El outsourcing en seguridad, una clara ventaja para la
Anuncio
El outsourcing en seguridad, una clara ventaja para la organización Antonio Ramos Director de Auditoría y Consultoría Informática de S21sec RESUMEN: En la actualidad, la práctica del outsourcing empieza a ser habitual y consiste en la contratación externa de determinadas unidades o funciones necesarias en una organización. Las operaciones que se suelen subcontratar se caracterizan por ser complejas, importantes o incómodas de efectuar. En el campo de la seguridad de la información, el outsourcing es una opción muy beneficiosa para aquellas empresas que quieran delegar la protección de su información a un partner especializado en seguridad, dada la complejidad de los ataques y el creciente número de dispositivos de seguridad existentes. Por un lado, esto permite a las organizaciones centrarse en la consecución de los objetivos propios de su negocio y, por otro, recibir todo el conocimiento sobre las últimas tecnologías y recursos que acumula una empresa de seguridad. Tener la posibilidad de acceder a niveles de seguridad más elevados, no sólo constituye una gran ventaja que ofrece la práctica del outsourcing sino también la mejor alternativa para no acometer los costes derivados de disponer de un área propia en la empresa. Las tareas que se suelen externalizar están generalmente relacionadas con la monitorización de la seguridad, como es el caso de la gestión de dispositivos de seguridad pero existen numerosas actividades que podemos externalizar y que mejorarán los resultados de nuestras organizaciones. Subcontratar se está convirtiendo en una necesidad para las organizaciones, por lo que éstas deben ser muy exigentes a la hora de confiar la seguridad de sus sistemas. Una elección adecuada de proveedor será la clave para obtener beneficios futuros. Introducción: El día a día de los responsables de seguridad está ganando en complejidad: Troyanos y amenazas cada vez más sofisticadas, la evolución de nuevas formas de phishing, nuevos entornos y tecnologías susceptibles de sufrir ataques y las regulaciones cada vez más exigentes están multiplicando las piezas del puzzle de la seguridad. Y lamentablemente, la complejidad no es la mejor amiga de la seguridad. Además, esta situación no parece tener perspectivas de corregirse, ya que los países son cada vez más prolíficos en la creación de nuevas normativas y los sistemas se están tornando cada vez más complejos. En definitiva, se están produciendo un conjunto de circunstancias que hacen que el personal de seguridad de las organizaciones no pueda dedicarse a cumplir con los objetivos de negocio. Una buena solución para responder a la necesidad continua de especialistas que puedan afrontar los cada vez más intricados problemas de seguridad sin desatender los objetivos de negocio es recurrir al outsourcing. De esta manera, las organizaciones pueden centrarse en su actividad, al mismo tiempo que consiguen mejorar los niveles de seguridad. La subcontratación de servicios de seguridad soluciona el problema de la falta de profesionales cualificados dentro de la empresa y permite afrontar el entorno de riesgo creciente que supone la situación actual de manera más eficaz. Además de permitir mejoras en los niveles de seguridad, el outsourcing tiene otros efectos positivos: el más destacable, la gestión de recursos humanos. Las organizaciones están enfocadas al cumplimiento de sus objetivos de negocio y no les resulta fácil reunir al personal adecuado para la gestión de la seguridad y, mucho menos todavía, retener a esas personas. El caso más claro podría ser el de la monitorización de la seguridad, ya que hacen falta seis personas para operar durante las 24 horas los siete días de la semana, así como un equipo de supervisores y personal de soporte. Por otra parte, dado que los ataques a una organización no ocurren a menudo, este grupo de personas sufre largos períodos de inactividad seguidos de pocas horas de tensión, factores que hacen difícil mantener a este equipo comprometido e interesado. Por eso, son muy raras las ocasiones en que una organización encuentra rentable disponer de este tipo de equipos in-company. La subcontratación, por el contrario, les permite aprovechar economías de escala a través del proveedor de seguridad y conseguir servicios de expertos sin dejar de ser rentables. Los beneficios del outsourcing compañía para la En el mundo real, la práctica del outsourcing es algo bastante habitual, aunque no nos demos cuenta: servicios médicos, bomberos, guardias de seguridad, cálculo de impuestos, elaboración de nóminas… ¿Qué tienen en común los servicios que se subcontratan a terceros? Básicamente, las tareas subcontratadas se