La externalización de la seguridad, una cuestión de varios proveedores
El establecimiento de indicadores garantiza su éxito
La externalización o outsourcing de las funciones de seguridad puede tener éxito, si se eligen los servicios apropiados y se plantean las cuestiones adecuadas. Sin embargo, los directores de TI que han recorrido esta vía afirman que es importante saber qué es lo que se externaliza, cuáles deberán ser las condiciones y cómo establecer el contrato para alcanzar un resultado satisfactorio.
La externalización de la seguridad TI puede tener éxito. La decisión de externalizar pueden reducir los costes de la seguridad y compensar la carencia de capacidad y conocimientos propios. Algunos usuarios discrepan sobre la conveniencia o no de utilizar más de un proveedor de servicios de seguridad gestionados o MSSP (Managed Security Service Provider). Eric Ogren, analista de The Yankee Group, aconseja utilizar más de un proveedor de servicios externo para disponer de comprobaciones y comparaciones, e incluso recomienda cambiar de proveedores cada pocos años. “Nunca es bueno tener todos los recursos de seguridad concentrados en un solo proveedor,” dice. Con frecuencia, los clientes eligen sólo un proveedor de servicios de seguridad, para ahorrar dinero, ya que externalizar varias funciones de seguridad a un solo proveedor tiene un coste inferior a pagar a varios proveedores por los mismos servicios. Los clientes están tan preocupados por reducir costes que con frecuencia utilizan al proveedor externo que gestiona las contraseñas y los upgrades de parches de software para que audite su propio trabajo.
Responsabilidad
Los contratos MSSP limitan estrictamente la responsabilidad. “No se puede conseguir que nadie acepte asumir responsabilidad si uno tiene daños como consecuencia de un fallo de seguridad”, indica Ogren.
Sin embargo, las empresas y organizaciones disponen de otras alternativas aparte de la responsabilidad limitada que ofrecen los proveedores de servicios externos. Muchas empresas cuentan con un seguro contra hackers para protegerse frente a pérdidas en su red interna.
Para superar las limitaciones de responsabilidad, Ogren sugiere que las compañías demanden desde el comienzo que el proveedor de servicios se comprometa en el contrato a unos niveles de personal razonables, con empleados cualificados, y a unos niveles acordados de rapidez de reacción ante eventos de seguridad. Algunas empresas analizan los curriculums de los empleados del proveedor externo como ayuda para compensar la falta de responsabilidad legal.
Quién gestiona
Según opiniones de varios usuarios y analistas, la externalización de las tareas de seguridad, como la monitorización y gestión de las paredes cortafuego y de los sistemas de detección de intrusiones (IDS) no significa abandonar responsabilidades internas. “No se puede externalizar un riesgo,” dice Ogren. “Nunca hay que externalizarlo todo”. En un acuerdo, el proveedor de servicios externo deberá establecer normas y directivas sobre el grado en que participará el servicio. En cualquier caso, afirma, el cliente deberá conservar inicialmente la autoridad final sobre posibles acciones relacionadas con la seguridad. Sólo cuando una acción de seguridad se convierte en rutina deberá permitir el cliente al proveedor MSSP ejecutarla sin examinarla previamente.
Sobre lo que hay que incluir en un acuerdo de externalización, la situación varía según la empresa u organización. Varias opiniones de usuarios coinciden que en un contrato de externalización ningún cliente deberá ceder el control de la seguridad de porciones de infraestructura ni de nada que signifique una ventaja competitiva. Si uno es un proveedor de servicios de aplicaciones o ASP y realiza hosting de aplicaciones, no hay que externalizar la seguridad de éstas a un proveedor MSSP.
Por otra parte, usuarios y analistas han señalado que la mejor forma de garantizar la responsabilidad de un proveedor de servicios externo es establecer términos en el contrato que determinen con qué frecuencia y con qué propósito se realizará la generación de informes, y después estudiar esos informes con cuidado.
Kelly Kavanagh, analista de Gartner, añade que es conveniente también incluir herramientas de generación de informes basadas en el Web para poder explorar periódicamente el perímetro de la red a fin de comprobar que los dispositivos externalizados están configurados correctamente.
