La tercerización de la Seguridad de Información


El Outsourcing y la Seguridad de Información


El Outsourcing puede entenderse como la transferencia de la propiedad de un proceso de negocio a un proveedor o el uso de recursos externos a la empresa para realizar actividades tradicionalmente ejecutadas por personal y con recursos internos.  Aunque en un contexto globalizado, esta estrategia ha demostrado proveer esquemas de optimización y ahorro en muchas áreas del negocio, no es usual que las organizaciones consideren tercerizar procesos relacionados con la Seguridad de Información. La razón nace de la esencia misma de la Seguridad de Información y su aparente contraposición con lo que representa la incorporación de un tercero a estos procesos:

El objetivo principal de la seguridad de la información consiste en el fortalecimiento de tres principios clave: confidencialidad, integridad y disponibilidad. El primero de estos principios es el que más ocupa a los CISO de las organizaciones, y el que pareciera no ser consistente con un proceso de tercerización. Los otros principios no dejan de ser importantes, y en el cumplimiento de los tres es donde los costos sugieren un enfoque práctico.

En el ciclo de vida de la seguridad de información, existen un conjunto de actividades que requieren personal con niveles de especialización, tecnología y procesos claramente definidos. Imaginemos el número de personas y especializaciones para realizar los siguientes procesos:

1.Planificación estratégica del CISO
2.Seguimiento de los planes de acción
3.Diseño e implementación de procedimientos de gestión
4.Evaluaciones periódicas de seguridad y controles
5.Monitoreo de eventos
6.Respuesta a incidentes
7.Investigación de incidentes
8.Gestión de requerimientos por parte de los usuarios, incluyendo definición de usuarios
9.Implantación de controles de seguridad

Estructurado de esta manera, comienza a visualizarse que la Seguridad de Información es un conjunto de actividades que agrupadas de manera apropiada pueden ser delegadas o subcontratadas. Adicionalmente se identifican actividades que no deberían recaer en el mismo personal, como es el caso de los numerales 7 y 8, 2 y 3, 4 y 6 o 4 y 9, ya que su cúmulo afecta la efectividad de algunos controles establecidos.

Entonces, ¿tercerizamos o no?
La decisión de tercerizar la Seguridad de Información es compleja. Hay mucho en juego, por lo que la reacción más común es la indecisión:
-Los beneficios prometidos por el outosourcing de seguridad son atractivos: El potencial para aumentan significativamente la seguridad sin tener que contratar media docena de personas o gastar una fortuna es imposible de ignorar.
-Los posibles riesgos son considerables: La dependencia de otra empresa y malas experiencias con otras áreas de outsourcing de TI, muestran que la selección de la empresa de outsourcing equivocado puede tener impactos considerables.

Para variar, esta decisión pasa por un análisis de cada caso de los riesgos y de los beneficios, pero en todos los casos el proveedor es un factor crítico en el análisis. Es por esto que si la decisión es tercerizar se debe establecer un proceso de selección de estrategias y  actores.

Ventajas del Outsourcing de Seguridad de Información
-Reducción de costos de personal: Para lograr desarrollar una gestión de seguridad  de información sólida e integral, es necesario el concierto de gran variedad de conocimientos y habilidades, que usualmente se traduce en un equipo altamente entrenado y que en consecuencia requiere una alta remuneración.
-Permite a la empresa responder con rapidez a los cambios del entorno: En una empresa  de outsourcing, el  negocio principal es la seguridad, por lo que puede y debe dedicar recursos a la actualización y seguimiento del mercado en todo lo relacionado a riesgos y seguridad. Esta inversión se traslada en beneficio a sus clientes, con un impacto financiero inferior para el cliente.
-Incremento en la calidad del servicio: La calidad del servicio relacionado con la gestión de seguridad estará regida por acuerdos de servicio formalmente definidos y estos niveles deberán estar garantizados.
-Actualización tecnológica: Permite a la empresa emprender actualizaciones tecnológicas y estar a la vanguardia sin la necesidad de formar al personal de la organización para manejar los riesgos asociados.
-Optimización del uso de recursos: Permite la aplicación del talento y los recursos de la organización a las áreas claves del negocio.
-Aumento de la flexibilidad de la organización y disminución de sus costos fijos.
-Actualización de activos de información: Los activos de información relacionados con la gestión de la seguridad no requieren de inversión por parte de la empresa para que sean actualizados

Principales consideraciones  para el Outsourcing de Seguridad de Información
-Dependencia del proveedor: Queda en manos del proveedor la capacidad de respuesta ante la innovación.
-Expectativas insatisfechas: El costo ahorrado con el uso de outsourcing puede que no sea el esperado.
-Compromiso con el proveedor: Alto costo en el cambio de suplidor en caso de que el seleccionado no resulte satisfactorio.
-Incorporación de riesgos: Con la incorporación de un nuevo actor en los procesos del negocio, existen nuevos riesgos que se deben atender.
-Incorporación de nuevos roles y responsabilidades: Se requiere la creación de nuevos roles en la organización para que coordine y gestiones la interrelación con el proveedor

Tercerizando la Seguridad de Información
El primer paso para la tercerización de la Seguridad de Información es determinar exactamente qué se va a tercerizar y qué permanece internamente. Esto permitirá establecer el alcance de la tercerización y definir los requerimientos hacia el proveedor. A esto debe añadirse una investigación del proveedor que debe considerar lo siguiente:
-Situación financiera del proveedor
-Reputación
-Tamaño
-Costos de implantación y mantenimiento
-Ubicación
-Respaldo internacional

El otro elemento a determinar es el nivel de tercerización de las actividades de Seguridad de Información, y la estrategia de tercerización. Sobre este último podemos determinar esquemas de autoservicio o de total delegación, y realizar un esquema parcial o progresivo de transferencia hacia un outsourcing. Un ejemplo de delegación progresiva, bajo lineamientos de garantizar la segregación de funciones, reteniendo funciones claves sería la siguiente secuencia:
1.Monitoreo de eventos
2.Investigación de incidentes
3.Evaluaciones periódicas de seguridad y controles
4.Seguimiento a los planes de acción
5.Diseño e implementación de procedimientos de gestión
6.Respuesta a incidentes
7.Implantación de controles de seguridad
8.Gestión de requerimientos por parte de los usuarios, considerando en primera instancia un esquema de service-desk que asegure la ejecución de las actividades por parte del personal de seguridad de la empresa

Finalmente, es importante destacar que aún cuando la gestión de Seguridad esté tercerizada, este proceso forma parte de los procesos del negocio y como tal debe ser tratado, considerando su revisión recurrente, evaluación y mejora continua. Este último aspecto debe formar parte del acuerdo formal con el proveedor, en función de asegurar una reducción progresiva de los costos o un incremento constante de los beneficios de tercerizar total o parcialmente la Función de Seguridad de Información.


Roberto Sánchez V.  – @robersv (*)

Via ComputerWorld

(*) El autor es Socio de PwC Espiñeira, Sheldon y Asociados. @PwC_Venezuela

Anuncios

Acerca de Luis Castellanos

Luego de unos años en Maracaibo, de regreso en Caracas. Docente Universitario y Bloguero. Orgulloso padre de dos hijos. luiscastellanos @ yahoo.com | @lrcastellanos

Publicado el 25 abril 2011 en Seguridad Informática, Seguridad Informática. Añade a favoritos el enlace permanente. 1 comentario.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: