ITGSM14. "Estándares de Confianza y Transparencia para proveedores cloud: Los grandes desconocidos. Daniel Madrid Díaz



Documentos relacionados
Esquema Nacional de Seguridad Un enfoque pragmático

Sociedad de la Información. en la Comunidad Valenciana (IV) Riesgos en un escenario de incertidumbre

TREDISEC: hacia unas infraestructuras Cloud más seguras y confiables

TALLER: BUENAS PRÁCTICAS DE GESTIÓN DE SERVICIOS DE T.I/ Fundamentos de ITIL

El cambio del SAS 70 al nuevo estándar SSAE 16 y ISAE3402. Presidente, ISACA São Paulo Chapter, Brasil

XII JICS 25 y 26 de noviembre de 2010

INFORMACIÓN ENVIADA Y CERTIFICACIONES DE AZURE. pandasecurity.com

Management s Assertion

Seguridad en la Nube Continuidad Operacional

La migración de información hacia plataformas digitales, abiertas e interconectadas hace de la seguridad informática un asunto crítico de negocio.

La Arquitectura Empresarial como Apoyo al Gobierno de TI

Global Business Services. Sarbanes-Oxley (SOx), Sec 404 y su impacto en TI

ASPECTOS DE SEGURIDAD EN CLOUD COMPUTING

Introducción al curso

INNOVACION PARA ALCANZAR LA EXCELENCIA EN SUPPLY CHAIN

Action Required by September 30, 2018 in order to Participate as a Provider in the Puerto Rico Medicaid Government Health Plan Program

Esquema Nacional de Interoperabilidad Aplicación práctica

IT-GOVERNANCE. Strategy, Management and Measurement

Formación de I+D+i en ciberdefensa

Departamento Organización de Empresas TESIS DOCTORAL. Arquitectura, Metodología y Plataforma Tecnológica para

Modelo de Madurez para la Externalización de Servicios de TI

Esquema de Certificación Abierto

ASPECTOS A CONSIDERAR DEL CLOUD COMPUTING

La seguridad informática en la PYME Situación actual y mejores prácticas

International Standards for running testing laboratories

UNIDAD II. Las T.I. en los procesos organizacionales. 2.1 Diagnóstico de la organización en el área

Gestión de monitoreo eficiente. Ing. Paula Suarez Miembro ISSA Docente UTN FRBA. ISSA - Argentina

IDEAS INNOVATION PLANNING THINKING DESIRE MISSION RIGHT OBJECTIVES QUESTION DOING G O A L S F U T U R E NOW VISION ORGANIZATION

ITGSM. PMO y SMO. Diferencias, Similitudes y Colaboración ACADEMIC IX CONGRESO ACADÉMICO INTERNACIONAL DE GOBIERNO Y GESTIÓN TIC.

SISTEMA NACIONAL DE CAPACITACION DISEÑO DE LA ACTIVIDAD

FACULTAD DE INGENIERÍA, ARQUITECTURA Y URBANISMO

Monitoring and Operating a Private Cloud with System Center 2012 (Exam )

Transformación del área de Ciberseguridad. Julio César Ardita Socio CYBSEC by Deloitte

Cyber-attacks in the Digital Age. Four eyes see more than two

ANEXO Definiciones Generales. (TOGAF - The Open Group Architecture Framework)

Mi Amor por COBIT 5. José Ángel Peña Ibarra, CGEIT CRISC, COBIT 5 Accredited Trainer ISACA Monterrey

Normativas relacionadas con Seguridad Informática

Sincronice el servicio y costo en tiempo real a través de S&OP by HANA. Jair Cuervo SCM, Manufacturing Product Specialist

EXTRACTO DEL DOCUMENTO UNE-EN ISO/IEC

La importancia del Gobierno del Dato en entornos regulados. Aspectos específicos de GDPR

Gobierno corporativo y balance. social

ISO Gestión de Servicios TI

Hay variedad de tipos de nube - cuál se ajusta a las necesidades de su empresa? Juan Carlos Avila Especialista Tecnología

Modelo de Seguridad de la Información. Javier Díaz Evans Junio 2011

Finalistas VIII Convocatoria de

El Outsourcing. Una estrategia de valor añadido para el negocio

Gestión eficiente y ágil de las políticas y reglas de negocio Alex Martínez

Nuevo modelo de evaluación de procesos de TI de ISACA basado en COBIT (PAM)

DIFERENCIAS ENTRE LA ISO 9001:2008 Y LA ISO 9001:2015

Mesa redonda LA GESTIÓN DE LAS TECNOLOGIAS.