El lado olvidado del outsourcing
--------------------------------------------
Si la externalización se realiza tanto en onshore al propio país u offshore a otro país, los factores humanos deberán ser considerados tanto como un beneficio como un efecto colateral. Los factores humanos son una de las partes más importantes de cualquier esfuerzo de outsourcing, en particular cuando la empresa que se hace cargo del trabajo externalizado, el outsourcer, está localizada en otro país.
Beneficios
La externalización puede proporcionar temporalmente a una empresa unos conocimientos y capacidades altamente especializados. La mayor parte de los CIO encuentran difícil justificar la ocupación de unos valiosos puestos de trabajo con personas cuyas capacidades técnicas sólo se requieren de cuando en cuando. Como el área especial de atención de la empresa o outsourcer que se hace cargo del trabajo externalizado son las TI, las personas transferidas a él tendrán mayores oportunidades de progreso profesional, es decir, de desarrollar conocimientos y skills altamente especializados y ampliar su experiencia en múltiples sectores.
La externalización ofrece también una oportunidad de transferir al outsourcer algunos costes y problemas administrativos. Así, no habrá que perder unos meses valiosos en “gestionar el cese” de algunas personas que no ofrecen el rendimiento deseado. Y, con menos personas que gestionar después de la externalización, la empresa necesitará menos tiempo para la gestión y administración de los recursos humanos.
Efectos colaterales
Una externalización sin control puede privar a la empresa de las capacidades y skills necesarios para actuar con efectividad. Si se externaliza todo, se estará privando también a la empresa de su capacidad de ejercer presión sobre el outsourcer y controlarlo. La externalización puede dar lugar a miedo y comportamiento disfuncional en el personal que queda. Otros departamentos podrían observar la externalización de Tecnologías de la Información que ha tenido lugar y pensar que ellos serían los siguientes objetivos de outsourcing. La externalización da lugar a una compleja serie de regulaciones de empleo y notificaciones de ceses, así como a problemas de compensaciones y continuación de beneficios de empleo. Para evitar una litigación molesta, conviene obtener asesoramiento legal competente desde el comienzo.
Los malos entendidos y noticias falsas sobre la externalización pueden generar mala publicidad. Conviene mantener los conocimientos y capacidades críticas en los miembros de la propia plantilla, como los arquitectos, planificadores y directores de programas/proyectos. No hay que externalizar la capacidad del equipo para el éxito.
Además, para los proyectos de desarrollo de aplicaciones externalizados al extranjero, hay que asegurarse de que al menos un 30% de la plantilla estará localizada en el propio país.
La externalización de la seguridad TI puede tener éxito. La decisión de externalizar pueden reducir los costes de la seguridad y compensar la carencia de capacidad y conocimientos propios. Algunos usuarios discrepan sobre la conveniencia o no de utilizar más de un proveedor de servicios de seguridad gestionados o MSSP (Managed Security Service Provider). Eric Ogren, analista de The Yankee Group, aconseja utilizar más de un proveedor de servicios externo para disponer de comprobaciones y comparaciones, e incluso recomienda cambiar de proveedores cada pocos años. “Nunca es bueno tener todos los recursos de seguridad concentrados en un solo proveedor,” dice. Con frecuencia, los clientes eligen sólo un proveedor de servicios de seguridad, para ahorrar dinero, ya que externalizar varias funciones de seguridad a un solo proveedor tiene un coste inferior a pagar a varios proveedores por los mismos servicios. Los clientes están tan preocupados por reducir costes que con frecuencia utilizan al proveedor externo que gestiona las contraseñas y los upgrades de parches de software para que audite su propio trabajo.
Responsabilidad
Los contratos MSSP limitan estrictamente la responsabilidad. “No se puede conseguir que nadie acepte asumir responsabilidad si uno tiene daños como consecuencia de un fallo de seguridad”, indica Ogren.
Sin embargo, las empresas y organizaciones disponen de otras alternativas aparte de la responsabilidad limitada que ofrecen los proveedores de servicios externos. Muchas empresas cuentan con un seguro contra hackers para protegerse frente a pérdidas en su red interna.
Para superar las limitaciones de responsabilidad, Ogren sugiere que las compañías demanden desde el comienzo que el proveedor de servicios se comprometa en el contrato a unos niveles de personal razonables, con empleados cualificados, y a unos niveles acordados de rapidez de reacción ante eventos de seguridad. Algunas empresas analizan los curriculums de los empleados del proveedor externo como ayuda para compensar la falta de responsabilidad legal.
