5 ventajas y 5 inconvenientes de subcontratar servicios de ciberseguridad
01/12/2014, por INCIBE
La externalización de servicios de ciberseguridad es una práctica muy extendida en la actualidad. Existen múltiples motivos por los que resulta conveniente optar por externalizar un servicio pero ¿qué pasa con los inconvenientes?, ¿conoces los riesgos de seguridad asociados?
A continuación analizaremos ventas e inconvenientes de esta práctica.
Ventajas de subcontratar servicios de ciberseguridad.
1. Especialización y calidad.
Al externalizar los servicios TIC, en general, y los relativos a la ciberseguridad, en particular, se persigue obtener unos servicios de calidad superior a la que seríamos capaces de ofrecer valiéndonos de los recursos propios. El incremento en la calidad se debe principalmente a que en la provisión del servicio intervienen profesionales expertos en una materia determinada y, a su vez, el proveedor dispone de recursos específicos y adecuados para proporcionar el servicio. Esto es especialmente importante cuando se trata de servicios de ciberseguridad ya que es fundamental conocer las tendencias de las amenazas y riesgos de la seguridad para actuar en consecuencia.
2. Reducción de costes.
Uno de los argumentos más frecuentes a la hora de subcontratar servicios de ciberseguridad tiene que ver con la reducción de costes. Por norma general, resulta más económico obtener un servicio experto por parte de terceros que adquirir los recursos necesarios para proveer internamente dicho servicio. Por ejemplo, imaginemos que vamos a potenciar nuestro negocio a través de la creación de un portal para la venta online y nos encontramos en la necesidad de llevar a cabo una auditoría técnica de seguridad sobre dicho portal. En este caso, nos resulta más conveniente subcontratar dicha auditoría que preparar todo lo necesario para que sea un miembro de nuestra organización quien lleve a cabo los trabajos descritos.
3. Menor impacto por la obsolescencia.
Los servicios de ciberseguridad guardan una fuerte y estrecha relación con la tecnología. En los últimos tiempos ésta avanza y evoluciona a un ritmo vertiginoso lo que hace que las infraestructuras queden obsoletas rápidamente. Al externalizar los servicios de ciberseguridad se reduce considerablemente el impacto derivado de la obsolescencia. Por ejemplo, imaginemos que en el desarrollo de nuestro plan de continuidad de negocio optamos una solución de alta disponibilidad que requiera la existencia de un Centro de Proceso de Datos (CPD) de respaldo. Para ello, puede ser recomendable externalizar el servicio de respaldo en lugar de adquirir los equipos y construir un segundo CPD en nuestras instalaciones. No entramos a valorar otras cuestiones igualmente importantes como la conveniencia de que un CPD de respaldo no esté físicamente próximo al CPD principal.
4. Atención a los procesos de negocio.
Por norma general, los servicios TIC son servicios que soportan los procesos de negocio de la organización pero no son en sí mismos el objetivo de esta. Esto es igualmente aplicable a los servicios de ciberseguridad, a los que podemos considerar servicios transversales. Por ejemplo, un servicio para la detección, atención y respuesta ante ciberataques dirigidos contra nuestra página web corporativa puede aportar gran valor para nuestra organización evitando interrupciones en nuestros procesos de comercio online. Sin embargo, aunque este servicio sea importante, nuestros procesos clave serán de otra naturaleza, como por ejemplo, la fabricación de electrodomésticos, servicios de hostelería, etc. La externalización de estos servicios permite a una organización prestar mayor atención a sus procesos de negocio.
5. Flexibilidad.
Es más sencillo adaptar un servicio externalizado ampliando su alcance, funcionalidad, incrementando la capacidad, etc. que reorganizar la propia empresa. Por ejemplo, imaginemos que disponemos de un servicio externo para el análisis del tráfico que circula desde nuestra red corporativa a Internet y, tras una fusión de compañías, estamos interesados en ampliar el alcance para que incluya las comunicaciones de la nueva infraestructura. Ante esta situación, únicamente cabría solicitar una ampliación del servicio al proveedor externo. Si por el contrario fuéramos nosotros quienes llevaran a cabo el servicio descrito con recursos propios, necesitaríamos adquirir nuevos sistemas, herramientas, etc. siendo más complicado adaptarnos a los cambios de nuestra compañía.
Inconvenientes de subcontratar servicios de ciberseguridad.
1. Dependencia de terceros.
Al externalizar servicios estamos generando dependencias con proveedores. Esto puede tener implicaciones negativas desde el punto de vista de la seguridad de la información en cuestiones tan importantes como la continuidad de negocio. En este sentido, la interrupción del servicio podría tener graves implicaciones para la actividad de nuestra empresa. También en esta línea, será necesario adaptar nuestros planes de recuperación para que contemplen el papel que jugará nuestro proveedor y se establezcan los protocolos de comunicación para coordinar la recuperación de los servicios en caso de que fuera necesario.
