5 ventajas y 5 inconvenientes de subcontratar servicios de ciberseguridad

 

5 ventajas y 5 inconvenientes de subcontratar servicios de ciberseguridad

01/12/2014, por INCIBE

La externalización de servicios de ciberseguridad es una práctica muy extendida en la actualidad. Existen múltiples motivos por los que resulta conveniente optar por externalizar un servicio pero ¿qué pasa con los inconvenientes?, ¿conoces los riesgos de seguridad asociados?

A continuación analizaremos ventas e inconvenientes de esta práctica.

Ventajas de subcontratar servicios de ciberseguridad.

1. Especialización y calidad.

Al externalizar los servicios TIC, en general, y los relativos a la ciberseguridad, en particular, se persigue obtener unos servicios de calidad superior a la que seríamos capaces de ofrecer valiéndonos de los recursos propios. El incremento en la calidad se debe principalmente a que en la provisión del servicio intervienen profesionales expertos en una materia determinada y, a su vez, el proveedor dispone de recursos específicos y adecuados para proporcionar el servicio. Esto es especialmente importante cuando se trata de servicios de ciberseguridad ya que es fundamental conocer las tendencias de las amenazas y riesgos de la seguridad para actuar en consecuencia.

2. Reducción de costes.

Uno de los argumentos más frecuentes a la hora de subcontratar servicios de ciberseguridad tiene que ver con la reducción de costes. Por norma general, resulta más económico obtener un servicio experto por parte de terceros que adquirir los recursos necesarios para proveer internamente dicho servicio. Por ejemplo, imaginemos que vamos a potenciar nuestro negocio a través de la creación de un portal para la venta online y nos encontramos en la necesidad de llevar a cabo una auditoría técnica de seguridad sobre dicho portal. En este caso, nos resulta más conveniente subcontratar dicha auditoría que preparar todo lo necesario para que sea un miembro de nuestra organización quien lleve a cabo los trabajos descritos.

3. Menor impacto por la obsolescencia.

Los servicios de ciberseguridad guardan una fuerte y estrecha relación con la tecnología. En los últimos tiempos ésta avanza y evoluciona a un ritmo vertiginoso lo que hace que las infraestructuras queden obsoletas rápidamente. Al externalizar los servicios de ciberseguridad se reduce considerablemente el impacto derivado de la obsolescencia. Por ejemplo, imaginemos que en el desarrollo de nuestro plan de continuidad de negocio optamos una solución de alta disponibilidad que requiera la existencia de un Centro de Proceso de Datos (CPD) de respaldo. Para ello, puede ser recomendable externalizar el servicio de respaldo en lugar de adquirir los equipos y construir un segundo CPD en nuestras instalaciones. No entramos a valorar otras cuestiones igualmente importantes como la conveniencia de que un CPD de respaldo no esté físicamente próximo al CPD principal.

4. Atención a los procesos de negocio.

Por norma general, los servicios TIC son servicios que soportan los procesos de negocio de la organización pero no son en sí mismos el objetivo de esta. Esto es igualmente aplicable a los servicios de ciberseguridad, a los que podemos considerar servicios transversales. Por ejemplo, un servicio para la detección, atención y respuesta ante ciberataques dirigidos contra nuestra página web corporativa puede aportar gran valor para nuestra organización evitando interrupciones en nuestros procesos de comercio online. Sin embargo, aunque este servicio sea importante, nuestros procesos clave serán de otra naturaleza, como por ejemplo, la fabricación de electrodomésticos, servicios de hostelería, etc. La externalización de estos servicios permite a una organización prestar mayor atención a sus procesos de negocio.

5. Flexibilidad.

Es más sencillo adaptar un servicio externalizado ampliando su alcance, funcionalidad, incrementando la capacidad, etc. que reorganizar la propia empresa. Por ejemplo, imaginemos que disponemos de un servicio externo para el análisis del tráfico que circula desde nuestra red corporativa a Internet y, tras una fusión de compañías, estamos interesados en ampliar el alcance para que incluya las comunicaciones de la nueva infraestructura. Ante esta situación, únicamente cabría solicitar una ampliación del servicio al proveedor externo. Si por el contrario fuéramos nosotros quienes llevaran a cabo el servicio descrito con recursos propios, necesitaríamos adquirir nuevos sistemas, herramientas, etc. siendo más complicado adaptarnos a los cambios de nuestra compañía.

