Panorama actual de la

externalizacin en sistemas IT, con

especial relevancia en los procesos
de seguridad de la informacin

Tendencias detectadas y aspectos

generales. Beneficios percibidos VS.
Reticencias subyacentes
 Preguntas previas

Externalizar o no externalizar sistemas IT ? Esa es la pregunta

En caso afirmativo, qu externalizo y con qu criterio?
Dos enfoques:
Riesgo de la externalizacin de sistemas como tal
reas externalizables (ej. seguridad de la informacin)
Externalizo sistemas, tecnologa, personas?
He analizado en profundidad todos los riesgos de la
externalizacin?
Tecnolgicos
Legales (sobre todo, laborales)
Nivel de servicio
Proteccin de datos
Reputacionales
He incluido dichos riesgos en mi anlisis coste-beneficio?
Y, en concreto, qu reas de la seguridad puedo externalizar?
Qu garantas de nivel de servicio y de responsabilidad exijo a
mis proveedores?
Qu reas de la seguridad de la informacin se
externalizan?

5,23% Seguridad tecnolgica

Aplicaciones de Firma
9,00% 19,00% electrnica
Almacenamiento remoto
(copias de seguridad)
1,00%
Adecuacin LOPD

Plan de continuidad de
17,00% negocio

Fuente: Estudio de la Ctedra de Riesgos en

Sistemas de Informacin Ao 2007
Realiza su empresa habitualmente auditorias de
sistemas de informacin?

2%
8%

No
S
NS/NC

90%

Fuente: Estudio de la Ctedra de Riesgos en

Sistemas de Informacin Ao 2007
Dispone su empresa de un departamento de
auditora de sistemas de informacin ?

S, dependiente de
S, dependiente de
Direccin General
6,27% Direccin General
6,27%
21,60% 1,05% No, las auditoras son
21,60% 1,05% No, las auditoras son
externas
externas

No,
No, no seno se realizan
realizan
peridicamente
peridicamente
12,20%
12,20% auditoras
auditoras
No, pero
No, est
peroprevista la
est prevista la
realizacin de auditoras
realizacin de auditoras
58,89%
58,89% en el prximo ejercicio
en el prximo ejercicio
NS/NC
NS/NC

Fuente: Estudio de la Ctedra de Riesgos en

Sistemas de Informacin Ao 2007
 Buenas prcticas (ISO27002)

Revisin independiente de la seguridad:

Revisin del enfoque de gestin de la seguridad de la informacin y su
implantacin (por ejemplo objetivos del control, controles, polticas,
procedimientos para seguridad de la informacin) de manera independiente,
planificada y peridica o cada vez que se producen cambios significativos en la
implantacin de la seguridad.
Por ejemplo, por medio de la figura de auditor interno, un gestor independiente o
una tercera parte especializada en ese tipo de revisiones

Riesgos derivados de la externalizacin de servicios IT:

Objetivo: Mantener la seguridad de la informacin de la organizacin as como la
de los dispositivos de tratamiento de informacin a los que acceden, procesan,
se comunican o son gestionados por partes externas.
Controles de acceso a los dispositivos de tratamiento de la informacin as como
al tratamiento y comunicacin de la informacin por partes externas.
Valoracin previa del riesgo en el acceso de la informacin de la organizacin
por terceros.
 Buenas prcticas (ISO27002)

Ejemplos de puntos de control (I):

Dispositivos de tratamiento de la informacin que requieren acceso de la
parte externa
Tipo de acceso que la parte externa tendr a la informacin y a los
dispositivos de tratamiento de la informacin, por ejemplo:
Fsico, a instalaciones/oficinas del cliente
Lgico, a sistemas de informacin de la Organizacin
Conectividad remota
Acceso in-site o off-site
Valor y sensibilidad de la informacin accedida por terceros
Controles necesarios para la proteccin de la informacin accedida por
partes externas
Identificacin del personal externo involucrado en el manejo de la
informacin de la organizacin
Gestin de los accesos autorizados a empresas externas (altas, bajas,
modificaciones, etc. Departamento/s implicado/s (Sistemas, RRHH,
Seguridad fsica, todos?)
 Buenas prcticas (ISO27002)

Ejemplos de puntos de control (II):

Soportes empleados por la empresa externa cuando almacena, procesa,
comunica, comparte e intercambia informacin (software empleado en su
proteccin: de la empresa cliente o del proveedor?
Cumplimiento de las polticas y procedimientos de seguridad del cliente
Requisitos legales, regulatorios y otras obligaciones contractuales
correspondiente a la parte externa que deberan ser tenidos en cuenta
(laborales, propiedad intelectual, proteccin de datos, licencias de software,
etc)
Impacto en el negocio de la no disponibilidad de las
personas/tecnologa/sistemas externos
Clusulas de auditora peridicas o exigencia del cumplimiento de
auditoras de obligado cumplimiento (por ejemplo, LOPD)
Posibilidad de subcontratacin de parte de los servicios
Fijacin en el contrato de prestacin de servicios de los puntos de control
Posibilidad de exigencia de seguros de responsabilidad civil
Cobertura de daos propios o responsabilidad civil por reclamaciones de terceros
Disponible tanto para clientes como proveedores de servicios.

