lunes, 12 de mayo de 2014

Marco de seguridad de datos accedidos por terceros en 5 pasos

La seguridad de los datos ha estado entre las tareas prioritarias del responsable de seguridad. En la actualidad esta tarea ha cobrado mayor importancia debido a los siguientes factores:

  • Incremento de los requerimientos de cumplimiento de la legislación vigente sobre protección de datos personales, protección de datos de tarjetas de debido y crédito, blanqueo de capitales, entre otros requerimientos regulatorios.
  • Los datos del negocio son accedidos desde distintos puntos, distintos repositorios y por diferentes tipos de usuario empleados, operadores/administradores/programadores de las compañías de servicios TI contratadas.
  • La creciente externalización de servicios a proveedores de TI (comunicaciones, alojamiento de servidores, explotación de sistemas, etc).
  • Incidentes de pérdida de datos,  sanciones e investigaciones de  organismos reguladores locales y Europeos.



 Para construir un Marco de gestión de la seguridad de datos accedidos por terceros, aconsejamos seguir los siguientes pasos:

 1. Definir el enfoque global para la identificación y categorización de proveedores:
  • Crear un inventario de proveedores.
  • Evaluar el riesgo de seguridad de datos.
  • Priorizar y clasificar los proveedores por el nivel de seguridad de datos.
  • Desarrollar e implementar un programa para mitigar los riesgos identificados.

2. Estandarizar el procesos de gestión de la seguridad del acceso a datos por terceros:
  • Revisión anual de contratos.
  • Definición obligaciones contractuales basadas en requerimientos de seguridad.
  • Desarrollar e implementar indicadores de seguimiento y revisar de forma periódica dichos indicadores.
  • Definir reuniones de seguimiento de los requerimientos de seguridad con los proveedores.
  • Definir un calendario de visitas anuales/regulares según el tipo de proveedor.
  • Realizar auditorias a las operaciones del proveedor.
  • Establecer requerimientos adicionales de seguridad a los proveedores de riesgo alto.

3. Definir el marco de seguridad de datos:
  • Desarrollar e implementar las políticas y procedimientos con los requerimientos de seguridad dirigidos a terceros que acceden datos personales y del negocio.
  • Definir controles técnicos para el control de accesos, caducidad de conexiones remotas, registros de auditoria para la descarga de datos, traspaso de programas al entorno de producción, etc.
  • Definición de roles de usuario con accesos específicos, asignación de privilegios basados en funciones específicas.
  • Revisión mensual de accesos asignados, supervisar la rotación de personal del proveedor
  • Establecer un programa de concienciación del personal interno y del proveedor.

4. Definir roles y responsabilidades:
  • Establecer el rol de responsable del servicio en ambas partes (tanto en la compañía como en el proveedor).
  • Establecer responsabilidades a los responsables.
  • Definir una matriz RACI incluyendo a todos los niveles que intervienen en la prestación del servicio.
  • Establecer el proceso de revisión de los roles cuando se realicen cambios en el servicio.

5. Monitorizar la ejecución del marco de gestión:
  • Revisión de la ejecución de indicadores de seguimiento.
  • Revisión de la ejecución de los controles técnicos, registros de auditoria, cambios de claves de acceso, etc.
  • Revisión de la aplicación de las políticas y procedimientos definidos, revisiones de accesos, autorizaciones, actas de reuniones con el proveedor.




Publicado por
Etiquetas: , , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)