2. Contacto con el cliente final.
Si se externaliza un servicio dirigido al cliente, se pierde la comunicación directa con estos. Esto puede suponer un problema ya que corremos el riesgo de no recibir el feedback, opiniones, quejas y sugerencias que son de gran valor para poder mantener los clientes, mejorar la provisión del servicio e incrementar la seguridad en nuestra empresa. Por ejemplo, imaginemos que nuestra empresa dispone de un servicio consistente en una herramienta online para la administración de fincas. Si externalizamos un servicio cuyo objetivo es atender a los incidentes de seguridad que tengan los clientes de nuestra plataforma online, podemos perder información de gran valor relativa a la usabilidad de nuestra herramienta, propuesta de nuevas funcionalidades o simplemente información acerca del grado de satisfacción del cliente.
3. Acceso a la información corporativa.
Es probable que el proveedor tenga acceso (o potencial acceso) a información de nuestra empresa, incluso que maneje nuestra información corporativa con sus sistemas propios sistemas ubicados en instalaciones externas. En esta situación, la seguridad de nuestra información dependerá de las medidas de seguridad que haya implantado nuestro proveedor. Derivado de esta situación, existe un riesgo potencial de que se produzcan fugas de información cuyo origen sea nuestro proveedor.
4. Potencial pérdida de control sobre el servicio.
Al delegar la provisión de un servicio de ciberseguridad en un proveedor, perdemos el control directo sobre dicho servicio. Es posible pensar que no han ocurrido incidentes cuando en realidad lo que ocurre es que no hemos sido informados de ello. Esto puede ocasionar que tengamos una percepción errónea sobre el estado del mismo.
5. Know-how en manos del proveedor.
Durante la provisión del servicio se genera conocimiento que es de gran valor tanto para quien realiza la provisión del servicio como para quien lo recibe. Dentro de este conocimiento se incluye información relativa a la resolución de incidencias, problemas, oportunidades de mejora, cuestiones para la optimización del rendimiento, etc. por norma general, es el proveedor del servicio quien tiene acceso directo a esta información y, por lo tanto, si externalizamos la prestación del servicio de ciberseguridad corremos el riesgo de perder dicho conocimiento. Tal y como cabe esperar, la información sobre el estado de seguridad de nuestra empresa tiene una gran importancia para la continuidad de las operaciones. Pensemos sobre qué ocurriría si salieran a la luz vulnerabilidades de nuestros sistemas de información que pudieran ser aprovechadas por la competencia y/o simplemente explotados con fines delictivos.
Externalizar o no externalizar, esa es la cuestión.
Tal y como hemos podido comprobar, son muchos beneficios que podemos obtener a través de la externalización de servicios de ciberseguridad, pero a su vez, esta práctica conlleva una serie de riesgos que pueden acarrear graves consecuencias para nuestra organización, sino somos capaces de gestionarlos de manera adecuada.
La conveniencia de externalizar un servicio de ciberseguridad es una cuestión que se debe analizar individualmente en cada organización ya que depende de múltiples factores. Por lo tanto, os recomendamos que valoréis cada caso particular y, si optáis por externalizar, sigáis las buenas prácticas para la contratación de servicios TIC (Enlace al artículo “Política de contratación segura de servicios TIC”).
El nuevo contexto nacional e internacional en el que se encuentra inmersa España exige un Servicio de Inteligencia dinámico, capaz de prevenir los riesgos que amenazan a nuestro país y promover, en su caso, los intereses nacionales en el exterior. La base del dinamismo del CNI es el equipo de profesionales que componen la organización, individuos que independientemente de su variada procedencia y formación, tienen como elemento en común su deseo de servir a España. La carrera en el centro no constituye solo un trabajo, es un estilo de vida, en el que la motivación por proteger el interés común prima por encima de las aspiraciones personales de sus miembros, para los que la satisfacción por el deber cumplido es su principal estímulo.
La lealtad, la discreción y el espíritu de sacrificio son cualidades que se exigen a todos sus miembros, que representan la realidad compleja de España, ya que desde el punto de vista personal se busca una composición lo mas diversa posible. A cambio, el CNI te ofrece la oportunidad de estar en la primera línea de la seguridad nacional, contribuyendo a diseñar el futuro, en un ambiente innovador en el que se valora y potencia la contribución que el individuo puede realizar al trabajo en equipo. Si te preocupa el futuro de España y la Comunidad Internacional, si te motiva la seguridad, si sientes interés por conocer otras realidades e interactuar en otros ámbitos culturales, si valoras el sentido de pertenencia a una organización, el CNI es la institución capaz de canalizar tus aspiraciones y ofrecerte un futuro profesional.
Blog Segurpricat Siseguridad Ciberseguridad 