CONTRATOS DE SERVICIOS CLOUD

Antes incluso de aceptar los SLA para los servicios que incluyamos en el contrato con el o los proveedores, debemos tener muy claros una serie de puntos antes de firmar el contrato.

Hay determinados aspectos legales clave que pueden impedirnos –no técnicamente, sí legalmente- hacer uso de determinados servicios de un proveedor, bien sea por garantías mínimas que legalmente deben cumplir dependiendo del tipo de servicio – datos, ubicuidad, backup, auditoría…- o bien sea por restricciones propias de nuestro negocio o sector.

La Guía para Clientes que contraten Servicios de “Cloud Computing”, de la Agencia Española de Protección de Datos, es lectura casi obligada antes de firmar ningún contrato de este tipo, y la recomendación es dejar en expertos legales la comprobación de todos los puntos, entre los cuales, los más importantes son:

Portabilidad de la Información

Debemos asegurarnos que toda la información, datos y software propio que montemos en un servicio IaaS, PaaS y SaaS sean portables. Es decir, que el propio servicio nos provea una herramienta para poder descargar o llevar a otro proveedor toda la información propia, en el formato original que nosotros hemos proporcionado en caso de software implantado sobre IaaS o PaaS, y en formatos estándar en caso de tratarse de datos sobre servicios SaaS, Storage, etc.

Localización del proceso y de los datos

El proveedor del servicio debe garantizarnos la ubicación física donde residen los procesos que vayamos a hacer uso, así como la ubicación física de los datos que guardemos o generemos desde sus sistemas o almacenemos en sus sistemas, y si existe tránsito internacional de los mismos fuera del Espacio Económico Europeo (Unión Européa, Islandia, Liechtenstein y Noruega).

Es conveniente pedir un certificado o declaración jurada a este respecto, puesto que, si se tratan de datos de Carácter Personal, es responsabilidad del cliente del servicio el cumplimiento de toda la normativa vigente y de pedir y garantizar las medidas de seguridad y cumplimiento.

Recordemos que en caso de que almacenemos datos de carácter personal en un proveedor cloud, debemos solicitar el permiso a nuestro usuario de cesión de datos, especificando el fin de esta cesión.

Confidencialidad de los Datos

El proveedor del servicio de cloud debe comprometerse a garantizar la confidencialidad utilizando los datos sólo para los servicios contratados. Asimismo, debe comprometerse a dar instrucciones al personal que depende de él para que mantenga la confidencialidad.

Garantía Contractual

La contratación de servicios de cloud computing se realizará a través de un contrato de prestación de servicios.

Resulta imprescindible que ese contrato incorpore entre sus cláusulas las garantías a las que obliga la Ley Orgánica de Protección de Datos.

Atendiendo a la relación contractual establecida entre el cliente y el proveedor de la nube, también este contrato se puede clasificar como negociado o de adhesión. Podemos decir que un contrato entre el cliente y el proveedor es negociado si el primero –el cliente- tiene, o se le ofrece, la capacidad para fijar las condiciones de contratación en función del tipo de datos que se van a procesar, las medidas de seguridad exigibles, el esquema de subcontratación, la localización de los datos, la portabilidad de los mismos y cualquier otro aspecto de adecuación a la regulación española y a las restricciones que esta regulación implica.

Clasificación de contratos:

Negociado:

Capacidad de fijar condiciones de contratación. De adhesión:

Cláusulas contractuales cerradas, con condiciones iguales para todos los clientes del proveedor.

En la mayoría de los casos, sin embargo, lo que se oferta son contratos de adhesión, constituidos por cláusulas contractuales cerradas, en las que el proveedor de cloud fija las condiciones con un contrato tipo igual para todos sus clientes, sin que el usuario tenga ninguna opción para negociar sus términos. Este último caso es el más común, sobre todo cuando se encuentra el cliente en una situación de desequilibrio (p.ej.: una pyme frente a un gran proveedor), aunque hay que tener en cuenta que esto no eximirá, a ninguno de los dos, de las responsabilidades que determina la LOPD.

