CONTROL INTERNO EN TERCERIZACIÓN

Ventajas de tercerizar

• Da tiempo para enfocarse en las actividades vitales para el agregado de valor del negocio.
• Permite encontrar ayuda experta, de forma temporal y sin compromisos a largo plazo.
• Para las empresas contratantes, el aporte de pequeñas empresas diversas resulta en mayor versatilidad y nuevas ideas que pueden faltarle internamente.
• El proceso de tercerización resulta una base de lanzamiento para nuevas empresas, en muchos casos desprendidas de las grandes.
• Permite sumar esfuerzos, apoyándose en quienes ya hacen bien ciertas actividades.
• Permite ocupar menos espacio de trabajo.
• En muchos casos, se convierten en variables costos que de otra forma serían fijos

Desventajas de tercerizar

• Para un funcionamiento sin fricciones exige entornos más cooperativos que la típica relación de proveedor-cliente.
• Puede afectar la confidencialidad.
• Puede llevar tiempo llegar a acuerdos claros sobre obligaciones y responsabilidades de cada parte.
• Puede perderse el control sobre el producto final y verse afectada la calidad.
• Puede requerir capacitación y actividades de integración regulares para mantener el trabajo en equipo
• Requiere de un análisis costo-beneficio para evitar costos ocultos

Características

• Tareas no Core Business: es recomendable que no se tercerice una actividad Core, que sean procesos, tareas o servicios accesorios o complementarios.
• Altos costos por cambio de proveedor
• Revelación de datos críticos de la organización
• Métricas para mejora continua
• Adquisición de conocimiento tecnológico
• Dependencia estratégica alta: riesgos.

El contrato: acuerdo comercial escrito tiene que tener:

• Objeto: claramente definido
• Duración: inicio y fin
• Responsabilidades y obligaciones
• Firma de los máximos responsables
• Precio
• Indicadores de cumplimiento, cuándo y quién controla, consecuencias, tender a mejora continua
• SLA o ANS (acuerdo nivel de servicio)

Riesgos por reclamos laborales de empleados del proveedor

• Definido en el contrato
• Se debe asegurar que estén registrados en convenio colectivo de trabajadores
• Verificar la actividad
• Verificar cumplimiento de art 30 LCT (subcontratación y delegación – solidaridad)
• Análisis técnico del perfil del contratista.

Relación riesgos y control

• Que no exista un sector responsable del control
• Falta de especialización - Desconocimiento
• Creencias que los costos superan los riesgos
• Resistencia de los contratistas
• Presión de la línea en no controlar
• Falta de control por oposición

Contrato

• Alcance detallado del servicio
• Medición del desempeño
• Propiedad intelectual
• Controles y auditorías
• Responsabilidades
• Dependencias del servicio
• Transición y continuidad del servicio
• Proceso de resolución de disputas
• Cobertura de seguros
• Honorarios
• Limitaciones de responsabilidad
• Renovación/término

Categorías de las métricas

• Volumen de trabajo
• Calidad de trabajo (ratios de defectos, cumplimiento de estándares, calidad técnica, disponibilidad del servicio, satisfacción del servicio
• Nivel de respuesta (tiempo para la implementación, tiempo de respuesta y atención, backlog de pendientes)
• Eficiencia (costo por unidad de trabajo, utilización del personal, ratios de retrabajos)

Auditoria del servicio

• Gestión de la configuración
• Gestión de cambios
• Planeamiento de capacidad
• Continuidad de servicio
• Gestión de incidentes y de problemas
• ANS o SLA y operación
• Seguridad de datos e información

ADQUISICIÓN DE PAQUETES

Necesito Saber:

• El precio
• Que producto implementar
• Como voy a llevar el proyecto, como lo voy a implementar.
• Quien va a ser el proveedor del paquete informático.

La adquisición del paquete informático me va a llevar a determinadas etapas:

1. Identificación de recursos existentes (Hardware, software, personas)
2. Definición de las necesidades de informatización.
• Las necesidades las definen los usuarios, según su nivel.
• Los profesionales de sistemas trabajan junto con los usuarios, para formalizar los requerimientos.
• Relevar necesidades presentes y futuras.
• Relevar necesidades obligatorias y optativas.
• Ubicar a los usuarios claves
• Selección del paquete adecuado.

Se le solicitará al proveedor: solicitud de información, solicitud de propuesta, solicitud de cotización.

Luego se evaluará al proveedor:

• Años en el mercado
• Trayectoria, reputación
• Solvencia empresarial y respaldo internacional
• Implementaciones realizadas
• Personal técnico (cantidad y disponibilidad)
• Política de actualizaciones
• Referencias
• Consultas a otros clientes y colegas, opiniones en internet, etc.

