PDF Imprimir E-mail



logo_plumaestudiotiEspacio de estudio y aprendizaje para profesionales TI logo_zonaestudioti_v2

 

antonioRamoslogo leet

Vendor Risk Management: No podrás vivir sin ella

Antonio Ramos-LEET Security

 

Ponencia del Congreso Nacional GigaTIC16

 

La transformación digital y fenómenos como el cloud computing hacen imposible detener la tendencia de utilización de servicios externos. ¿Cómo saber si se puede confiar en esos servicios externos? ¿Cómo controlar los riesgos de la shadowIT? ¿Cómo supervisar su evolución en el tiempo? Y más aún, ¿cómo hacerlo sin incurrir en un coste inviable?

La gestión del riesgo de seguridad de los proveedores utilizando un sistema de calificación es la única solución.

La subcontratación de servicios es una tendencia creciente que va de la mano de la digitalización de las compañías y de la viabilidad de nuevos modelos económicos como son los servicios basados en la nube (SaaS, especialmente).

Esta tendencia hace que cada vez, más usuarios estén contratando servicios sin la participación de TI o limitando mucho su capacidad de decisión sobre el servicio a ""comprar"" para la prestación de un servicio.

En paralelo, el nivel de servicio de nuestras organizaciones cada vez es más dependiente de proveedores externos (por no hablar, de los riesgos de cumplimiento que pasan a depender de un tercero, a pesar de mantener la responsabilidad).

Y todo ello, sin hablar de los proveedores ""no-conectados"": gestorias, consultoras, agencias de comunicación, traductores, etc...

Este escenario (que en el caso de muchas compañías hace que existan centenares de proveedores) hace que los responsables de TI/Seguridad deban abordar procesos de gestión de riesgos de proveedores (VRM, según la terminología de Garnter) para asegurar que dichos servicios no suponen un riesgo para los objetivos corporativos.

Pero estos procesos no son sencillos (perfilado de proveedores, definición de controles por nivel, necesidad de supervisar a los provedores...) e implican una amplia dedicación de recursos que, en muchos casos, hacen que se abandonen o se realicen con muy pocas garantías.

Veremos en la exposición, como una entidad a abordado este proceso aprovechando las capacidades que le proporciona un sistema de calificación de la seguridad realizado por una entidad tercera independiente que es compatible con otras entidades y que permite abordarlo a un coste marginal (a la vez que es más eficiente también para los proveedores de esa entidad).

 

 

 

PDF   VIDEO



Presentación en pdf (no sincronizada con el video).
Si tienes problemas para ver el pdf incrustado, haz loggin en tu cuenta Gmail o accede a: abrir PDF en una ventana independiente.
 

Si tienes problemas para ver el video incrustado: abrir video en una ventana independiente.
     

 

BIOAntonio    

 Antonio es:

Licenciado en Ciencias Económicas y Empresariales por la Universidad Complutense de Madrid y Máster en Auditoría de Cuentas por la Universidad Pontificia de Salamanca, Certified Information Systems Auditor (CISA), Certified Information Security Manager (CISM) y Certified in Risk and Information System Control (CRISC) por ISACA, CCSK por CSA, Certified Data Privacy Professional (CDPP) por DPI–Data Privacy Institute, ITIL Service Manager, COBIT 5 Foundation / Implementation / Assessor / Trainer.

En la actualidad es Socio Director de n+1 Intelligence & Research y CEO de leet security, además de Vicepresidente y past-president de ISACA Madrid, miembro del Government and Regulatory Advocacy Subcommittee 3 de ISACA e integrante de la Lista de Expertos de ENISA. Comenzó su carrera profesional como Auditor Informático en 1998 en EY en la que llegó a ser responsable del área Information Security Management del departamento de gestión de riesgos informáticos (TSRS). En 2004, se incorporó a S21sec, empresa especializada en ciberseguridad como Director de Consultoría y Auditoría Informática, ocupando posteriormente la responsabilidad del área de servicios gestionados de seguridad (UMSS) y participando en la puesta en marcha de su CSIRT y en la definición de la estrategia para la protección de infraestructuras críticas y la creación de equipos de respuesta a incidencias.

Especialista en gestión de la seguridad de la información conforme a estándares internacionales (COBIT, ITIL, ISO 27001...), actualmente se ha especializado en la consultoría estratégica y el gobierno de seguridad. Adicionalmente, ha estado homologado por PCI Security Standards Council para la realización de auditorías del estándar Payment Card Industry - Data Security entre 2005 y 2010. También ha sido miembro de la Junta Directiva del ISMS Forum Spain y es miembro fundador del capítulo español de la Cloud Security Alliance, CSA-ES y de los Subcomités 27 y 38 de AENOR.

 

 


Ir a página índice de la zonaESTUDIOti


Ir a página de la agenda del congreso nacional GigaTIC16

Ir a página de AgendaITSM

 

 

 

Última actualización el Jueves, 27 de Abril de 2017 12:48