MAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grande
 
Sesión de clase: Fe contra todo pronóstico
Sesión de clase: Fe contra todo pronósticoSesión de clase: Fe contra todo pronóstico
Sesión de clase: Fe contra todo pronóstico
 
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdfPlanificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
 
Medición del Movimiento Online 2024.pptx
Medición del Movimiento Online 2024.pptxMedición del Movimiento Online 2024.pptx
Medición del Movimiento Online 2024.pptx
 
origen y desarrollo del ensayo literario
origen y desarrollo del ensayo literarioorigen y desarrollo del ensayo literario
origen y desarrollo del ensayo literario
 
Historia y técnica del collage en el arte
Historia y técnica del collage en el arteHistoria y técnica del collage en el arte
Historia y técnica del collage en el arte
 
CALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADCALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDAD
 
Neurociencias para Educadores NE24 Ccesa007.pdf
Neurociencias para Educadores NE24 Ccesa007.pdfNeurociencias para Educadores NE24 Ccesa007.pdf
Neurociencias para Educadores NE24 Ccesa007.pdf
 
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLAACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
 
plande accion dl aula de innovación pedagogica 2024.pdf
plande accion dl aula de innovación pedagogica 2024.pdfplande accion dl aula de innovación pedagogica 2024.pdf
plande accion dl aula de innovación pedagogica 2024.pdf
 
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAFORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
 
Cuaderno de trabajo Matemática 3 tercer grado.pdf
Cuaderno de trabajo Matemática 3 tercer grado.pdfCuaderno de trabajo Matemática 3 tercer grado.pdf
Cuaderno de trabajo Matemática 3 tercer grado.pdf
 
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
 
proyecto de mayo inicial 5 añitos aprender es bueno para tu niño
proyecto de mayo inicial 5 añitos aprender es bueno para tu niñoproyecto de mayo inicial 5 añitos aprender es bueno para tu niño
proyecto de mayo inicial 5 añitos aprender es bueno para tu niño
 
Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.
Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.
Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.
 
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdfEjercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
 
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VSOCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
 
La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.
 
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
 
Heinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativoHeinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativo
 