La organizacin debera asegurarse de que la parte externa es consciente de sus

obligaciones y acepta las responsabilidades y limitaciones implicadas en el acceso,
tratamiento, comunicacin o gestin de la informacin y de los recursos de tratamiento
de la informacin de la organizacin.
 Buenas prcticas (ISO27002)

Acuerdo con distintos tipos de proveedores:

Servicios de seguridad gestionada;
Externalizacin de recursos y/o operaciones, por ejemplo sistemas de TI,
servicios de recopilacin de datos, centrales de llamada (call centre);
Consultores de gestin y de negocio, y auditores
Proveedores y suministradores, por ejemplo de telecomunicaciones y productos
y sistemas de software y TI;
Servicio de mantenimiento, limpieza, catering y otros servicios de soporte
externalizados
Personal de carcter temporal, contratacin de estudiantes y otros
nombramientos ocasionales a corto plazo.
 Inclusin en estndares de seguridad

Estndares de seguridad de datos de la industria de pagos con tarjeta (PCI

DSS)

Todo comercio o proveedor de servicios que almacene, procese y/o

transmita informacin de titulares de tarjeta debe cumplir con PCI DSS -
independientemente del tamao de la entidad y del volumen de
transacciones realizadas.

PCI DSS no slo es aplicable a informacin electrnica. Los negocios

estn obligados a disponer de material impreso que contenga los
detalles de las tarjetas de pago y de la informacin de titulares de tarjeta
de crdito en una forma apropiada.

En grandes entornos donde la gestin de los residuos est

subcontratada a contratistas como las empresas de destruccin de
papel, las empresas cliente deben asegurar que su proveedores de
servicio tambin cumplan PCI DSS.

Con carcter general, se extiende las responsabilidades de gestin de

riesgos a todos los participantes en la cadena de valor extendida.
Proteccin de datos (encargados del tratamiento)
Proteccin de datos: Prximamente en sus pantallas

Encargado del tratamiento (ET) Vs. Responsable del Fichero (RF):

Se considera comunicacin de datos cuando se produce un nuevo

vnculo entre la el encargado del tratamiento y el afectado.

El RF velar porque el ET rena las garantas para cumplir lo

dispuesto en el Reglamento.

El ET ser considerado RF si incumple las condiciones estipuladas en el

artculo 12 caso de infraccin en materia de proteccin de datos.

Posibilidad de subcontratacin de los servicios:

Regla general: s, si existe autorizacin del RF.
Excepciones: ser posible la subcontratacin sin autorizacin si:
1. Se especifican en el contrato los servicios que puedan ser
objeto de subcontratacin y la empresa con la que se vaya a
subcontratar.
2. Si el tratamiento de datos de carcter personal por parte del
subcontratista se ajuste a las instrucciones del responsable
del fichero.
3. Si el ET y la empresa subcontratista formalizan el contrato,
en los trminos previstos en el artculo anterior.

En estos casos, el subcontratista ser considerado ET.

Proteccin de datos: Prximamente en sus pantallas

Encargado del tratamiento (ET) Vs. Responsable del Fichero (RF):

Prestacin del servicio en los locales del RF: constancia en el

Documento de Seguridad del RF y cumplimiento de las medidas de
seguridad del RF por parte del personal del ET.

Accesos remotos del ET: compromiso de cumplimento de las medidas

de seguridad del RF.

Servicio prestado en locales del ET: documento de seguridad

especfico del fichero tratado o captulo especfico en el Documento de
seguridad del ET

Prestaciones sin acceso a datos personales: El RF adoptar las

medidas adecuadas para limitar el acceso del personal a datos
personales, a los soportes que los contengan o a los recursos del
sistema de informacin, para la realizacin de trabajos que no
impliquen el tratamiento de datos personales.
Cuando se trate de personal ajeno, el contrato de prestacin de
servicios recoger expresamente la prohibicin de acceder a los
datos personales y la obligacin de secreto respecto a los datos
que el personal hubiera podido conocer con motivo de la
prestacin del servicio.
4

Muchas gracias

Fernando Aparicio

faparicio@profesor.ie.edu
catedra.riesgos@ie.edu