Inconvenientes de subcontratar servicios de ciberseguridad.

1. Dependencia de terceros.

Al externalizar servicios estamos generando dependencias con proveedores. Esto puede tener implicaciones negativas desde el punto de vista de la seguridad de la información en cuestiones tan importantes como la continuidad de negocio. En este sentido, la interrupción del servicio podría tener graves implicaciones para la actividad de nuestra empresa. También en esta línea, será necesario adaptar nuestros planes de recuperación para que contemplen el papel que jugará nuestro proveedor y se establezcan los protocolos de comunicación para coordinar la recuperación de los servicios en caso de que fuera necesario.

2. Contacto con el cliente final.

Si se externaliza un servicio dirigido al cliente, se pierde la comunicación directa con estos. Esto puede suponer un problema ya que corremos el riesgo de no recibir el feedback, opiniones, quejas y sugerencias que son de gran valor para poder mantener los clientes, mejorar la provisión del servicio e incrementar la seguridad en nuestra empresa. Por ejemplo, imaginemos que nuestra empresa dispone de un servicio consistente en una herramienta online para la administración de fincas. Si externalizamos un servicio cuyo objetivo es atender a los incidentes de seguridad que tengan los clientes de nuestra plataforma online, podemos perder información de gran valor relativa a la usabilidad de nuestra herramienta, propuesta de nuevas funcionalidades o simplemente información acerca del grado de satisfacción del cliente.

3. Acceso a la información corporativa.

Es probable que el proveedor tenga acceso (o potencial acceso) a información de nuestra empresa, incluso que maneje nuestra información corporativa con sus sistemas propios sistemas ubicados en instalaciones externas. En esta situación, la seguridad de nuestra información dependerá de las medidas de seguridad que haya implantado nuestro proveedor. Derivado de esta situación, existe un riesgo potencial de que se produzcan fugas de información cuyo origen sea nuestro proveedor.

4. Potencial pérdida de control sobre el servicio.

Al delegar la provisión de un servicio de ciberseguridad en un proveedor, perdemos el control directo sobre dicho servicio. Es posible pensar que no han ocurrido incidentes cuando en realidad lo que ocurre es que no hemos sido informados de ello. Esto puede ocasionar que tengamos una percepción errónea sobre el estado del mismo.

5. Know-how en manos del proveedor.

Durante la provisión del servicio se genera conocimiento que es de gran valor tanto para quien realiza la provisión del servicio como para quien lo recibe. Dentro de este conocimiento se incluye información relativa a la resolución de incidencias, problemas, oportunidades de mejora, cuestiones para la optimización del rendimiento, etc. por norma general, es el proveedor del servicio quien tiene acceso directo a esta información y, por lo tanto, si externalizamos la prestación del servicio de ciberseguridad corremos el riesgo de perder dicho conocimiento. Tal y como cabe esperar, la información sobre el estado de seguridad de nuestra empresa tiene una gran importancia para la continuidad de las operaciones. Pensemos sobre qué ocurriría si salieran a la luz vulnerabilidades de nuestros sistemas de información que pudieran ser aprovechadas por la competencia y/o simplemente explotados con fines delictivos.

Externalizar o no externalizar, esa es la cuestión.

Tal y como hemos podido comprobar, son muchos beneficios que podemos obtener a través de la externalización de servicios de ciberseguridad, pero a su vez, esta práctica conlleva una serie de riesgos que pueden acarrear graves consecuencias para nuestra organización, sino somos capaces de gestionarlos de manera adecuada.

La conveniencia de externalizar un servicio de ciberseguridad es una cuestión que se debe analizar individualmente en cada organización ya que depende de múltiples factores. Por lo tanto, os recomendamos que valoréis cada caso particular y, si optáis por externalizar, sigáis las buenas prácticas para la contratación de servicios TIC (Enlace al artículo “Política de contratación segura de servicios TIC”).

Anuncios

2 Comentarios

  1. Acceso a la información corporativa.

    Es probable que el proveedor tenga acceso (o potencial acceso) a información de nuestra empresa, incluso que maneje nuestra información corporativa con sus sistemas propios sistemas ubicados en instalaciones externas. En esta situación, la seguridad de nuestra información dependerá de las medidas de seguridad que haya implantado nuestro proveedor. Derivado de esta situación, existe un riesgo potencial de que se produzcan fugas de información cuyo origen sea nuestro proveedor.

    Me gusta

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s