SLA

El SLA es el acuerdo que gobierna y establece las reglas de cumplimiento que debe garantizar el servicio, en un contrato de servicio entre un cliente y un proveedor. Para cada servicio, existirá un SLA específico, que pueden o no agruparse en un solo contrato.

Como ningún servicio es perfecto, los SLAs explican exactamente cómo un proveedor planificará y responderá a las interrupciones en el servicio, a las reducciones en el rendimiento del servicio, a la fuga de datos por culpa del operador, etc.

Debemos ser tan exigentes en la negociación de los SLAs con nuestros proveedores, como realistas. No exijamos lo que sabemos que no se puede cumplir, y de igual forma, no establezcamos objetivos en los SLAs que no podemos medir nosotros mismos. Igualmente, seamos conscientes de nuestra posición de fuerza relativa frente al proveedor: no tendremos la misma capacidad de negociación con un gran proveedor global de servicios, que con un proveedor de servicios local. Tal es así, que, en la gran mayoría de los casos, los grandes proveedores globales tendrán unos SLAs que establecen objetivos de cumplimiento suficientes para nuestras necesidades, pero, sin embargo, tendrán unas compensaciones por incumplimiento muy por debajo de nuestros deseos.

Un acuerdo de nivel de servicio (SLA) es un contrato entre un proveedor de servicios (interno o externo) y el usuario final que define el nivel de servicio esperado del proveedor de servicios. Los SLAs se basan en resultados, ya que su propósito es específicamente definir lo que el cliente recibirá. Los SLAs no definen cómo se proporciona o entrega el servicio en sí.

Definición de un SLA

• Descripción del servicio
• Fiabilidad
• Capacidad de respuesta
• Procedimiento de información de incidencias y peticiones
• Monitorización e informe de Nivel de Servicio
• Consecuencias de incumplimiento
• Cláusulas de escape

Qué debe contener un SLA

Un SLA se basa en métricas. Cada métrica establece un valor objetivo a cumplir por el proveedor del servicio y el periodo de tiempo en el que se mide. Obviamente, debe ser medible de forma objetiva.

Dado que cada SLA se establece de forma individual para cada servicio, el SLA debe contener:

Descripción del servicio que se proporciona

Mantenimiento de áreas como conectividad de red, servidores de nombres de dominio, servidores de protocolo de configuración dinámica del host, Software de Gestión de la Relación con Clientes con las funcionalidades x, y… etc.

Fiabilidad

Define cuándo el servicio está disponible (porcentaje de tiempo de actividad) y se puede esperar que las interrupciones de servicio se mantengan dentro de los límites.

Capacidad de respuesta

La puntualidad de los servicios a ser realizados en respuesta a las solicitudes y fechas de servicio programadas.

Procedimiento de informe de problemas

A quién contactar, y cómo se informa de los problemas, procedimiento para la escalada, y qué otros pasos se deben seguir para resolver el problema eficientemente.

Monitorización e informe del nivel de servicio

Quién monitoriza el desempeño, qué datos se recolectarán y con qué frecuencia, así como cuánto acceso al cliente se da a las estadísticas de desempeño.

Consecuencias de no cumplimiento

Puede incluir crédito o reembolso a los clientes, permitir al cliente terminar la relación, o penalizaciones económicas acorde a reglas que deben establecerse en el SLA

Cláusulas o restricciones de escape

Circunstancias en las que no se aplica el nivel de servicio prometido. Un ejemplo podría ser una exención del cumplimiento de los requisitos de disponibilidad en circunstancias tales como inundaciones, incendios u otras situaciones peligrosas que dañen equipo o sean imponderables.

Aunque las métricas exactas para cada SLA varían según el proveedor de servicios, las áreas cubiertas son uniformes: volumen y calidad de trabajo (incluyendo precisión y precisión), velocidad, capacidad de respuesta y eficiencia. Al cubrir estas áreas, el documento tiene como objetivo establecer un entendimiento mutuo de los servicios, áreas priorizadas, responsabilidades y garantías proporcionadas por el proveedor del servicio.

