Imprimir

 


banner_gigatic

 

antonioRamoslogo leet   Vendor Risk Management: No podrás vivir sin ella
 

Antonio Ramos. LEET Security

La transformación digital y fenómenos como el cloud computing hacen imposible detener la tendencia de utilización de servicios externos. ¿Cómo saber si se puede confiar en esos servicios externos? ¿Cómo controlar los riesgos de la shadowIT? ¿Cómo supervisar su evolución en el tiempo? Y más aún, ¿cómo hacerlo sin incurrir en un coste inviable?

La gestión del riesgo de seguridad de los proveedores utilizando un sistema de calificación es la única solución.

 

La subcontratación de servicios es una tendencia creciente que va de la mano de la digitalización de las compañías y de la viabilidad de nuevos modelos económicos como son los servicios basados en la nube (SaaS, especialmente).

Esta tendencia hace que cada vez, más usuarios estén contratando servicios sin la participación de TI o limitando mucho su capacidad de decisión sobre el servicio a ""comprar"" para la prestación de un servicio.

En paralelo, el nivel de servicio de nuestras organizaciones cada vez es más dependiente de proveedores externos (por no hablar, de los riesgos de cumplimiento que pasan a depender de un tercero, a pesar de mantener la responsabilidad).

Y todo ello, sin hablar de los proveedores ""no-conectados"": gestorias, consultoras, agencias de comunicación, traductores, etc...

Este escenario (que en el caso de muchas compañías hace que existan centenares de proveedores) hace que los responsables de TI/Seguridad deban abordar procesos de gestión de riesgos de proveedores (VRM, según la terminología de Garnter) para asegurar que dichos servicios no suponen un riesgo para los objetivos corporativos.

Pero estos procesos no son sencillos (perfilado de proveedores, definición de controles por nivel, necesidad de supervisar a los provedores...) e implican una amplia dedicación de recursos que, en muchos casos, hacen que se abandonen o se realicen con muy pocas garantías.

Veremos en la exposición, como una entidad a abordado este proceso aprovechando las capacidades que le proporciona un sistema de calificación de la seguridad realizado por una entidad tercera independiente que es compatible con otras entidades y que permite abordarlo a un coste marginal (a la vez que es más eficiente también para los proveedores de esa entidad).



Bio   Referencias

Antonio Ramos es Licenciado en Ciencias Económicas y Empresariales por la Universidad Complutense de Madrid y Máster en Auditoría de Cuentas por la Universidad Pontificia de Salamanca, Certified Information Systems Auditor (CISA), Certified Information Security Manager (CISM) y Certified in Risk and Information System Control (CRISC) por ISACA, CCSK por CSA, Certified Data Privacy Professional (CDPP) por DPI–Data Privacy Institute, ITIL Service Manager, COBIT 5 Foundation / Implementation / Assessor / Trainer.

En la actualidad es Socio Director de n+1 Intelligence & Research y CEO de leet security, además de Vicepresidente y past-president de ISACA Madrid, miembro del Government and Regulatory Advocacy Subcommittee 3 de ISACA e integrante de la Lista de Expertos de ENISA. Comenzó su carrera profesional como Auditor Informático en 1998 en EY en la que llegó a ser responsable del área Information Security Management del departamento de gestión de riesgos informáticos (TSRS). En 2004, se incorporó a S21sec, empresa especializada en ciberseguridad como Director de Consultoría y Auditoría Informática, ocupando posteriormente la responsabilidad del área de servicios gestionados de seguridad (UMSS) y participando en la puesta en marcha de su CSIRT y en la definición de la estrategia para la protección de infraestructuras críticas y la creación de equipos de respuesta a incidencias.

Especialista en gestión de la seguridad de la información conforme a estándares internacionales (COBIT, ITIL, ISO 27001...), actualmente se ha especializado en la consultoría estratégica y el gobierno de seguridad. Adicionalmente, ha estado homologado por PCI Security Standards Council para la realización de auditorías del estándar Payment Card Industry - Data Security entre 2005 y 2010. También ha sido miembro de la Junta Directiva del ISMS Forum Spain y es miembro fundador del capítulo español de la Cloud Security Alliance, CSA-ES y de los Subcomités 27 y 38 de AENOR.

 

Volver a la página de la agenda del congreso gigaTIC

 

 

Última actualización el Miércoles, 20 de Abril de 2016 13:54