Principales aspectos y requisitos en contratos de servicios tenologicos

  • 1. Principales Aspectos y Requisitos en la Contratación de Servicios Tecnológicos Asegurando el Gobierno de Seguridad de la Información Consideraciones relacionadas con la responsabilidad sobre el tratamiento de los datos, normativa, seguridad y confidencialidad de los datos y aspectos esenciales del contrato de servicios desde el punto de vista técnico/funcional relacionado con la seguridad de la información
  • 2. Principales Aspectos y Requisitos en la Contratación de Servicios Tecnológicos Contenido Delegación de actividades, no de responsabilidad ................................................................................................ 2 Aspectos y requisitos contractuales relacionados con la Seguridad de la Información: ....................................... 3 Aspectos y requisitos funcionales .......................................................................................................................... 4 Condiciones para el control y registro ................................................................................................................... 5 Información regulatoria sobre el almacenamiento de datos ................................................................................ 6 Recomendaciones finales ...................................................................................................................................... 7 Fabian Descalzo 1
  • 3. Principales Aspectos y Requisitos en la Contratación de Servicios Tecnológicos Fabian Descalzo 2 Delegación de actividades, no de responsabilidad Definir un adecuado mecanismo de delegación de actividades propias de las áreas tecnológicas y de seguridad de la información hacia Terceras Partes, requiere de un enfoque práctico bajo el cual se establezcan pautas para facilitar la interlocución con los proveedores de servicios tecnológicos, el control sobre su gestión operativa y la revisión del cumplimiento regulatorio. La delegación de la operación no implica una delegación de responsabilidad, por lo cual aquello que dejemos de Operar/Administrar debemos Controlarlo/Auditarlo. Adicionalmente, no deben tercerizarse actividades con proveedores que a su vez tengan contratada la función de auditoría interna y/o externa de dichas actividades. ¿Qué actividades son las que se delegan habitualmente? 1. Administración, transmisión y/o procesamiento de datos 2. Administración de servicios o equipos relacionados con la seguridad de la información 3. Desarrollo de software, incluyendo la adquisición de desarrollos especiales de “software a medida” o módulos adaptados a las necesidades de la Organización. 4. Mantenimiento de equipos o consultoría especializada. Para delegar estas actividades es recomendable que los contratos celebrados entre las áreas tecnológicas o de seguridad de la información con Terceras Partes en quienes se delegarán servicios contemplen, entre otros de forma, los siguientes puntos: 1. Alcance de las actividades; 2. Niveles mínimos de prestación de servicio y su tipo / condiciones del servicio brindado; 3. Informar sobre la participación de subcontratistas, e incluirlos en los anexos de nómina 4. Resultado del análisis de riesgo efectuado sobre los procedimientos, para establecer el Riesgo Operativo asociado al Servicio. 5. Los mecanismos de notificación de cambios en el control accionario; 6. Los mecanismos de notificación de cambios de niveles gerenciales; 7. Resarcimiento hacia la Organización por daños económicos que causará el proveedor por: · No cumplir con fechas de implementación · Fallas del sistema que generen daños patrimoniales a la Organización · Demora en la entrega de la información a presentar a la Organización y que este Presente tarde la información al Ente respectivo · Información errónea presentada a la Organización y que presente daños de imagen o económicos para la Organización 8. El procedimiento por el cual las áreas tecnológicas y de seguridad de la Organización pueda obtener los datos, los programas fuentes, los manuales y la documentación técnica de los sistemas, ante cualquier situación que pudiera sufrir el proveedor por la cual dejara de prestar sus servicios o de operar en el mercado, a fin de poder asegurar la continuidad de procesamiento. 9. Un plan de contingencia del proveedor con el fin de no cesar en sus actividades normales y asegurar la continuidad del procesamiento ante cualquier situación que pudiera sufrir. 10. Mantener archivos de auditoría, tanto para acceso de la Organización o de auditorías externas.
  • 4. Principales Aspectos y Requisitos en la Contratación de Servicios Tecnológicos Entre las Gerencias de Tecnología y de Seguridad de la Información deben definir los planes de control y monitoreo de las actividades delegadas, los cuales se ejecutarán con una periodicidad acorde al nivel de criticidad de la actividad. Los planes deben estar alineados a lo establecido por la Política de Seguridad de la Información y su ejecución debe ser documentada. La documentación de la ejecución de los controles debe resguardarse por un período no inferior a 2 años, o de acuerdo a lo indicado por el marco regulatorio de la Organización. Fabian Descalzo 3 Aspectos y requisitos contractuales relacionados con la Seguridad de la Información: • Contar con una cláusula de confidencialidad • Incluir las penalidades relacionadas con la divulgación total o parcial de la información confiada • Incluir una clausula de responsabilidad por la integridad de los datos ante errores de operación • Incluir el conocimiento y consentimiento