Las definiciones del nivel de servicio deben ser específicas y mensurables en cada área. Esto permite que la calidad del servicio sea referenciada y, si así lo estipula el acuerdo, recompensada o penalizada en consecuencia.

Un SLA suele utilizar definiciones técnicas que cuantifican el nivel de servicio, como el tiempo medio entre fallos (MTBF) o el tiempo medio de recuperación, respuesta o resolución (MTTR), que especifica un valor “objetivo” (promedio) o “mínimo” para el rendimiento del nivel de servicio.

Los SLAs también son muy populares entre los departamentos internos de las organizaciones más grandes. Por ejemplo, el uso de un SLA por un servicio de asistencia de TI con otros departamentos (el cliente) permite definir y comparar su rendimiento. El uso de SLAs también es común en outsourcing, cloud computing y otras áreas donde la responsabilidad de una organización se transfiere a otro proveedor.

DATAWAREHOUSE

Un almacén de datos (del inglés data warehouse) es una colección de datos orientada a un determinado ámbito (empresa, organización, etc.), integrado, no volátil y variable en el tiempo, que ayuda a la toma de decisiones en la entidad en la que se utiliza. No siendo un producto, lenguaje o copia del sistema transaccional.

Se trata, sobre todo, de un expediente completo de una organización, más allá de la información transaccional y operacional, almacenado en una base de datos diseñada para favorecer el análisis y la divulgación eficiente de datos (especialmente OLAP, procesamiento analítico en línea). El almacenamiento de los datos no debe usarse con datos de uso actual.

Los almacenes de datos contienen a menudo grandes cantidades de información que se subdividen a veces en unidades lógicas más pequeñas dependiendo del subsistema de la entidad del que procedan o para el que sea necesario (data marts).

Uso del Almacén de Datos.

En un almacén de datos lo que se quiere es contener datos que son necesarios o útiles para una organización, es decir, que se utiliza como un repositorio de datos para posteriormente transformarlos en información útil para el usuario. Un almacén de datos debe entregar la información correcta a la gente indicada en el momento óptimo y en el formato adecuado. El almacén de datos da respuesta a las necesidades de usuarios expertos, utilizando Sistemas de Soporte a Decisiones (DSS), Sistemas de información ejecutiva (EIS) o herramientas para hacer consultas o informes. Los usuarios finales pueden hacer fácilmente consultas sobre sus almacenes de datos sin tocar o afectar a la operación del sistema.

En el funcionamiento de un almacén de datos son muy importantes las siguientes ideas:

• Integración de los datos provenientes de bases de datos distribuidas por las diferentes unidades de la organización y que con frecuencia tendrán diferentes estructuras (fuentes heterogéneas).
• Separación de los datos usados en operaciones diarias de los datos usados en el almacén de datos para los propósitos de explotación, de ayuda en la toma de decisiones, para el análisis y para operaciones de control.
• Periódicamente, se importan datos al almacén de datos desde las distintas fuentes de información (aplicaciones ERP, ficheros, etc.) realizando las transformaciones necesarias y aplicando las reglas de negocio oportunas.

Ventajas e Inconvenientes del Almacén de Datos

Aunque una empresa que no posee un datawarehouse tiene riesgo de seguir siendo competitiva y que sea capaz de gestionar eficientemente su negocio, debemos analizar las ventajas y los inconvenientes que se tienen a la hora de abordar un proyecto de datawarehousing.