caracterizan por ser complejas, importantes o desagradables. En este sentido, la seguridad de la información no es distinta de las tareas que hemos mencionado. Por tanto, es claramente candidata a la subcontratación. ¿Pero qué significa concretamente poner la seguridad de nuestros sistemas en manos de un proveedor especializado de seguridad? En primer lugar, las empresas e instituciones pueden sumar experiencia, disponer de mayor facilidad para contratar y formar al personal y acceder a las infraestructuras necesarias para soportar el servicio mediante la firma de contratos a medio o largo plazo. Además, están en condiciones de mantenerse permanentemente actualizadas sobre las nuevas vulnerabilidades, las herramientas, productos de seguridad y últimas versiones de software. Por otra parte, la práctica del outsourcing permite transferir el conocimiento de los especialistas a la organización. Una empresa especializada en seguridad puede aprender y acumular conocimiento de los ataques que sufren todos sus clientes y está en condiciones de integrar los problemas de seguridad que existen en otras regiones y países. Otro efecto importante que no podemos olvidar es que el outsourcing permite exigir niveles de rendimiento en función de unos acuerdos de nivel de servicio y ofrece la posibilidad de acceder a niveles de seguridad más elevados. De hecho, en el caso de la seguridad, los riesgos de no subcontratar pueden ser mayores que la alternativa de contar con un área propia, ya que es poco probable que una organización asuma los costes e infraestructuras que puede ofrecer una empresa especializada. Básicamente, porque en casi todos los casos no vamos a poder comparar la prestación del servicio con recursos propios y desde el exterior, ya que los servicios prestados nos van a proporcionar un nivel de rendimiento superior al disponible internamente. En S21sec por ejemplo, ofrecemos servicios de seguridad gestionada desde el primer Centro de Operaciones de Seguridad 24 horas en España. Este centro, dotado con tecnologías de primer nivel nos permite ofrecer un conjunto de servicios especializados (gestión de firewalls, IDS, IPS…) y brindar respuesta inmediata ante crisis de seguridad. Disponemos desde servicios de protección y de defensa, basados en auditoría de riesgos y gestión de infraestructuras informáticas, hasta vigilancia digital y respuesta a posibles incidentes o ataques, así cómo análisis forense. Estos servicios requieren un grado de especialización y una inversión en tecnología que resultaría menos rentable si se implantase para una única empresa o institución. Además de las infraestructuras técnicas y los niveles de seguridad física, la subcontratación en S21sec da acceso a la utilización de procedimientos operativos detallados para todas las casuísticas o el cumplimiento con estándares internacionales reconocidos como la ISO/IEC 27001:2005 o ITIL, en lo relativo a gestión de configuraciones, gestión de incidencias y HelpDesk. Definir un servicio de seguridad a tu medida Una vez que nos hemos planteado la subcontratación de la seguridad de la información, aún nos queda definir qué áreas o tareas vamos a subcontratar y seleccionar al proveedor más adecuado. Es necesario tener en cuenta que todas las actividades no se subcontratan de la misma manera, bien porque se trate de tareas que están demasiado cerca del negocio o que resultan demasiado caras para que las asuma un tercero o porque no se escalan bien. En este sentido, cuando se subcontrata la función, no debemos olvidar que la organización siempre mantiene el control de su propia seguridad y cuando no existe un rol de gestión, las compañías especializadas pueden ofrecer un servicio útil, efectivo y escalable. Las tareas que se suelen externalizar están generalmente relacionadas con la monitorización de la seguridad como es el caso de la gestión de vulnerabilidades o las alertas de IDS. La monitorización permite la detección y respuesta en tiempo real, a través de tecnología avanzada de correlación y analistas expertos. Este tipo de actividades constituyen el complemento ideal a las habituales medidas de protección. La vigilancia permite compensar la debilidad de la seguridad basada en parches y nos hace menos dependientes. La monitorización no debería estar orientada a la implantación de más productos que nos protejan de todo, sino en la mejora de los procesos que nos permitan gestionar mejor los riesgos. Esto se traduce en la necesidad de una vigilancia constante, dado que los ataques llegan de todas partes y en cualquier momento. Al analizar los logs en tiempo real, podemos deducir lo que un atacante está haciendo y responder también en tiempo real; y es ahí donde reside la