de las Políticas de Seguridad de la Organización por parte del proveedor • En el caso de tercerización de operaciones, debe acompañarse documentación relacionada a entregar al proveedor (normas, procedimientos, manuales, y documentación de soporte como checklist) e incluir su inventario en el contrato como “Anexo Técnico” • Exigir contractualmente evaluaciones de vulnerabilidad y pentest. • Exigir contractualmente la existencia de una estrategia de gestión de riesgos • Contemplar el derecho a realizar auditorías en las instalaciones del proveedor y a sus procesos asociados al servicio contratado, por parte de la Organización o de empresas contratadas para tal fin • Contemplar que cualquier Entidad Regulatoria (Nacional o Internacional) pueda acceder sin limitación, en cuanto a: el acceso a los datos y a toda documentación técnica relacionada (metodología del servicio, procedimientos internos del proveedor, etc.) y a la realización de auditorías periódicas en las instalaciones del proveedor. a definir por la Organización. En concreto el contrato de prestación de servicios debe suscribir como mínimo las siguientes clausulas orientadas a la seguridad de la información: • Régimen de los datos. Es esencial que el contrato especifique que el proveedor no puede disponer de los datos ni hacer uso de los mismos para ningún fin que no esté expresamente autorizado por la Organización. En caso que se trate de datos personales también es necesario el consentimiento del titular de los datos. • Cumplimiento de legislación de protección de datos de carácter personal y tarjeta-habiente. El proveedor ha de asumir expresamente el papel de encargado del tratamiento de datos que la Organización decida trasladar al CPD del Proveedor (sea el caso de servicios de housing/hosting o bien de cloud computing), con todas las obligaciones propias de tal figura tal y como se recogen en la
  • 5. Principales Aspectos y Requisitos en la Contratación de Servicios Tecnológicos Legislación Argentina. Además si el proveedor almacena la información de carácter personal en sistemas ubicados fuera de la República Argentina, ha de asumir las obligaciones que al encargado del tratamiento de datos de carácter personal le impone la Legislación Argentina, con independencia de la jurisdicción aplicable al territorio en el que se localizan los centros de proceso de datos. • Seguridad en el acceso. El proveedor ha de garantizar que la información solo será accesible a la Organización, y a quien él determine con los perfiles de acceso correspondientes. En caso de que la Organización trate datos especialmente protegidos, se incluirán cláusulas que garanticen su tratamiento con las medidas de seguridad que sean exigibles. • Integridad y conservación. El proveedor debe disponer de los mecanismos de recuperación ante desastres, continuidad en el servicio y copia de seguridad necesarios para garantizar la integridad y conservación de la información. Fabian Descalzo 4 • Disponibilidad. El proveedor debe garantizar una elevada disponibilidad del servicio, así como comprometerse a organizar las paradas programadas para mantenimiento con la suficiente antelación y dando aviso de las mismas al despacho. • Portabilidad. El proveedor ha de obligarse, a la terminación del servicio, a entregar toda la información a la Organización en el formato que se acuerde, para que éste pueda almacenarla en sus propios sistemas o bien trasladarla a los de un nuevo proveedor, en el plazo más breve posible y con total garantía de la integridad de la información. • Consecuencias para el caso de incumplimiento del proveedor. La falta de cumplimiento o el cumplimento diligente de las garantías ofrecidas a la Organización para la protección de datos por parte del proveedor permitirá excluir la responsabilidad de la Organización. Aspectos y requisitos funcionales • Al evaluar el contrato y antes de su firma, tanto la Organización como el prestador de servicios deben solicitar y ofrecer información detallada sobre las medidas que vayan a garantizar la seguridad y confidencialidad de los datos, intercambiando información sobre la naturaleza de los mismos para establecer un nivel de seguridad apropiado. • El proveedor debe garantizar la conservación de los datos, mediante la realización de copias de seguridad periódicas y dotando a su infraestructura de los mayores niveles de seguridad física y lógica. • El proveedor debe demostrar mecanismos seguros de autenticación para el acceso a la información. • El proveedor debe garantizar el cifrado de los datos almacenados dando a conocer a la Organización el
  • 6. Principales Aspectos y Requisitos en la Contratación de Servicios Tecnológicos nivel de seguridad ofrecido por las técnicas de cifrado de la información que aplique en sus sistemas • Se debe acordar el procedimiento de recuperación y migración de los datos a la terminación de la relación entre la Organización y el proveedor; así como el mecanismo de borrado de los datos por parte del proveedor una vez que estos han sido transferidos a la Organización o al nuevo proveedor designado por éste. • Solicitar al proveedor que su encargado del tratamiento establezca un registro de los accesos Fabian Descalzo 5 realizados a los datos críticos • En el caso de que no sea posible verificar directamente las medidas de seguridad del prestador de servicios, contemplar garantías alternativas que cumplan el mismo objetivo, como por ejemplo: o La intervención de un tercero independiente que audite las medidas de seguridad implantadas. o Contemplar que el proveedor posea una certificación SAS70, ISO 27001 o alguna que