Ventajas

Hay muchas ventajas por las que es altamente recomendable usar un almacén de datos son:

• Los almacenes de datos hacen más fácil el acceso a una gran variedad de datos a los usuarios finales.
• Facilitan el funcionamiento de las aplicaciones de los sistemas de apoyo a la decisión tales como informes de tendencia, por ejemplo: obtener los ítems con la mayoría de las ventas en un área en particular dentro de los últimos dos años; informes de excepción, informes que muestran los resultados reales frente a los objetivos planteados a priori, etc.
• Los almacenes de datos pueden trabajar en conjunto y, por lo tanto, aumentar el valor operacional de las aplicaciones empresariales, en especial la gestión de relaciones con clientes.

Inconvenientes

Utilizar almacenes de datos también plantea algunos inconvenientes, como:

• A lo largo de su vida los almacenes de datos pueden suponer altos costos. El almacén de datos no suele ser estático. Los costos de mantenimiento son elevados.
• Los almacenes de datos se pueden quedar obsoletos relativamente pronto.
• A veces, ante una petición de información estos devuelven una información poco óptima, que también supone una pérdida para la organización.

A menudo existe una delgada línea entre los almacenes de datos y los sistemas operacionales. Hay que determinar qué funcionalidades de estos se pueden aprovechar y cuáles se deben implementar en el data warehouse. Resultaría costoso implementar operaciones no necesarias o dejar de implementar alguna que sí vaya a necesitarse.

 

GOBIERNO DEL DATO

El gobierno del dato consiste en la capacidad de una organización para gestionar el conocimiento que tiene sobre su información de forma que pueda responder a preguntas tales como ¿qué sabemos sobre nuestra información?, ¿de dónde provienen esos datos?, ¿están estos datos alineados con nuestra política de empresa? El gobierno del dato proporciona un enfoque holístico para administrar, mejorar y aprovechar la información de forma que pueda ayudarnos a ganar percepción y generar confianza en decisiones y operaciones empresariales.

Lograr una buena gobernabilidad y gestión de datos empresariales implica abordar la gestión de los datos como lo que son en realidad, un activo de gran valor tanto a nivel operativo como para crear valor de mercado y convertirlos en una información crítica para el negocio.

Tal y como señala David Newman, vicepresidente de investigación de Gartner, “un alto porcentaje de organizaciones de todo el mundo se dedican a la gestión y desarrollo de los datos como un activo de la empresa”.

Esa óptima gestión de datos clave para el éxito empresarial requiere de un marco que acoja un gobierno de datos, entendido como el ejercicio de diseñar, controlar y monitorizar todo lo relativo a los datos desde un enfoque holístico, en el que participen los implicados, desde el gobierno corporativo de la empresa y el departamento de TI hasta un consejo de gestión de datos que represente a las partes interesadas.

La función de gobierno de datos es conseguir que todas las funciones de datos se realicen del modo más eficiente, cumpliendo con lo planeado. Se trata, en suma, de asegurar que los datos cumplen con las demandas, al tiempo que se consigue una reducción de costes en lo que respecta a su gestión y a su protección, éste último un aspecto importante en lo que respecta al cumplimiento de normativas y a la preservación de la privacidad.

La gobernanza de datos es la capacidad que permite a una organización garantizar que exista una alta calidad de datos a lo largo de todo el ciclo de vida de los datos. Las áreas de enfoque clave de gobernanza de datos incluyen disponibilidad, usabilidad, consistencia, integridad de datos y seguridad de datos e incluye el establecimiento de procesos para garantizar una gestión de datos efectiva en toda la empresa, como la responsabilidad por los efectos adversos de la mala calidad de datos y garantizar que los datos que una empresa tiene puedan ser utilizado por toda la organización.

Objetivos del Gobierno del Dato

El gobierno del dato abarca las personas, los procesos y la tecnología de la información necesarios para crear un manejo coherente y adecuado de los datos de una organización en toda la empresa comercial. Proporciona todas las prácticas de gestión de datos con la base, la estrategia y la estructura necesaria para garantizar que los datos se gestionen como un activo y se transformen en información significativa. Los objetivos se pueden definir en todos los niveles de la empresa y hacerlo puede ayudar en la aceptación de los procesos por parte de quienes los usarán.

