Outsourcing
Outsourcing
de la Seguridad.
de la Seguridad.
¿
¿
Se puede?
Se puede?
Ra
Ra
ú
ú
l Castellanos
l Castellanos
rcastellanos@cybsec.com rcastellanos@cybsec.comCYBSEC
CYBSEC
Outsourcing de la Seguridad. ¿Se puede?
Definiendo “outsourcing”
El outsourcing involucra la transferencia a un proveedor externo, del gerenciamiento y/o la ejecución cotidiana de una función del negocio.
El cliente y el proveedor establecen una relación contractual que rige las condiciones de la prestación del servicio (SLA).
Realizar el outsourcing de la seguridad de la información requiere que la compañía tenga pruebas objetivas de la eficacia del proveedor y tenga confianza en que el mismo realizará sus actividades en forma correcta.
Outsourcing de la Seguridad. ¿Se puede?
Responsabilidad
A pesar de que el control de gestión y la operatoria pasan a manos del proveedor, Ustedes siguen siendo responsables por la seguridad. Si algo sucede, la responsabilidad siempre recae sobre Ustedes.
El proveedor de los servicios de outsourcing debería demandar que los clientes tengan un rol activo en el management del outsourcing.
Outsourcing de la Seguridad. ¿Se puede?
Estado actual en EEUU
Los niveles de outsourcing de las tareas de seguridad se han mantenido en los mismos niveles en los últimos dos años.
El 61% de las Organizaciones no realiza ningún tipo de
Outsourcing de la Seguridad. ¿Se puede?
¿Que se puede “outsourcear”?
- Monitoreo/Gestión de firewalls, IDS y VPNs
- Monitoreo y Gestión de antivirus y antispamming - Detección remota de vulnerabilidades
- Respuesta a incidentes - Soporte a proyectos
- Gestión de Logs - Penetration Tests
Outsourcing de la Seguridad. ¿Se puede?
¿Quiénes son los “Managed Security Services Providers” (MSSP)?
Son proveedores que ofrecen soporte on-site, monitoreo remoto, gerenciamiento de servicios de seguridad y soporte 24x7 en procesos de monitoreo, protección, escalación y respuesta ante incidentes.
Outsourcing de la Seguridad. ¿Se puede?
Ventajas del outsourcing de la seguridad de la información
- Altos niveles de especialización
- Actualización constante del personal involucrado - Mejorar el nivel de seguridad
- Bajar costos
- Evitar contratar personal
- Liberar personal interno para otras tareas
- Imposibilidad de retener a los expertos del área de seguridad - Alguien más puede hacerlo mejor, más barato y/o
Outsourcing de la Seguridad. ¿Se puede?
Desventajas del outsourcing de la seguridad de la información
- Se le da acceso a activos críticos a terceras personas, sobre las que no se tiene control directo
- No se crea expertise y know-how dentro de la compañía - Si algo sucede, la responsabilidad legal puede ser limitada
- ¿Qué sucede si el proveedor cierra de repente (Pilot Networks, Covad, Nettel, LMGT, etc)?
- Los tiempos de respuesta tienden a incrementarse con el paso del tiempo
Outsourcing de la Seguridad. ¿Se puede?
Regulaciones del Mercado Financiero
BCRA 4609 – Sección 7 – Delegación de actividades en terceros
Responsabilidades propias de la entidad
El Directorio, o autoridad equivalente de la entidad financiera, debe establecer y aprobar formalmente políticas basadas en un previo análisis de riesgos. Para toda actividad vinculada a la administración y/o procesamiento de datos, sistemas o tecnologías relacionadas, deberá evidenciarse la existencia de contratos que definan claramente el alcance de los
Outsourcing de la Seguridad. ¿Se puede?
Regulaciones del Mercado Financiero
BCRA 4609 – Sección 7 – Delegación de actividades en terceros
Responsabilidades del tercero
Los terceros, en los cuales se hayan delegado actividades vinculadas a la administración y/o procesamiento de datos, sistemas o tecnologías relacionadas, deben mantener la aplicación de las pautas mínimas establecidas en las presentes normas.
Los sistemas de administración de la seguridad de los datos, y de los programas relativos a una entidad financiera, tendrán un entorno de seguridad individual.
Outsourcing de la Seguridad. ¿Se puede?
Regulaciones del Mercado Financiero
BCRA 4609 – Sección 7 – Delegación de actividades en terceros
Control de las actividades delegadas
El Directorio, o autoridad equivalente de la entidad, es el responsable primario sobre el control y monitoreo continuo del cumplimiento de los niveles de servicios acordados, el mantenimiento de confidencialidad de la información y de todos los aspectos normados por la presente comunicación.
Outsourcing de la Seguridad. ¿Se puede?
Recomendaciones para elegir un Proveedor
- No elegir sólo por precio
- Elegir un proveedor con un servicio full, que acredite experiencia en otros clientes
- Posibilitar la ‘marcha atrás’
- Tener especial cuidado con la confidencialidad de la información y con la supraactividad del Proveedor - Corroborar que tenga una sólida situación financiera
Outsourcing de la Seguridad. ¿Se puede?
Conclusiones
: Sí se puede.Debemos tener cuidado en:
Definir bien qué nos conviene externalizar.
Hacer una cuidadosa selección del proveedor. Elaborar un buen contrato y SLA.