Evaluación de las funcionalidades del Paquete:

• Soporte brindado por el proveedor
• Consultoría brindada
• Post implementación
• Capacitación, etc.

Evaluación de Costos:

• Costo total de propiedad, costo anual, costo por operación etc.
• Instalación, puesta en producción y mantenimiento.
• Horas de consultoría
• Horas de capacitación
• Concepto de Implementación “llave en mano”
• Cronograma de tareas con detalle de entregables, hitos, capacitaciones, etc.
• Reuniones de seguimiento
• Se deben analizar los desvíos al cronograma

Mantenimiento: Contrato de Mantenimiento de Servicios, usualmente definido en el SLA (Acuerdo de nivel de servicio).

Mantenimiento: Correctivo, normativo, Evolutivo.

Soporte post-implementación: cantidad de horas

Mantenimiento Licencias

SEGURIDAD FÍSICA Y LÓGICA - CONTROLES GENERALES

La seguridad informática consiste en garantizar que el material y los recursos de software de una organización se usen únicamente para los propósitos para los que fueron creados y dentro del marco previsto.

La seguridad informática se resume, por lo general, en cinco objetivos principales:

• Integridad: garantizar que los datos sean los que se supone que son
• Confidencialidad: asegurar que sólo los individuos autorizados tengan acceso a los recursos que se intercambian
• Disponibilidad: garantizar el correcto funcionamiento de los sistemas de información
• Evitar el rechazo “no repudio”: garantizar de que no pueda negar una operación realizada.
• Autenticación: asegurar que sólo los individuos autorizados tengan acceso a los recursos

Se debe afrontar el tema de la seguridad a nivel global y que debe constar de los siguientes elementos:

• Concienciar a los usuarios acerca de los problemas de seguridad
• Seguridad lógica, es decir, la seguridad a nivel de los datos, en especial los datos de la empresa, las aplicaciones e incluso los sistemas operativos de las compañías.
• Seguridad en las telecomunicaciones: tecnologías de red, servidores de compañías, redes de acceso, etc.
• Seguridad física, o la seguridad de infraestructuras materiales: asegurar las habitaciones, los lugares abiertos al público, las áreas comunes de la compañía, las estaciones de trabajo de los empleados, etc. recursos

SEGURIDAD FÍSICA

Consiste en la "aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial ". Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cómputo, así como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos.

Tipos de Desastres

No será la primera vez que se menciona en este trabajo, que cada sistema es único y por lo tanto la política de seguridad a implementar no será única. Este concepto vale, también, para el edificio en el que nos encontramos. Es por ello que siempre se recomendarán pautas de aplicación general y no procedimientos específicos. Este tipo de seguridad está enfocado a cubrir las amenazas ocasionadas tanto por el hombre como por la naturaleza del medio físico en que se encuentra ubicado el centro.

Las principales amenazas que se prevén en la seguridad física son:

• Desastres naturales, incendios accidentales, tormentas e inundaciones.
• Amenazas ocasionadas por el hombre.
• Disturbios, sabotajes internos y externos deliberados.

A continuación, se analizan los peligros más importantes que se corren en un centro de procesamiento; con el objetivo de mantener una serie de acciones a seguir en forma eficaz y oportuna para la prevención, reducción, recuperación y corrección de los diferentes tipos de riesgos.

• Incendios
• Inundaciones
• Condiciones Climatológicas
• Señales de Radar
• Instalaciones Eléctricas
• Ergometría

Acciones Hostiles:

• Robo
• Sabotaje
• Fraude

Control de Acceso:

El control de acceso no sólo requiere la capacidad de identificación, sino también asociarla a la apertura o cerramiento de puertas, permitir o negar acceso basado en restricciones de tiempo, área o sector dentro de una empresa o institución.

• Utilización de Guardias
• Utilización de Detectores de Metales
• Utilización de Sistemas Biométricos
• Verificación Automática de Firmas
• Seguridad con Animales

Conclusiones

Evaluar y controlar permanentemente la seguridad física del edificio es la base para comenzar a integrar la seguridad como una función primordial dentro de cualquier organismo.

Tener controlado el ambiente y acceso físico permite:

• Disminuir siniestros
• Trabajar mejor manteniendo la sensación de seguridad
• Descartar falsas hipótesis si se produjeran incidentes
• Tener los medios para luchar contra accidentes

Las distintas alternativas estudiadas son suficientes para conocer en todo momento el estado del medio en el que nos desempeñamos; y así tomar decisiones sobre la base de la información brindada por los medios de control adecuados.

Estas decisiones pueden variar desde el conocimiento del área que recorren ciertas personas hasta el extremo de evacuar el edificio en caso de accidente.