Algunos objetivos incluyen

• Mayor coherencia y confianza en la toma de decisiones
• Disminuir el riesgo de multas regulatorias
• Mejora de la seguridad de los datos, definiendo y verificando también los requisitos para las políticas de distribución de datos
• Maximizar el potencial de generación de ingresos de los datos
• Designar la responsabilidad por la calidad de la información
• Permitir una mejor planificación por parte del personal de supervisión
• Minimizar o eliminar el re-trabajo
• Optimizar la efectividad del personal
• Establecer líneas de base de rendimiento del proceso para permitir los esfuerzos de mejora
• Reconocer y mantener todas las ganancias

Estos objetivos se realizan mediante la implementación de programas de gobernanza de datos o iniciativas que utilizan técnicas de gestión del cambio utilizando los recursos adecuados (personas y tecnología).

El gobierno del dato es una disciplina de control de calidad para evaluar, administrar, usar, mejorar, monitorear, mantener y proteger la información de la organización. Es un sistema de derechos de decisión y responsabilidades para los procesos relacionados con la información, ejecutados de acuerdo con modelos acordados que describen quién puede tomar qué acciones con qué información, y cuándo, bajo qué circunstancias, utilizando qué métodos.

Pilares del Gobierno del Dato

A menudo, los primeros pasos en los esfuerzos de gobierno de datos pueden ser los más difíciles, ya que es característico que diferentes partes de una organización tengan puntos de vista divergentes de entidades de datos empresariales clave, como clientes o productos; estas diferencias deben resolverse efectivamente como parte del proceso de gobierno de datos. En la medida en que el gobierno de datos pueda imponer restricciones sobre cómo se manejan los datos, puede ser controvertido en las organizaciones.

FUNCIONES GIS PARA CALCULAR COORDENADAS DE CENTROIDES

GIS	FUNCION PARA CX	FUNCION PARA CY
QGIS	x(  centroid(  $geometry ))	y(  centroid(  $geometry ))
ARCVIEW	[shape].getx	[shape].gety
MAPINFO	centroid(x)	centroid(y)

FUNCIONES DE ArcView GIS

Function name	Shape Class	Field type	Explantion
rec	all	numeric	produces record number
[shape].getx	point	numeric	produces x coordinate of a point
[shape].gety	point	numeric	produces y coordinate
[shape].returncenter.getx	polygon	numeric	produces x coordinate of center of shape extend
[shape].returncenter.gety	polygon	numeric	produces y coordinate of center of shape extend
[shape].returnarea	polygon	numeric	produces area of polygon in map units
[shape].returnlength	line	numeric	produces length of polyline in map units
[shape].returnextent.gettop	polygon,	numeric	produces the maximum y value of a shapefile
	line
[shape].returnextent.getright	polygon,	numeric	produces the maximum x value of a shapefile
	line
[shape].returnextent.getbottom	polygon,	numeric	produces the minimum y value of a shapefile
	line
[shape].returnextent.getleft	polygon,	numeric	produces the minimum x value of a shapefile
	line

