miércoles, 4 de marzo de 2009

Cómo mitigar los riesgos en la seguridad de los datos al hacer outsourcing global (2 de 2)

Otras tareas

Tarea 2: Llevar a cabo una detallada evaluación previa de cada proveedor y cada sitio de entrega antes de la firma.
Haga su tarea. Revise las políticas de seguridad de información corporativas y las políticas de protección de la instalación física de los proveedores para garantizar todos los riesgos están cubiertos. Asegúrese de que existen controles de seguridad de red y que el sitio de la prestación está certificado internacionalmente de acuerdo con normas reconocidas de cumplimiento de seguridad incluyendo ISO 27001, BS 7799, SAS 70 y otras.

Tarea 3: Establecer un programa de evaluación y auditoría.
Se recomienda la revisión y la realización de auditorías en las políticas de seguridad del proveedor de servicio remoto sobre una base anual como mínimo. Con mayor frecuencia, considere la posibilidad de realizar un examen sobre el terreno de la zona y lugar específico utilizado para llevar a cabo los negocios de clientes a razón de dos veces al año, o cuantas considere oportunas de acuerdo con las necesidades de los proyectos y los riesgos.

Tarea 4: Crear obligaciones en materia de seguridad en el contrato de externalización.
Recomendamos a los clientes que todos los controles relacionados con la seguridad figuren en el contrato. En concreto, éste incluirá temas como un acuerdo de no divulgación, la verificación de antecedentes personales y evaluaciones de seguridad. Debe figurar en el contrato que el personal del proveedor de servicios no se puede destinar a un competidor directo durante un determinado período de tiempo, y también deben figurar las definiciones de violación de la seguridad y sus responsabilidades derivadas.

Tarea 5: Construir una cultura de seguridad en la organización.
Por encima de todo, una cultura de la seguridad es primordial y se inicia con un grupo de personas que impulsen esta iniciativa y refuercen constantemente el mensaje. Aquí hay cuatro iniciativas que deben considerarse para establecer una cultura de la seguridad:

a. Equipo de seguridad del cliente: los clientes deslocalizados han comenzado a crear los equipos de seguridad de TI, o, alternativamente, aumentar el número de personas en esos equipos. El equipo de seguridad es consciente de las cuestiones que puedan surgir y, por tanto, publica las políticas de seguridad aplicables a los prestadores de servicios y ayuda a asegurar los controles. El equipo asegura la formación continua de las personas involucradas por parte del cliente y por parte del proveedor de servicios.

b. Visitas de clientes: Recomendamos un calendario de visitas. Estas visitas ayudan los equipos del proveedor de servicios a apreciar los negocios de sus clientes y sus preocupaciones. Los clientes también deberían incluir la seguridad en la agenda de sus conversaciones con el personal del proveedor de servicios.

c. Evaluaciones formales: En general, las evaluaciones no se dan con regularidad suficiente y se deben realizar al menos una vez al año. Las evaluaciones mantienen abiertos los temas clave en cualquier debate sobre seguridad y mejoran la rendición de cuentas. Además, los proveedores de servicios deben realizar una evaluación voluntaria una vez al año y presentar los resultados a los clientes.

d. Formación continua: La mezcla de personas sin experiencia en el trabajo y de múltiples orígenes culturales acentúa la necesidad de un continuo programa de educación en torno a las políticas de seguridad corporativas.


Conclusión
A medida que las organizaciones abracen la deslocalización, los sistemas de TI y los datos estarán cada vez más dispersos. Un plan de seguridad bien definido que equilibre el control y la libertad puede ser eficaz en la asegurar datos y aumentar la confianza de los consumidores y otras partes interesadas.

De Indy Banerjee / Redacción
Visto en www.eweekeurope.es

No hay comentarios: