Capitulo 21 - Gestión de proveedores y la cadena de valor

blue team sin morir en el intento
04/07/2025 45 min Temporada 2 Episodio 21
Capitulo 21 - Gestión de proveedores y la cadena de valor

Escuchar "Capitulo 21 - Gestión de proveedores y la cadena de valor"

Descargar episodio Ver en sitio original

Síntesis del Episodio

Tema: Gobernanza de seguridad de la informaciónCapitulo 21 - Gestión de proveedores y la cadena de valorRedes Sociales:[email protected]://shows.acast.com/blueteam-sin-morir-en-el-intentohttps://linkedin.com/company/blue-team-smihttps://x.com/blueteam_smihttps://www.youtube.com/@BlueTeamSMIDonativo:https://buymeacoffee.com/btsmi1. Política TPRMDocumento aprobado por alta dirección (Consejo o CEO) que define reglas para gestionar riesgos de terceros.Cubre alcance (tipos de proveedores), objetivos (ej. proteger datos sensibles) y roles:CISO: define seguridad y excepciones.Legal: revisa contratos.Compras: asegura cláusulas de riesgo.Operaciones: supervisa desempeño diario.Incluye gobernanza: supervisión periódica y flujos de escalamiento de riesgos críticos.2. Comité de ProveedoresGrupo multidisciplinario que se reúne cada trimestre para revisar desempeño, analizar alertas y decidir renovaciones, mejoras o reemplazos.Participan responsables de Riesgos, Finanzas y Operaciones.Ejemplo: ante caídas de servicio, se exige plan de contingencia y ajuste de factura.3. Alcance de Cadena de ValorLa TPRM aplica más allá del proveedor directo (Tier 1): abarca subcontratistas (Tier 2+) y socios de servicio especializados.Objetivo: controlar riesgos ocultos (ej. subcontratistas con acceso a datos).Ejemplo: CloudX contrata a DataBackupCo → ambos deben cumplir estándares de cifrado y auditorías.INVENTARIO Y CLASIFICACIÓNRegistro centralizado: lista de proveedores con datos clave (nombre, servicio, datos tratados, ubicación legal).Clasificación por criticidad:Tier 1: impacto alto (interrupción clave).Tier 2: impacto medio (soporte).Tier 3: impacto bajo (servicios auxiliares).Etiquetado de riesgos: seguridad, continuidad, confidencialidad, cumplimiento y reputación.DUE DILIGENCE Y SELECCIÓNEvaluación financiera: ratios de liquidez, endeudamiento, estabilidad.Reputación y legal: listas de sanciones, litigios, antecedentes.Auditoría preliminar: cuestionarios basados en SIG-LITE/CAIQ para validar postura de seguridad.Criterios éticos y sostenibilidad: preferencia por proveedores con certificaciones ESG, derechos humanos y reducción de huella de carbono.Resumen clave:El Punto 1 establece la base de gobierno TPRM: una política clara, un comité vigilante, alcance extendido a toda la cadena, un inventario clasificado por criticidad y riesgos, y criterios estrictos de selección ética, financiera y de seguridad. Hosted on Acast. See acast.com/privacy for more information.

Más episodios del podcast blue team sin morir en el intento

IPGR Investigación 7 - Ransomware Qilin 26/10/2025
Capitulo 24 - Cómo integrar seguridad de la información con la estrategia del negocio 08/08/2025
Capitulo 23 - Gestión de datos y protección de la privacidad 04/08/2025
Capitulo 22 - Entrevista - Gobernanza 360° Seguridad más allá del perímetro 23/07/2025
IPGR Investigación 6 - Ransomware Play 22/07/2025
Capitulo 20 - Controles y herramientas de seguridad para la GSI 22/06/2025
Capitulo 19 - Gestión de riesgos y análisis de amenazas 18/06/2025
IPGR Investigación 5 - Ransomware Funksec 10/06/2025
Capitulo 18 - El rol del liderazgo en la gobernanza de seguridad de la información 31/05/2025
Capitulo 17 - Políticas y estrategias de seguridad digital 28/05/2025
© 2003-2025 ZARZA | ADELANTADOS A NUESTRO TIEMPO
  • Política de Privacidad | DMCA

    • Diseño web por iNTELIGENCIA Viva