¿Está madura la seguridad para su outsourcing?

La cuestión no es si será posible sino quién lo hará

La demanda de una mayor seguridad para las aplicaciones on-line como e-commerce y los Web Services está induciendo cada vez a más empresas a dejar en manos de proveedores de servicios algunas funciones de seguridad como la detección de intrusiones y los firewalls. Una una vez admitida la intención, la cuestión se ciñe sobre quién es el más indicado para hacerlo.

Las empresas han detectado que cada vez más los proveedores de servicios pueden ayudar también a extender y aumentar una estrategia de seguridad interna preparando informes que son requeridos por muchas organizaciones públicas.
Como consecuencia, la tendencia hacia una externalización o outsourcing de las funciones de seguridad, que alcanzó su punto máximo durante la explosión de la Internet, está aumentando de nuevo lentamente al descubrir las compañías que dejar a cargo de otros actividades de seguridad rutinarias les permite concentrar su capacidad y experiencia de seguridad internas en áreas más críticas. Sin embargo, siguen existiendo obstáculos, y muchas compañías siguen prefiriendo mantener en la propia empresa sus funciones de Tecnologías de la Información sensitivas.
“Observando la recuperación de la economía durante los seis u ocho últimos meses, se constata cómo las compañías recurren a la externalización porque quieren utilizar su personal de seguridad para atender a necesidades de seguridad de aplicaciones como e-commerce, redes VPN y Web” señala Kelly Kavanagh, analista de Gartner. “Están comprobando que la monitorización y mantenimiento rutinarios de cortafuegos y la monitorización del tráfico de sistemas de detección de intrusiones (IDS) en busca de posibles alertas son cosas que ejercen un gran impacto sobre el tiempo disponible de su personal, y que es algo que pueden dejar a cargo de alguien que pueda hacerlo las 24x7”, añade.
Desde el comienzo de año, los clientes plantean más cuestiones sobre la posibilidad de externalizar o deslocalizar la seguridad a proveedores externos, y “son cada vez más los que están a punto de contratar con proveedores de servicios”, apunta Kavanagh, y añade que la cuestión no es “si será posible” sino “quién lo hará”.
De todas formas, los analistas señalan que el movimiento hacia la externalización de las funciones de seguridad es lento. Un motivo es que el que se conoce como el mercado de proveedores de “servicios de seguridad gestionados” continúa aún consolidándose. Así, la compañía Level 3 Communications adquirió la empresa Genuity a comienzos del año pasado, y VeriSign adquirió a Guardent en febrero de este año, dejando en duda a algunas empresas sobre la conveniencia de contratar una firma que podría no existir ya dentro de unos meses.
Gartner prevé que la consolidación continuará, al agruparse las empresas pequeñas para competir con los proveedores de servicios más grandes, y al intentar esas grandes empresas expandir su capacidad y experiencia en seguridad mediante adquisiciones.
Además, por una variedad de razones, las compañías se muestran aún reacias a dejar sus funciones de seguridad a cargo de proveedores externos.

Diversidad de criterios
Para algunos expertos, las necesidades de seguridad cada vez más complejas, junto con la proliferación de virus, gestión de patches y otras cuestiones refuerzan la decisión de mantener la seguridad dentro de la propia organización. Cuanto más compleja es la tarea, más dificultad hay en estructurar un acuerdo con un proveedor externo. La seguridad debe suministrarse en el contexto de las operaciones de negocio y casi no hay posibilidad de externalizar las funciones de seguridad.
Por su parte, el Harvard Medical School si bien comenzó a externalizar la monitorización de la seguridad de la red volvió transcurridos dos años a desempeñar esas funciones dentro de la propia institución. Al ser una organización de asistencia médica, era esencial desarrollar un capacidad o competencia clave para gestionar la seguridad de la red ya que su red es atacada cada 7 segundos de media. Recientemente, la entidad Credit Suisse anunció que estaba externalizando por primera vez la seguridad. Monitorizar y administrar un sistema de detección de intrusiones en un entorno TI complejo requiere un know-how especializado, que debe estar disponible en condiciones 24x7 y ser actualizado constantemente. Esto resulta muy difícil y costoso y, obviamente, no es una de las funciones básicas de una institución financiera. Aunque la entidad no explica cuánto está ahorrando con la externalización de su monitorización IDS, lo cierto es que ésta ha visto como ha aumentado la calidad y efectividad de su seguridad. Los ahorros proceden de la posibilidad de reasignar personal TI al aumentar la necesidad de seguridad.
El gigante musical EMI Group PLC comprobó que al crecer su negocio on-line también aumentaron las demandas sobre su equipo TI interno. Se instalaron tecnologías de cortafuegos que en un primer momento fueron gestionadas por la compañía. La capacidad de mantener operaciones 24x7 con una rápida respuesta a un entorno Internet en cambio constante excedía lo que podían diseñar. Tuvieron que buscar partners. El objeto de externalizar el sistema IDS es ampliar sus servicios de seguridad internos. Una de las cosas importantes para la seguridad de la información es realizar validaciones externas y expandir el conocimiento que se recoge. Si todas las funciones de seguridad son internas y no se dispone de una métrica o valor de referencia para alguien que le observe a uno desde fuera, se está pasando por alto una parte importante.
Finalmente, la directora de seguridad de información de una empresa del sector químico afirmaba que el resultado final de toda decisón de outsourcing es que las compañías pueden esperar beneficios de la externalización de la seguridad debido a la capacidad y experiencia a la que pueden acceder pero tienen que mantenerse vigilantes sobre cómo se suministra el servicio. Las compañías deberán estudiar y considerar su decisión de externalizar su seguridad en términos de su estrategia de externalización global, y determinar si su organización dispone de las herramientas o la capacidad necesarias para gestionar esa relación de outsourcing. Las compañías no pueden dar por segura la actividad de monitorización; hay que adoptar normas y provisiones para garantizar que reciben los servicios por los que están pagando.

Whitepaper emc-cio-it-as-a-service-wp Whitepapers