SEGURIDAD LÓGICA

La mayoría de los daños que puede sufrir un centro de cómputos no será sobre los medios físicos sino contra información por él almacenada y procesada.

El activo más importante que posee una organización es la información, y por lo tanto deben existir técnicas, más allá de la seguridad física, que la aseguren. Estas técnicas las brinda la Seguridad Lógica.

Es decir que la Seguridad Lógica consiste en la "aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo."

Los objetivos que se plantean serán:

• Restringir el acceso a los programas y archivos.
• Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar los programas ni los archivos que no correspondan.
• Asegurar que se estén utilizando los datos, archivos y programas correctos en y por el procedimiento correcto.
• Que la información transmitida sea recibida sólo por el destinatario al cual ha sido enviada y no a otro.
• Que la información recibida sea la misma que ha sido transmitida.
• Que existan sistemas alternativos secundarios de transmisión entre diferentes puntos.
• Que se disponga de pasos alternativos de emergencia para la transmisión de información.

Controles de Acceso

Estos controles pueden implementarse en el Sistema Operativo, sobre los sistemas de aplicación, en bases de datos, en un paquete específico de seguridad o en cualquier otro utilitario.

Constituyen una importante ayuda para proteger al sistema operativo de la red, al sistema de aplicación y demás software de la utilización o modificaciones no autorizadas; para mantener la integridad de la información (restringiendo la cantidad de usuarios y procesos con acceso permitido) y para resguardar la información confidencial de accesos no autorizados.

Requisitos mínimos de seguridad en cualquier sistema:(Identificación y Autenticación, Roles, Transacciones, Modalidad de Acceso, control de Acceso interno y externo)

SEGURIDAD LÓGICA - ISO 27001

ISO/IEC 27001 Guía que provee un modelo para la definición, implementación, operación, monitoreo, revisión y mantenimiento de un sistema de gestión de seguridad de la información y la forma en que la organización puede demostrar que protege sus activos de información. El ISMS ejecuta una evaluación sistemática de los riesgos que la organización enfrenta sobre los activos de información, a través de los objetivos de control:

• Política de seguridad
• Organización de seguridad de la información
• Gestión de activos 8 Seguridad de recursos humanos
• Seguridad física y ambiental 10 Gestión de operaciones y comunicaciones
• Control de acceso
• Adquisición, desarrollo y mantenimiento de sistemas de información
• Gestión de incidentes de seguridad
• Gestión de continuidad de negocio
• Cumplimiento Legal

Metodología del ciclo PDCA que se aplica para estructurar todos los procesos del ISMS

PDCA Plan: definir políticas del ISMS, objetivos, procesos y procedimientos relevantes a la gestión de riesgos y mejora del ISMS de acuerdo a las políticas y objetivos de negocio de la organización

Do: implementar y operar las políticas, controles, procesos y procedimientos

Check: evaluar y medir la performance de los procesos contra las políticas, objetivos del ISMS y elevar los resultados para revisión

Act: tomar acciones correctivas y preventivas, basadas en los resultados de la evaluación para lograr una mejora continua del ISMS

DOCUMENTACIÓN Y CONTROLES

• Requerimientos de documentación:
• Política y objetivos del ISMS
• Alcance del ISMS – Procedimientos y controles de soporte del ISMS
• Descripción de la metodología de la evaluación de riesgos
• Reporte de evaluación de riesgos
• Plan de tratamiento de riesgos
• Procedimientos documentados para asegurar la efectividad del plan, operación y control de los procesos de seguridad, cómo se mide su efectividad
• Registros requeridos por estándares internacionales
• Declaración de aplicabilidad
• Control de documentos:
• Aprobación de documentos previo a la publicación
• Revisión, actualización y re-aprobación de documentos
• Asegurar la identificación de los cambios y el status de la versión vigente de los documentos
• Asegurar la disponibilidad y legibilidad de los documentos
• Asegurar que los documentos están clasificados y su distribución controlada
• Prevenir el uso de documentación obsoleta
• Control de registros:
• Deben mantenerse legibles, identificables y recuperables los registros que proveen evidencia de conformidad a los requerimientos del ISMS
• Deben estar documentados e implementados todos los controles para la identificación, almacenamiento, protección, recuperación, tiempo de retención de los registros
• Responsabilidad gerencial:

La alta gerencia debe proveer evidencia de su responsabilidad para establecer una política del ISMS, objetivos, roles y responsabilidades, comunicación a la organización de la importancia de alcanzar dichos objetivos y mejora continua; proveer suficientes recursos, decidir criterios de aceptación de riesgos y nivel de riesgo aceptable, y asegurar las auditorías internas.