certifique el nivel de seguridad necesario, y solicitar los resultados de las auditorías periódicas de la certificación • Solicitar al proveedor la información relativa a su Sistema de Gestión de Incidentes de Seguridad, para que sean puestos en conocimiento a la Organización junto con las medidas adoptadas para corregir los daños producidos y evitar que se reproduzcan dichos incidentes. Condiciones para el control y registro Para acreditar que los procedimientos y medidas de seguridad aplicados al servicio a contratar cumplen con los distintos estándares y normas legales y pueda establecerse una metodología de monitoreo y control del servicio, la Organización debe tener acceso a un conjunto de documentos que especifiquen, como mínimo, los siguientes aspectos: • Ámbito de aplicación del conjunto de documentos (Marco Normativo del proveedor) con especificación detallada de los recursos protegidos. • Políticas, normas, procedimientos de actuación, reglas y estándares utilizados para garantizar el nivel de seguridad exigido en la normativa aplicable de protección de datos. • Procedimientos establecidos para comunicar los resultados de las auditorías exigidas por los estándares y normas aplicados a los ficheros tratados. • Funciones y obligaciones del personal en relación con el tratamiento de los datos. • En caso que el servicio incluya el alojamiento y tratamiento de datos personales, estructura de los ficheros y descripción de los sistemas de información que tratan los datos. • Procedimiento de notificación, gestión y respuesta ante incidentes. • Procedimientos de realización de copias de respaldo y de recuperación de los datos • Las medidas de seguridad que se adoptan en el transporte de soportes y documentos, así como para
  • 7. Principales Aspectos y Requisitos en la Contratación de Servicios Tecnológicos Fabian Descalzo 6 la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos. • Departamento o persona responsable de la aplicación de los procedimientos y medidas de seguridad. • Procedimiento establecido para acceder al registro de acceso a los datos cuando sean exigibles medidas de seguridad de nivel alto. En referencia a los controles y dependiendo del tipo de servicio, además de solicitar la evidencia de los procesos documentados debemos establecer un monitoreo de cumplimiento por parte del proveedor. Para ello puede establecerse un monitoreo de cumplimiento por tipo de servicio contratado, como por ejemplo en los asociados al Cloud Computing: IaaS PaaS SaaS • Seguridad física • Red y cifrado • Partes de la seguridad sobre el hardware (actualizaciones de firmware, etc.) • Seguridad en la plataforma de las aplicaciones • Seguridad física • Red y cifrado • Gestión de claves • Seguridad lógica • Política de seguridad • Seguridad física • Red y cifrado • Gestión de claves • Seguridad lógica • Partes de seguridad de las aplicaciones (parches, actualización de versiones, etc.) Y como adicional a lo ya indicado: • Verificar periódicamente la gestión de terceros del Proveedor • Auditar políticas, procesos y procedimientos de continuidad del proveedor y sus evaluaciones realizadas a terceros • Verificar el Marco Normativo y su cumplimiento en la gestión del servicio Información regulatoria sobre el almacenamiento de datos La Organización es responsable del tratamiento cuando contrate servicios de Terceras Partes y por ello debe velar porque el proveedor de servicios cumpla las regulaciones que le apliquen a la Organización, por ejemplo SOX, PCI, BCRA, incluyendo la legislación sobre protección de datos personales (Ley de Habeas Data N° 25.326). Por tanto, las garantías exigibles son las establecidas en las Leyes y sus reglamentaciones. Para el caso de Cloud Computing, por ejemplo, como posiblemente los datos no se almacenen en territorio argentino sino en un tercer país, el artículo 12 de la Ley de Habeas Data prevé la transferencia de datos personales a países terceros indicando que la transferencia ha de limitarse a naciones en las que los datos cuenten con lo que se define como “un nivel de protección adecuado”
  • 8. Principales Aspectos y Requisitos en la Contratación de Servicios Tecnológicos Fabian Descalzo 7 Recomendaciones finales Bien, para finalizar les dejo algunas recomendaciones adicionales: • Desarrollar una matriz de responsabilidad compartida entre el proveedor y la Organización • Asegurar la intervención interdisciplinaria de diferentes sectores de la Organización en sus proyectos (Legales, Tecnología, Seguridad Informática, Desarrollo, Facilities, etc.) • Orientar la selección a proveedores certificados • Ejecutar los controles y gestión de riesgos en forma continua • Mitigar los riesgos a través de contratos y SLAs orientados a los Controles y Gestión de Riesgo • Robustecer la seguridad en base a las capacidades del proveedor, y así reducir la carga “local” de cumplimiento al compartirla con el proveedor
  • 9. Principales Aspectos y Requisitos en la Contratación de Servicios Tecnológicos Fabian Descalzo 8 Fabián Descalzo Es Gerente de Governance, Risk Compliance (GRC) en Cybsec, Director Certificado en Seguridad de la Información (CAECE), certificado ITIL v3-2011 y auditor ISO 20000. Posee amplia experiencia en la implementación y cumplimiento de Leyes y Normativas Nacionales e Internacionales en compañías de primer nivel de diferentes áreas de negocio en la optimización y cumplimiento de la seguridad en sistemas de información, Gobierno de TI/SI y Continuidad del Negocio. Actualmente es responsable de servicios y soluciones en las áreas de Gobierno, Riesgos y Cumplimiento asociados al aseguramiento del Negocio.