Sunday, February 19, 2006

¿Interesa externalizar la Seguridad de la Información?

Si algún área de la actividad empresarial queda a priori bajo sospecha al plantearse la opción de externalización, esa ha sido tradicionalmente la de la seguridad de la información. Es evidente que los sectores impulsores de la demanda en seguridad, el sector bancario y el de telecomunicaciones, principalmente, muestran razones “filosóficas” para mantener sus sistemas controlados por personal interno. El principal argumento para esta visión es la reticencia a poner en manos de terceros una actividad compleja y multidisciplinar encargada de la protección de información interna y confidencial, que, para colmo, resulta crítica para el negocio en el caso de muchos sectores.
La reticencia surge del hecho de que, por muy leonino que sea el Acuerdo de Nivel de Servicio (más habitual en su acepción inglesa, Service Level Agreement o SLA) que firme con mi proveedor ¿qué garantías reales puedo tener una organización de que su información se mantenga confidencial en el largo plazo? ¿Es aceptable que una empresa externa tenga acceso a conocer quienes son mis mejores clientes y cuales son sus cifras de facturación? ¿Puedo arriesgarme a que sepa con antelación el plan de negocio del nuevo producto que preveo lanzar al mercado el mes que viene? ¿Y mis proyectos de I+D?
La realidad, sin embargo, nos muestra que numerosas empresas confían ciegamente en su personal interno para la gestión de la información altamente confidencial, y que, probablemente, este personal no dispone en muchas ocasiones del rigor y conocimiento necesario suficiente para proteger sus activos de información del mismo modo que lo hacen las empresas especializadas. Amén de que convertirse de empleado en ex empleado es, en la sociedad actual, cada vez cuestión de (poco) tiempo.
¿Tengo más motivos para confiar en mi personal interno que en una empresa externa, de cuya escrupuloso respeto de su garantía de confidencialidad depende su supervivencia como negocio? La verdad es que no parece que podamos dar una concluyente respuesta positiva a esa pregunta. Con lo que, superada la desconfianza inicial hacia este acceso de mi información por parte de un tercero, la opción de externalización debe ser, cuando menos, considerada en profundidad.
Un adecuado análisis de riesgo nos determinará el grado de exposición de nuestra empresa a las riesgos y amenazas a los que está expuesta, y permitirá disponer de una información adecuada para definir y priorizar nuestras actividades de gestión de la seguridad. Una vez analizados y evaluados los riesgos, la organización debe tomar decisiones sobre su gestión: ¿dispongo de suficientes recursos internos para abordar esta planificación, definición, implantación y mantenimiento de mi Plan Director de Seguridad en condiciones ventajosas de calidad y de coste?. Tal vez sí en alguno de los puntos, pero difícilmente en todos: de ahí que, progresivamente, se observa una tendencia en el mercado a la externalización de, al menos, parte de los procesos de gestión de la seguridad.
Este proceso de externalización es ya una realidad en la auditoría, diseño e implantación de sistemas. Las organizaciones cada vez más buscan propuestas de proveedores que se adhieran y lideren iniciativas basadas en estándares como los propuestos en la sección anterior, de carácter internacional y con el respaldo de la mayoría de las empresas, en detrimento de oscuros procedimientos propietarios de incierto desarrollo futuro.
En el ámbito puramente tecnológico, el crecimiento desbocado de actividad hostil proveniente de virus, troyanos, spyware y demás malware, cada vez más inteligente; intentos de intrusión y rotura de la defensa perimetral, a través de ataques cada vez más avanzados a nivel de aplicación, etc, requiere de unas tecnologías costosas, y de los correspondientes recursos humanos para su gestión, en continua formación.
Estas exigencias hacen viable para muchas organizaciones la propuesta de externalización de servicios de seguridad gestionada. Es evidente que, gracias a las economías de escala que se producen en los modelos de negocio de estos proveedores, resulta más rentable contratar una empresa externa especializada que supervise mi seguridad (para entendernos, un “Prosegur virtual”), que mantener internamente los recursos necesarios, especialmente si lo que se busca es un modelo de servicio 24x7. Las organizaciones comienzan a demandar propuestas de servicios maduros, que vayan más allá del ‘alquiler’ de personal especializado al que nos tiene acostumbrado el sector de las TIC.
Por otro lado, el desarrollo normativo ha sido especialmente prolífico en estos últimos años. (LOPD, LSSI, Ley General de Telecomunicaciones, Ley de Firma Electrónica, etc), lo que demanda igualmente una actualización continua en aspectos de obligado cumplimiento en el sector. La conformidad legal se plantea como necesidad y marco de actuación mínima sobre el que debe basarse cualquier proyecto de organización y gestión de la seguridad de la información. El conocimiento multidisciplinar, no solo de los aspectos tecnológicos, sino también de los legales, ha de ser una de las variables que es preciso considerar a la hora de evaluar la disponibilidad de personal interno suficientemente formado, o, en la opción de externalización, en la que a la hora de elección de proveedor de servicios de seguridad, ha de ser muy importante la cobertura en el triple eje tecnológico, procedimental y legal.

0 Comments:

Post a Comment

<< Home