• Gestión de recursos

La organización deberá asegurar que todo el personal que tiene responsabilidades asignadas en el ISMS es competente para realizar las tareas requeridas a través de:

• Determinación de las competencias necesarias
• Entrenamiento
• Evaluación de la efectividad de las acciones tomadas
• Mantenimiento de registros de educación, entrenamiento, experiencias, calificación
• Concientización de seguridad de todo el personal y cómo contribuye con el logro de los objetivos del ISMS
• Auditorías Internas del ISMS

La organización deberá conducir auditorías internas periódicas para determinar si los objetivos de control, controles, procesos del ISMS:

• Cumplen con los requerimientos del estándar y las regulaciones vigentes
• Cumplen con los requerimientos de seguridad de la información
• Están efectivamente implementados y mantenidos
• Funcionan de acuerdo a lo esperado
• Revisiones del ISMS

La alta gerencia deberá realizar revisiones del ISMS para asegurar su vigencia, adecuación y efectividad, siendo una oportunidad de mejoras y necesidad de cambios

El input es:

• Resultados de auditorías y revisiones
• Procedimientos de mejora del ISMS
• Status de medidas correctivas y preventivas
• Resultados de indicadores de efectividad
• Seguimiento de acciones de revisiones previas

El output es: Decisiones y acciones para mejorar la efectividad del ISMS

• Actualización del plan de evaluación y tratamiento de riesgo
• Modificaciones de procedimientos y controles que respondan a eventos que podrían impactar en el IMSS como requerimientos de negocio, legales, contractuales, seguridad, nivel de aceptación de riesgo
• Necesidad de recursos
• Mejora en cómo la efectividad de los controles está siendo medida

• Mejora del ISMS

Acciones preventivas: La organización debe tomar acciones para eliminar las causas de potenciales no conformidades con los requerimientos del IMSS para prevenir su ocurrencia, basándose en los resultados de las evaluaciones de riesgo.

• Compromiso y apoyo de la Dirección de la organización.
• Definición clara de un alcance apropiado. o Concienciación y formación del personal.
• Evaluación de riesgos exhaustiva y adecuada a la organización.
• Compromiso de mejora continua.
• Establecimiento de políticas y normas.
• Organización y comunicación. o Integración del ISMS en la organización

• La concienciación del empleado por la seguridad.
• Comité de seguridad para analizar no conformidades y acciones de mejora.
• Creación de un sistema de gestión de incidencias que recoja notificaciones continuas por parte de los usuarios.
• La seguridad absoluta no existe, se trata de reducir el riesgo a niveles asumibles.
• La seguridad no es un producto, es un proceso.
• La seguridad no es un proyecto, es una actividad continua y el programa de protección requiere el soporte de la organización para tener éxito.
• La seguridad debe ser inherente a los procesos de información y del negocio.

• Riesgos
• Exceso de tiempos de implantación: con los consecuentes costes descontrolados, desmotivación, alejamiento de los objetivos iniciales, etc.
• Temor ante el cambio: resistencia de las personas.
• Discrepancias en el comité de seguridad.
• Delegación de todas las responsabilidades en departamentos técnicos.
• No asumir que la seguridad de la información es inherente a los procesos de negocio. Planes de formación y concienciación inadecuados.
• Calendario de revisiones que no se puedan cumplir.
• Definición poco clara del alcance.
• Falta de comunicación de los progresos al personal de la organización.

MÉTODOS DE ATAQUE

La mayoría de las herramientas que usamos hoy en día pueden tener doble finalidad.

• Un intruso puede emplear la herramienta para encontrar una vulnerabilidad y explotarla, mientras que un profesional de seguridad va a identificar dicha vulnerabilidad para posteriormente solucionarla.
• La evolución de estas aplicaciones ha sido tal que cualquier persona, sin conocimientos técnicos profundos, puede causar un incidente de gran magnitud.
• El usuario sólo necesita especificar un rango IP dentro de una GUI y luego hacer clic en “Go”.

Network Mapping y Port Scanning: Contramedidas

• Deshabilitar puertos y servicios no necesarios.
• Bloquear el acceso a la red utilizando FW, Routers Y Proxy servers.
• Utilizar un IDS para detectar este tipo de actividad.
• Remover los banners de sistemas operativos y aplicaciones.
• Actualizar los sistemas operativos, aplicaciones y protocolos

VulnerabilityScanning

• Son herramientas que poseen una gran base de datos de vulnerabilidades conocidas de diferentes productos, tales como sistemas operativos, motores de bases de datos, servidores Web, etc.
• Permiten identificar vulnerabilidades con la finalidad de que los administradores las solucionen.
• Cuentan con rutinas de actualización directa a través de Internet, con la finalidad de estar al día con las nuevas vulnerabilidades que aparecen diariamente.