Gobernabilidad de Servicios Administrados de Desarrollo de SW bajo en esquema de Outsourcing

REVOLUCIONANDO SAP Antonio Freitas, Senior SAP Solutions Architect, Virtustream EMEA

REVISIÓN DE LA NORMA ISO 14001

SISTEMA DE GESTION DE PREVENCIÓN DEL DELITO

Crédito y el rol de los Stakeholders y Gobiernos Corporativos.

Éxito asegurado en la carretera. Gracias a Conti360 Fleet Services.

Licenciatura en CONTADURIA. Tema: OPINIÓN SOBRE EL CONTROL INTERNO CONTABLE

ARIS Solution for Governance, Risk & Compliance Management. Ensure Business Compliance

Claves para la adopción de La. Gustavo Pifarre Strategic IT Advisory Services, HP Technology Consulting 30 de Mayo del 2012

campañas publicitarias ráfica packaging Imagen & comunicación corporativa marketing directo & promocional PLV & merchandising

Triple-S Salud, Inc. is an independent licensee of BlueCross BlueShield Association.

Security and Privacy in Smart Cities

IFMA ESPAÑA Comisión de Normativas y Estándares NORMA EN-15221

EN LA ADMINISTRACIÓN UN ECOSISTEMA TIC SOSTENIBLE. II Encuentro DINTEL del Sector Público Santander 2010

PRINCE2 Foundation Certification PRINCE2

Normativa y certificación en la Nube

Política y Regulación

XXV aniversario de la Estadística Oficial en Andalucía Jornada técnica El valor de la información: el reto del Big Data

EL CONTROL INTERNO, RESPONSABILIDAD DE TODOS INTERNAL CONTROL, EVERYONE S RESPONSABILITY

CONTROL INTERNO Y GESTIÓN DE RIESGOS PARA CONTABLES

ISO Anti Bribery Management Systems Requirement with guidance for use. El valor de la confianza

SISTEMA DE GESTIÓN DE ASEGURAMIENTO

Gestión de la Seguridad y Salud en el Trabajo Basado en el Comportamiento de los Trabajadores de una Empresa de Transmisión de Energía Eléctrica

La firma electrónica: especialización y oportunidades profesionales

T I T U L O I N O R M A S G E N E R A L E S 1/21

El proceso de adopción de Cloud: los 12 pasos clave para las empresas

EMPAQUETAMIENTO DE OBJETOS DE APRENDIZAJE BAJO EL ESTANDAR SCORM.

SEGURIDAD DE LA INFORMACIÓN

DIPLOMATURA INTERNACIONAL MANAGER SEGURIDAD DE LA INFORMACION Martin Vila

Diplomado Gestión de la Seguridad de la Información

PROPUESTA DE CONTENIDOS

Cómo mantener la seguridad en la nube? Tendencias y mejores prácticas

ENQA SEMINAR FOR RECENTLY REVIEWED AGENCIES The Hague, October EXTERNAL REVIEW AS DEVELOPMENT PROCESS OF THE AGENCY Antonio Serrano

NORMA TÉCNICA NTC-ISO/IEC COLOMBIANA 25000

DocuWare cumple importantes normas y requisitos legales

B Corps. Un movimiento global para transformar el modelo de éxito empresarial

BSM, ITIL y la ISO 20000: Evolución en la Gestión de Servicios de TI

Centro Andaluz de Innovación y Tecnologías de la Información y las Comunicaciones - CITIC

Asegure el cumplimiento normativo 360 grados con una solución de seguridad integrada: RGPD, ISO 27001, SOC 2, PCI DSS

Taller Especializado en Procesos de Acreditación

Organización de Aviación Civil Internacional. Cuestión 8 del Iniciativas Regionales sobre la Seguridad Operacional

Porque COBIT5 como marco de Gobierno de TI y como certificarse en Gobierno de TI

Guía Docente 2015/2016

SOLUCIÓN LIQUIDACIÓN EN CRUCERO

ITE INEN-ISO/IEC TR Primera edición

Outsourcing de la Seguridad

Gobierno Corporativo IT Governance. Information Systems Audit & Control Association

Reportes de aseguramiento sobre los controles en una organización de servicio

Gestión del Riesgo y Cumplimiento

Transcripción:

ACADEMIC ITGSM14 4 Junio 2014 IX CONGRESO ACADÉMICO INTERNACIONAL DE GOBIERNO Y GESTIÓN TIC "Estándares de Confianza y Transparencia para proveedores cloud: Los grandes desconocidos Daniel Madrid Díaz Congreso Académico ITGSM14 Diapositiva 1

Cláusula de Uso Copia distribuida para uso exclusivo en el IX CONGRESO ACADÉMICO INTERNACIONAL DE GOBIERNO Y GESTIÓN TIC Queda prohibida la reproducción, distribución, comunicación pública, transformación, total o parcial, gratuita u onerosa, por cualquier medio o procedimiento, sin la autorización previa y por escrito de Deloitte Advisory S.L. Este documento es estrictamente confidencial. Congreso Académico ITGSM14 Diapositiva 2

