5.3 Explicar los procesos asociados con la evaluación y administración de riesgos de terceros.

Visión General

En este video, exploraremos los procesos asociados con la evaluación y gestión de riesgos de terceros. Comenzaremos con la evaluación de proveedores, que puede incluir pruebas de penetración, cláusulas de derechos de auditoría, evidencia de auditoría interna, evaluaciones independientes y análisis de la cadena de suministro. A continuación, discutiremos la selección de proveedores, incluyendo consideraciones de diligencia debida y conflictos de interés. Diversos tipos de acuerdos juegan un papel importante, como los Acuerdos de Nivel de Servicio (SLAs), Memorando de Acuerdos (MOAs), Memorando de Entendimiento (MOUs), Acuerdos de Servicio Maestro (MSAs), Declaraciones de Trabajo (SOWs), Acuerdos de No Divulgación (NDAs) y Acuerdos de Asociación Comercial (BPAs). Monitorear a los proveedores mediante cuestionarios y hacer cumplir reglas y condiciones son esenciales para la gestión continua de riesgos. A través de esta visión general, los espectadores obtendrán conocimientos sobre cómo evaluar y gestionar efectivamente los riesgos asociados con las relaciones de terceros para mitigar las amenazas potenciales a la organización.

Términos Clave

  • • Evaluación de proveedores
  • - Pruebas de penetración
  • - Cláusula de derecho de auditoría
  • - Evidencia de auditorías internas
  • - Evaluaciones independientes
  • - Análisis de la cadena de suministro
  • • Selección de proveedores
  • - Debida diligencia
  • - Conflicto de interés
  • • Tipos de acuerdo
  • - Acuerdo de Nivel de Servicio (SLA)
  • - Memorándum del Acuerdo (MOA)
  • - Memorándum de entendimiento (MOU)
  • - Acuerdo de servicio maestro (MSA)
  • - Orden de trabajo (WO)/ declaración de trabajo (SOW)
  • - Acuerdo de no divulgación (NDA)
  • - Acuerdo de Asociación Comercial (BPA)
  • • Monitoreo de proveedores
  • • Cuestionarios
  • • Reglas y condiciones

    • Sección 5.3 Cuestionario

    Su organización está trasladando su centro de datos a la nube. El tiempo de actividad es crítico. ¿Qué tipo de acuerdo se utiliza para codificar los requisitos del servicio y las consecuencias?

    • BAA (Acuerdo de Asociado Comercial)
    • AUP (Política de Uso Aceptable)
    • SLA (Acuerdo de Nivel de Servicio)
    • MOU (Memorando de Entendimiento)

    Sección 5.3 Cuestionario

    ¿Qué grupo no sería considerado un tercero?

    • MSPs (Proveedores de Servicios Gestionados)
    • Empleados que trabajan desde casa
    • Consultores
    • Contratistas

    Sección 5.3 Cuestionario

    Su organización está negociando un contrato con un nuevo proveedor. Un punto de discusión es que se niegan a incluir una cláusula de derecho a auditoría. ¿Cuál podría ser una alternativa aceptable? Elige todas las que correspondan.

    • Informe de seguridad interno
    • Certificación de la industria
    • SSAE 18
    • Evaluación de seguridad independiente
    Video Anterior: 5.2
    Siguiente Video: 5.4