Quién gestiona
Según opiniones de varios usuarios y analistas, la externalización de las tareas de seguridad, como la monitorización y gestión de las paredes cortafuego y de los sistemas de detección de intrusiones (IDS) no significa abandonar responsabilidades internas. “No se puede externalizar un riesgo,” dice Ogren. “Nunca hay que externalizarlo todo”. En un acuerdo, el proveedor de servicios externo deberá establecer normas y directivas sobre el grado en que participará el servicio. En cualquier caso, afirma, el cliente deberá conservar inicialmente la autoridad final sobre posibles acciones relacionadas con la seguridad. Sólo cuando una acción de seguridad se convierte en rutina deberá permitir el cliente al proveedor MSSP ejecutarla sin examinarla previamente.
Sobre lo que hay que incluir en un acuerdo de externalización, la situación varía según la empresa u organización. Varias opiniones de usuarios coinciden que en un contrato de externalización ningún cliente deberá ceder el control de la seguridad de porciones de infraestructura ni de nada que signifique una ventaja competitiva. Si uno es un proveedor de servicios de aplicaciones o ASP y realiza hosting de aplicaciones, no hay que externalizar la seguridad de éstas a un proveedor MSSP.
Por otra parte, usuarios y analistas han señalado que la mejor forma de garantizar la responsabilidad de un proveedor de servicios externo es establecer términos en el contrato que determinen con qué frecuencia y con qué propósito se realizará la generación de informes, y después estudiar esos informes con cuidado.
Kelly Kavanagh, analista de Gartner, añade que es conveniente también incluir herramientas de generación de informes basadas en el Web para poder explorar periódicamente el perímetro de la red a fin de comprobar que los dispositivos externalizados están configurados correctamente.
El lado olvidado del outsourcing
--------------------------------------------
Si la externalización se realiza tanto en onshore al propio país u offshore a otro país, los factores humanos deberán ser considerados tanto como un beneficio como un efecto colateral. Los factores humanos son una de las partes más importantes de cualquier esfuerzo de outsourcing, en particular cuando la empresa que se hace cargo del trabajo externalizado, el outsourcer, está localizada en otro país.
Beneficios
La externalización puede proporcionar temporalmente a una empresa unos conocimientos y capacidades altamente especializados. La mayor parte de los CIO encuentran difícil justificar la ocupación de unos valiosos puestos de trabajo con personas cuyas capacidades técnicas sólo se requieren de cuando en cuando. Como el área especial de atención de la empresa o outsourcer que se hace cargo del trabajo externalizado son las TI, las personas transferidas a él tendrán mayores oportunidades de progreso profesional, es decir, de desarrollar conocimientos y skills altamente especializados y ampliar su experiencia en múltiples sectores.
La externalización ofrece también una oportunidad de transferir al outsourcer algunos costes y problemas administrativos. Así, no habrá que perder unos meses valiosos en “gestionar el cese” de algunas personas que no ofrecen el rendimiento deseado. Y, con menos personas que gestionar después de la externalización, la empresa necesitará menos tiempo para la gestión y administración de los recursos humanos.
Efectos colaterales
Una externalización sin control puede privar a la empresa de las capacidades y skills necesarios para actuar con efectividad. Si se externaliza todo, se estará privando también a la empresa de su capacidad de ejercer presión sobre el outsourcer y controlarlo. La externalización puede dar lugar a miedo y comportamiento disfuncional en el personal que queda. Otros departamentos podrían observar la externalización de Tecnologías de la Información que ha tenido lugar y pensar que ellos serían los siguientes objetivos de outsourcing. La externalización da lugar a una compleja serie de regulaciones de empleo y notificaciones de ceses, así como a problemas de compensaciones y continuación de beneficios de empleo. Para evitar una litigación molesta, conviene obtener asesoramiento legal competente desde el comienzo.
Los malos entendidos y noticias falsas sobre la externalización pueden generar mala publicidad. Conviene mantener los conocimientos y capacidades críticas en los miembros de la propia plantilla, como los arquitectos, planificadores y directores de programas/proyectos. No hay que externalizar la capacidad del equipo para el éxito.
Además, para los proyectos de desarrollo de aplicaciones externalizados al extranjero, hay que asegurarse de que al menos un 30% de la plantilla estará localizada en el propio país.