Dominios, Objetivos y Controles de la Norma ISO/IEC 27002:2013

Dominios	Objetivos	Controles
5. Políticas de seguridad	5.1 Directrices de la Dirección en seguridad de la información	5.1.1 Conjunto de políticas para la seguridad de la información
		5.1.2 Revisión de las políticas para la seguridad de la información
6. Aspectos Organizativos SI	6.1 Organización interna	6.1.1 Asignación de responsabilidades para la SI
		6.1.2 Segregación de tareas
		6.1.3 Contacto con las autoridades
		6.1.4 Contacto con grupos de interés especial
		6.1.5 Seguridad de la información en la gestión de proyectos
	6.2 Dispositivos para movilidad y teletrabajo	6.2.1 Política de uso de dispositivos para movilidad
		6.2.2 Teletrabajo
7. Seguridad Ligada a los recursos humanos	7.1 Antes de la contratación	7.1.1 Investigación de antecedentes
		7.1.2 Términos y condiciones de contratación
	7.2 Durante la contratación	7.2.1 Responsabilidades de gestión
		7.2.2 Concienciación, educación y capacitación en SI
		7.2.3 Proceso disciplinario
	7.3 Cese o cambio de puesto de trabajo	7.3.1 Cese o cambio de puesto de trabajo
8. Gestión Activos	8.1 Responsabilidad sobre los activos	8.1.1 Inventario de activos
		8.1.2 Propiedad de los activos
		8.1.3 Uso aceptable de los activos
		8.1.4 Devolución de activos
	8.2 Clasificación de la información	8.2.1 Directrices de clasificación
		8.2.2 Etiquetado y manipulado de la información
		8.2.3 Manipulación de activos
	8.3 Manejo de los soportes de almacenamiento	8.3.1 Gestión de soportes extraíbles
		8.3.2 Eliminación de soportes
		8.3.3 Soportes físicos en tránsito
9. Control de Accesos	9.1 Requisitos de negocio para el control de accesos	9.1.1 Política de control de accesos
		9.1.2 Control de acceso a las redes y servicios asociados
	9.2 Gestión de acceso de usuario	9.2.1 Gestión de altas/bajas en el registro de usuarios
		9.2.2 Gestión de los derechos de acceso asignados a usuarios
		9.2.3 Gestión de los derechos de acceso con privilegios especiales
		9.2.4 Gestión de información confidencial de autenticación de usuarios
		9.2.5 Revisión de los derechos de acceso de los usuarios
		9.2.6 Retirada o adaptación de los derechos de acceso
	9.3 Responsabilidades del usuario	9.3.1 Uso de información confidencial para la autenticación
	9.4 Control de acceso a sistemas y aplicaciones	9.4.1 Restricción del acceso a la información
		9.4.2 Procedimientos seguros de inicio de sesión
		9.4.3 Gestión de contraseñas de usuario
		9.4.4 Uso de herramientas de administración de sistemas
		9.4.5 Control de acceso al código fuente de los programas
10. Cifrado	10.1 Controles criptográficos	10.1.1 Política de uso de los controles criptográficos
		10.1.2 Gestión de claves:
11. Seguridad física y Ambiental	11.1 Áreas seguras	11.1.1 Perímetro de seguridad física
		11.1.2 Controles físicos de entrada
		11.1.3 Seguridad de oficinas, despachos y recursos
		11.1.4 Protección contra las amenazas externas y ambientales
		11.1.5 El trabajo en áreas seguras
		11.1.6 Áreas de acceso público, carga y descarga
	11.2 Seguridad de los equipos	11.2.1 Emplazamiento y protección de equipos
		11.2.2 Instalaciones de suministro
		11.2.3 Seguridad del cableado
		11.2.4 Mantenimiento de los equipos
		11.2.5 Salida de activos fuera de las dependencias de la empresa
		11.2.6 Seguridad de los equipos y activos fuera de las instalaciones
		11.2.7 Reutilización o retirada segura de dispositivos de almacenamiento
		11.2.8 Equipo informático de usuario desatendido
		11.2.9 Política de puesto de trabajo despejado y bloqueo de pantalla
12. Seguridad en la Operativa	12.1 Responsabilidades y procedimientos de operación	12.1.1 Documentación de procedimientos de operación
		12.1.2 Gestión de cambios
		12.1.3 Gestión de capacidades
		12.1.4 Separación de entornos de desarrollo, prueba y producción
	12.2 Protección contra código malicioso	12.2.1 Controles contra el código malicioso
	12.3 Copias de seguridad	12.3.1 Copias de seguridad de la información
	12.4 Registro de actividad y supervisión	12.4.1 Registro y gestión de eventos de actividad
