Canal de Telegram

12 abr 2011

Segu-Info » , » La tercerización de la Seguridad de Información

La tercerización de la Seguridad de Información

12 abr 2011, 8:42:00 a.m.   Comenta primero!
  ,  
Roberto Sánchez V. - @robersv (*)

El Outsourcing puede entenderse como la transferencia de la propiedad de un proceso de negocio a un proveedor o el uso de recursos externos a la empresa para realizar actividades tradicionalmente ejecutadas por personal y con recursos internos.  Aunque en un contexto globalizado, esta estrategia ha demostrado proveer esquemas de optimización y ahorro en muchas áreas del negocio, no es usual que las organizaciones consideren tercerizar procesos relacionados con la Seguridad de Información. La razón nace de la esencia misma de la Seguridad de Información y su aparente contraposición con lo que representa la incorporación de un tercero a estos procesos:

El objetivo principal de la seguridad de la información consiste en el fortalecimiento de tres principios clave: confidencialidad, integridad y disponibilidad. El primero de estos principios es el que más ocupa a los CISO de las organizaciones, y el que pareciera no ser consistente con un proceso de tercerización. Los otros principios no dejan de ser importantes, y en el cumplimiento de los tres es donde los costos sugieren un enfoque práctico.
En el ciclo de vida de la seguridad de información, existen un conjunto de actividades que requieren personal con niveles de especialización, tecnología y procesos claramente definidos. Imaginemos el número de personas y especializaciones para realizar los siguientes procesos:
  1. Planificación estratégica del CISO
  2. Seguimiento de los planes de acción
  3. Diseño e implementación de procedimientos de gestión
  4. Evaluaciones periódicas de seguridad y controles
  5. Monitoreo de eventos
  6. Respuesta a incidentes
  7. Investigación de incidentes
  8. Gestión de requerimientos por parte de los usuarios, incluyendo definición de usuarios
  9. Implantación de controles de seguridad
Estructurado de esta manera, comienza a visualizarse que la Seguridad de Información es un conjunto de actividades que agrupadas de manera apropiada pueden ser delegadas o subcontratadas. Adicionalmente se identifican actividades que no deberían recaer en el mismo personal, como es el caso de los numerales 7 y 8, 2 y 3, 4 y 6 o 4 y 9, ya que su cúmulo afecta la efectividad de algunos controles establecidos.

Entonces, ¿tercerizamos o no?

La decisión de tercerizar la Seguridad de Información es compleja. Hay mucho en juego, por lo que la reacción más común es la indecisión:
  • Los beneficios prometidos por el outosourcing de seguridad son atractivos: El potencial para aumentan significativamente la seguridad sin tener que contratar media docena de personas o gastar una fortuna es imposible de ignorar.
  • Los posibles riesgos son considerables: La dependencia de otra empresa y malas experiencias con otras áreas de outsourcing de TI, muestran que la selección de la empresa de outsourcing equivocado puede tener impactos considerables.
Para variar, esta decisión pasa por un análisis de cada caso de los riesgos y de los beneficios, pero en todos los casos el proveedor es un factor crítico en el análisis. Es por esto que si la decisión es tercerizar se debe establecer un proceso de selección de estrategias y  actores.

Ventajas del Outsourcing de Seguridad de Información

  • Reducción de costos de personal: Para lograr desarrollar una gestión de seguridad  de información sólida e integral, es necesario el concierto de gran variedad de conocimientos y habilidades, que usualmente se traduce en un equipo altamente entrenado y que en consecuencia requiere una alta remuneración.
  • Permite a la empresa responder con rapidez a los cambios del entorno: En una empresa  de outsourcing, el  negocio principal es la seguridad, por lo que puede y debe dedicar recursos a la actualización y seguimiento del mercado en todo lo relacionado a riesgos y seguridad. Esta inversión se traslada en beneficio a sus clientes, con un impacto financiero inferior para el cliente.
  • Incremento en la calidad del servicio: La calidad del servicio relacionado con la gestión de seguridad estará regida por acuerdos de servicio formalmente definidos y estos niveles deberán estar garantizados.
  • Actualización tecnológica: Permite a la empresa emprender actualizaciones tecnológicas y estar a la vanguardia sin la necesidad de formar al personal de la organización para manejar los riesgos asociados.
  • Optimización del uso de recursos: Permite la aplicación del talento y los recursos de la organización a las áreas claves del negocio.
  • Aumento de la flexibilidad de la organización y disminución de sus costos fijos.
  • Actualización de activos de información: Los activos de información relacionados con la gestión de la seguridad no requieren de inversión por parte de la empresa para que sean actualizados

Principales consideraciones  para el Outsourcing de Seguridad de Información

  • Dependencia del proveedor: Queda en manos del proveedor la capacidad de respuesta ante la innovación.
  • Expectativas insatisfechas: El costo ahorrado con el uso de outsourcing puede que no sea el esperado.
  • Compromiso con el proveedor: Alto costo en el cambio de suplidor en caso de que el seleccionado no resulte satisfactorio.
  • Incorporación de riesgos: Con la incorporación de un nuevo actor en los procesos del negocio, existen nuevos riesgos que se deben atender.
  • Incorporación de nuevos roles y responsabilidades: Se requiere la creación de nuevos roles en la organización para que coordine y gestiones la interrelación con el proveedor

Tercerizando la Seguridad de Información

El primer paso para la tercerización de la Seguridad de Información es determinar exactamente qué se va a tercerizar y qué permanece internamente. Esto permitirá establecer el alcance de la tercerización y definir los requerimientos hacia el proveedor. A esto debe añadirse una investigación del proveedor que debe considerar lo siguiente:
  • Situación financiera del proveedor
  • Reputación
  • Tamaño
  • Costos de implantación y mantenimiento
  • Ubicación
  • Respaldo internacional
El otro elemento a determinar es el nivel de tercerización de las actividades de Seguridad de Información, y la estrategia de tercerización. Sobre este último podemos determinar esquemas de autoservicio o de total delegación, y realizar un esquema parcial o progresivo de transferencia hacia un outsourcing. Un ejemplo de delegación progresiva, bajo lineamientos de garantizar la segregación de funciones, reteniendo funciones claves sería la siguiente secuencia:
  1. Monitoreo de eventos
  2. Investigación de incidentes
  3. Evaluaciones periódicas de seguridad y controles
  4. Seguimiento a los planes de acción
  5. Diseño e implementación de procedimientos de gestión
  6. Respuesta a incidentes
  7. Implantación de controles de seguridad
  8. Gestión de requerimientos por parte de los usuarios, considerando en primera instancia un esquema de service-desk que asegure la ejecución de las actividades por parte del personal de seguridad de la empresa
Finalmente, es importante destacar que aún cuando la gestión de Seguridad esté tercerizada, este proceso forma parte de los procesos del negocio y como tal debe ser tratado, considerando su revisión recurrente, evaluación y mejora continua. Este último aspecto debe formar parte del acuerdo formal con el proveedor, en función de asegurar una reducción progresiva de los costos o un incremento constante de los beneficios de tercerizar total o parcialmente la Función de Seguridad de Información.


Fuente: Computer World

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!