verdadera seguridad. En la batalla contra el fraude, los defensores están en condiciones de reaccionar rápidamente a un ataque, gracias a su conocimiento del terreno. Por eso, es necesario contar con expertos en seguridad vigilantes, flexibles e implacables, que sean capaces de utilizar las herramientas automáticas para la búsqueda de patrones en la ingente cantidad de datos que producen los registros de auditoría e interpretar los resultados para definir las respuestas más adecuadas en cada momento. Los sensores no ofrecen seguridad por sí mismos, sino que hacen falta personas capaces de detectar comportamientos anómalos, de detectar la respuesta adecuada, integrada a los requerimientos del negocio. que se adapte mejor a sus necesidades (“Go with the industry leader”). Es básicamente una cuestión de confianza. También hay que tener en consideración los posibles conflictos de interés: si alguien gestiona y monitoriza mi red y encuentra algo, ¿me lo dirá o tratará de solucionarlo? Otro aspecto que no podemos olvidar es la salud financiera del partner elegido, dado que será una relación a largo plazo. Debemos considerar si son líderes en su campo y tienen una trayectoria sólida y fiable además de tener en cuenta la especialización que tienen en el sector o que no abarquen otras ramas de actividad que puedan interferir negativamente en su trabajo. Son muchos factores los que hay que tener en mente cuando hablamos de seguridad de calidad, por ello el coste del servicio no debe convertirse en algo decisivo a la hora de decantarse por un servicio u otro sino más bien en algo complementario. Conclusiones: o La seguridad de los sistemas de información es un hecho que las compañías deben tener en cuenta para salvaguardar la protección de sus datos. o La proliferación de nuevas amenazas cada vez más sofisticadas exige unos herramientas específicas para lograr su identificación, detección, erradicación y prevención. o Junto a estos dispositivos de tecnología, es necesario contar con unos profesionales especializados en seguridad que velen por los posibles riesgos en los sistemas de su compañía. o El outsourcing se erige como la mejor opción para alcanzar niveles óptimos de seguridad. Una empresa especializada en seguridad ofrece un equipo de supervisores con alta experiencia en el sector que monitoriza las 24 horas del día posibles ataques y es capaz de detectarlos y dar una respuesta adecuada. o La subcontratación de la seguridad es una decisión difícil puesto que se debe exigir el mejor servicio que incluye a unos profesionales líderes en su campo y una tecnología de primer nivel. A quién subcontratar Decidir en quién voy a confiar la seguridad de mis sistemas es una decisión difícil, sobre todo si no se es experto en la materia. ¿Cómo diferenciar un buen servicio de otro que no lo es? Muchas veces cuando uno no es experto en algo, lo que suele hacer es preguntar a su alrededor, obtener recomendaciones y seguir al RESEÑA CURRICULAR: Antonio Ramos es Licenciado en CC. Económicas y Empresariales por la Universidad Complutense de Madrid y Máster en Auditoría de Cuentas por la Universidad Pontificia de Salamanca, Certified Information Systems Auditor (CISA) y Certified Information Security Manager (CISM) por la ISACA. Comenzó como Auditor Informático en 1998 desde su incorporación a la firma de auditoría, Ernst & Young en la que llegó a ser responsable del área Information Security Management del departamento de gestión de riesgos informáticos (TSRS). En 2004, se incorporó a S21sec, empresa especializada en seguridad de la información como Director de la unidad de Consultoría y Auditoría Informática. También ha sido miembro de la Junta Directiva del capítulo de Madrid de ISACA como Tesorero entre 2004 y 2006. Aunque los inicios de su carrera estuvieron marcados como auditor de sistemas de información, también realizó diversos asesoramientos en la materia hasta que, desde 2003 se centró en el desarrollo de proyectos relacionados con la gestión de la seguridad de la información conforme a estándares internacionales (COBIT, ITIL, ISO 27001...). Adicionalmente, está homologado como auditor, tanto por ASIMELEC para la certificación de prestadores de servicios de certificación como por VISA / PCI Security Standards Council para la realización de auditorías de su estándar Payment Card Industry - Data Security. Finalmente ha participado como profesor en múltiples cursos, tanto para la formación de auditores de sistemas de información como responsables de seguridad, algunos de ellos como apoyo a la obtención del CISA y del CISM. Asimismo, es autor de artículos que han sido publicados tanto en prensa especializada del sector como en prensa general y económica.