		12.4.2 Protección de los registros de información
		12.4.3 Registros de actividad del administrador y operador del sistema
		12.4.4 Sincronización de relojes
	12.5 Control del software en explotación	12.5.1 Instalación del software en sistemas en producción
	12.6 Gestión de la vulnerabilidad técnica	12.6.1 Gestión de las vulnerabilidades técnicas
		12.6.2 Restricciones en la instalación de software
	12.7 Consideraciones de las auditorías de los sistemas de información	12.7.1 Controles de auditoría de los sistemas de información
13. Seguridad en las Telecomunicaciones	13.1 Gestión de la seguridad en las redes	13.1.1 Controles de red
		13.1.2 Mecanismos de seguridad asociados a servicios en red
		13.1.3 Segregación de redes
	13.2 Intercambio de información con partes externas	13.2.1 Políticas y procedimientos de intercambio de información
		13.2.2 Acuerdos de intercambio
		13.2.3 Mensajería electrónica
		13.2.4 Acuerdos de confidencialidad y secreto
14. Adquisición, desarrollo y Mantenimiento de los sistemas de información	14.1 Requisitos de seguridad de los sistemas de información	14.1.1 Análisis y especificación de los requisitos de seguridad
		14.1.2 Seguridad de las comunicaciones en servicios accesibles por redes públicas
		14.1.3 Protección de las transacciones por redes telemáticas
	14.2 Seguridad en los procesos de desarrollo y soporte	14.2.1 Política de desarrollo seguro de software
		14.2.2 Procedimientos de control de cambios en los sistemas
		14.2.3 Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo
		14.2.4 Restricciones a los cambios en los paquetes de software
		14.2.5 Uso de principios de ingeniería en protección de sistemas
		14.2.6 Seguridad en entornos de desarrollo
		14.2.7 Externalización del desarrollo de software
		14.2.8 Pruebas de funcionalidad durante el desarrollo de los sistemas
		14.2.9 Pruebas de aceptación
	14.3 Datos de prueba	14.3.1 Protección de los datos utilizados en prueba
15. Relaciones con Suministradores	15.1 Seguridad de la información en las relaciones con suministradores	15.1.1 Política de seguridad de la información para suministradores
		15.1.2 Tratamiento del riesgo dentro de acuerdos de suministradores
		15.1.3 Cadena de suministro en tecnologías de la información y comunicaciones
	15.2 Gestión de la prestación del servicio por suministradores	15.2.1 Supervisión y revisión de los servicios prestados por terceros
		15.2.2 Gestión de cambios en los servicios prestados por terceros
16. Gestión de Incidentes	16.1 Gestión de incidentes de seguridad de la información y mejoras	16.1.1 Responsabilidades y procedimientos
		16.1.2 Notificación de los eventos de seguridad de la información
		16.1.3 Notificación de puntos débiles de la seguridad
		16.1.4 Valoración de eventos de seguridad de la información y toma de decisiones
		16.1.5 Respuesta a los incidentes de seguridad
		16.1.6 Aprendizaje de los incidentes de seguridad de la información
		16.1.7 Recopilación de evidencias
17. Aspectos de la SI en la Gestión de la Continuidad de Negocio	17.1 Continuidad de la seguridad de la información	17.1.1 Planificación de la continuidad de la seguridad de la información
		17.1.2 Implantación de la continuidad de la seguridad de la información
		17.1.3 Verificación, revisión y evaluación de la continuidad de la seguridad de la información
	17.2 Redundancias	17.2.1 Disponibilidad de instalaciones para el procesamiento de la información
18. Cumplimiento	18.1 Cumplimiento de los requisitos legales y contractuales	18.1.1 Identificación de la legislación aplicable
		18.1.2 Derechos de propiedad intelectual (DPI)
		18.1.3 Protección de los registros de la organización
		18.1.4 Protección de datos y privacidad de la información personal
		18.1.5 Regulación de los controles criptográficos
	18.2 Revisiones de la seguridad de la información	18.2.1 Revisión independiente de la seguridad de la información
		18.2.2 Cumplimiento de las políticas y normas de seguridad
		18.2.3 Comprobación del cumplimiento