Casi toda la seguridad puede ser tercerizada, pero no el riesgo
¿Qué controles de seguridad críticos se pueden subcontratar y cómo las organizaciones, en particular las PyMEs, mantienen la confianza de que se están manejando de manera efectiva y adecuada?
Casi todos los controles de seguridad críticos se pueden tercerizar, con una gama de servicios en oferta –desde servicios de bajo nivel y en gran medida comercializados– como firewalls, monitoreo de red y administración de antivirus, hasta servicios de consultoría y personalizados diseñados para una organización y un entregable dado.
Las organizaciones pueden comprar horas, el completar una actividad en particular o la experiencia de un individuo, como ofertas de CISO como servicio. Sin embargo, las organizaciones no pueden externalizar el riesgo o la responsabilidad.
Independientemente de si la falla recae en un tercero por un incidente de seguridad, será la reputación de la organización la que sufra. Por esta razón, es imperativo que los riesgos de información asociados con cualquier acuerdo de subcontratación se evalúen cuidadosamente y que las obligaciones del proveedor o proveedor de servicios se definan con precisión.
La tercerización de la seguridad ofrece varios beneficios. Particularmente para organizaciones más pequeñas, la tercerización puede brindar acceso a profundos conocimientos de seguridad y buenas prácticas que, de lo contrario, serían prohibitivos. El outsourcing, sin embargo, implica cierta pérdida de control.
Las organizaciones pueden reforzar su confianza en la gestión tercerizada de su seguridad al prestar la debida consideración a los siguientes factores:
- Prácticas de seguridad de la información y estándares de posibles proveedores de servicios externos;
- Clasificación de la información que se colocará bajo el cuidado del proveedor externo;
- Interdependencias entre la función que se subcontratará y otras funciones de negocios;
- Capacidad del proveedor de tercerización para tomar una decisión sin conocimiento del negocio;
- Qué decisiones puede tomar el proveedor externo y cómo afectará el negocio;
- Cómo se manejará un incidente que involucre al proveedor externo o sus otros clientes;
- Estrategias de salida de la relación en la eventualidad de una terminación anticipada del acuerdo.
Sobre todo, el detalle del contrato de tercerización es primordial para mantener la confianza y mitigar los riesgos de la externalización. Debe estipular claramente las expectativas del proveedor externo, que incluyen:
- Tareas y servicios exactos que se tercerizarán;
- Estándares que el proveedor externo debe cumplir (requisitos legales y regulatorios, por ejemplo);
- Indicadores clave de rendimiento (KPI) y requisitos de informes;
- Arreglos de continuidad del negocio;
- Si y cómo se auditará el contrato.
Administrar la actividad subcontratada
Las organizaciones deberían conservar cierta capacidad interna para supervisar y verificar la prestación de los servicios, incluso si se han actuado solicitudes específicas del proveedor externo. Para hacer esto de manera efectiva, se debe buscar personal con experiencia específica en la administración de acuerdos de tercerización de seguridad.
La facilidad para medir la calidad y la precisión del trabajo realizado dependerá del tipo de control de seguridad tercerizado y de la medida en que el servicio prestado depende del contexto y/o depende del criterio del proveedor.
La debida diligencia, una evaluación exhaustiva del riesgo y un contrato bien redactado permitirán a las organizaciones darse cuenta de las ventajas de la contratación externa y garantizar que se cumplan los requisitos de seguridad. Sin embargo, hay algunos límites a tener en cuenta, lo que significa que los controles de seguridad solo pueden ser en su mayoría, en lugar de totalmente, tercerizados.
Si bien las organizaciones liberarán el control hasta cierto punto, ya sea que subcontraten servicios o sistemas, en última instancia habrá un momento en el que se requerirá una decisión de negocios de la organización antes de que un proveedor externo pueda tomar medidas adicionales. Además, seguirá habiendo ciertos problemas que no se pueden resolver mediante la externalización, como la amenaza interna, lo que refuerza la necesidad de mantener una capacidad de seguridad efectiva en la empresa.
La tercerización es, en sí misma, una decisión de riesgo. Comprender ese riesgo en el contexto de los controles de seguridad críticos, incluido su posible impacto de negocios, es primordial. Igualmente importante es establecer procesos acordados sobre cómo reaccionar en caso de que fallen esos controles de seguridad, ya sea debido a una falla del servicio, violación de la seguridad u otra forma de interrupción del acuerdo de tercerización.