Indice de Contenidos Entendiendo el problema Otra posible alternativa: los SOC Reports Escenarios de uso Conclusiones Congreso Académico ITGSM14 Diapositiva 3

Introducción Retos y oportunidades adopción cloud Oportunidades Eficiencia Agilidad Elasticidad Continuidad operaciones Seguridad y resiliencia Retos Seguridad y resiliencia Privacidad Cumplimiento Normativo Riesgo de concentración Pérdida de autonomía Ciberamenazas [ ] Congreso Académico ITGSM14 Diapositiva 4

Introducción Una gran barrera De la fe a la confianza Congreso Académico ITGSM14 Diapositiva 5

Introducción con diferentes visiones Proveedores de Cloud Organizaciones Usuarias Tengo todas las ISOs Soy TIER 4 En ello va mi negocio Coste de las auditorías Es suficiente? Cumpliré la normativa? Y? Cuándo pase algo qué? Necesito visibilidad Necesidad de homogeneización Mi negocio es diferente que admiten algunas reflexiones Congreso Académico ITGSM14 Diapositiva 6

Indice de Contenidos Entendiendo el problema Otra posible alternativa: los SOC Reports Escenarios de uso Conclusiones Congreso Académico ITGSM14 Diapositiva 7

Posibles soluciones Open Certification Framework for Cloud Providers Fuente: Congreso Académico ITGSM14 Diapositiva 8

Posibles soluciones OCF Certification vs Attestation STAR CERTIFICATION evaluates the efficiency of an organization and ensures the scope, processes and objectives are "Fit for Purpose" and help the organization prioritize areas for improvement and lead them towards business excellence. The STAR Attestation is a rigorous third-party independent assessment of the security of a cloud services provider. Fuente: Congreso Académico ITGSM14 Diapositiva 9

Posibles soluciones OCF Certification vs Attestation ISO/IEC 27001 SOC 2 Reports Congreso Académico ITGSM14 Diapositiva 10

Posibles soluciones Introducción SOC2 Reports [1992].- El AICPA publica el estándar SAS70 como estándar para el reporte del nivel de control interno de las organizaciones prestadoras de servicio, en el ámbito de la auditoría financiera. [2002].- La Ley SOX generaliza el uso de este tipo de informes. [2008].- El IASB inicia el desarrollo de su propio estándar (ISAE3402). [2010].- Se publican los nuevos estándares que sustituyen al SAS70, que desaparece en Junio de 2001. Congreso Académico ITGSM14 Diapositiva 11

Posibles soluciones Tipología SOC2 Reports Según la tipología de informe se clasifican en: Tipo I: Opinión sobre el diseño e implementación de los controles en un momento del tiempo. Tipo II: Opinión sobre la efectividad operativa de los controles en un periodo del tiempo (no más de 1 año). Congreso Académico ITGSM14 Diapositiva 12

Posibles soluciones Contenido SOC2 Reports Executive summary Section I: Independent Service Auditors Report Section II: Management Assertion Section III: System Description Overview Section IV: Description of Controls and tests of operating effectiveness Section V: Other Information Provided by the service organization Congreso Académico ITGSM14 Diapositiva 13

Posibles soluciones OCF Certification vs Attestation ISO/IEC 27001 SOC 2 Reports Congreso Académico ITGSM14 Diapositiva 14

Indice de Contenidos Entendiendo el problema Otra posible alternativa: los SOC Reports Escenarios de uso Conclusiones Congreso Académico ITGSM14 Diapositiva 15

Escenarios de Uso La visión del usuario 4 5 3 1 2 Explotación Servicio Puesta en Marcha Contratación del Proveedor Selección Proveedor Identificar Requisitos Congreso Académico ITGSM14 Diapositiva 16

Escenarios de Uso La visión del proveedor 5 4 3 Mantener y explotar Obtención Informe Tipo II Management Assertion Descripción del Sistema Fase de preparación 2 1 Congreso Académico ITGSM14 Diapositiva 17

Indice de Contenidos Entendiendo el problema Otra posible alternativa: los SOC Reports Escenarios de uso Conclusiones Congreso Académico ITGSM14 Diapositiva 18

Conclusiones Necesidad de incrementar confianza Diferencias Certification vs Attestation Objetivos Transparencia Foco Periodicidad Confianza como ejercicio mutuo No existen balas de plata No todos los riesgos residen en el proveedor de cloud Congreso Académico ITGSM14 Diapositiva 19

Muchas gracias! Daniel Madrid Díaz dmadrid@deloitte.es 600 56 88 91 www.deloitte.es Congreso Académico ITGSM14 Diapositiva 20

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback