La seguridad de los datos y activos es vital para cualquier organización, desafortunadamente no todas las organizaciones tienen los recursos para atacar los problemas de seguridad. Hoy día el outsourcing es una alternativa muy acotada en comparación a todo el campo de la seguridad.
Uno de los principales puntos es entender claramente la diferencia entre outsourcing y consultoría, la cual explicaremos por medio de una analogía, nosotros tenemos como una responsabilidad el lustrar nuestro calzado supongamos que por cualquier razón no queremos o no podemos hacerlo ( falta de tiempo, poca habilidad para hacerlo etc. ) si nosotros vamos con un lustrador de calzado le estamos transfiriendo una responsabilidad que nos corresponde a nosotros sabiendo de antemano que estamos acudiendo a un experto el cual nos garantizara que los zapatos nos quedaran perfectamente lustrados, por un precio especifico y en determinado tiempo eso es un outsourcing, la consultoría seria que alguien nos recomendara un lustrador de calzado ubicado en cierta dirección y además nos asesorara en la forma que nos debiera dar el servicio por ejemplo que nos lustrara los zapatos con cierto tipo de grasa, que cepillara los zapatos con cepillos de cedras de cochino y que no nos cobrara mas de cierta cantidad. Es importante entender esta diferencia ya que muchas veces se confunden servicios de outsourcing con los de consultoría.
El outsourcing de seguridad se podría definir cuando una organización transfiere la responsabilidad de su información o activos a profesionales en seguridad Informática. El outsourcing por naturaleza tiene riesgos significativos si no hay una definición perfectamente clara de los servicios, alcance, amenazas, roles, responsabilidades y una plena justificación del porque elegir una alternativa como esta.
Este articulo habla de manera general las ventajas, desventajas, los riesgos, la selección de un proveedor y como manejar el proceso de un outsourcing de seguridad.
outsourcing de alguna forma.
Ventajas y desventajas del outsourcing.
La mayoría de las compañías no están en el negocio de la seguridad informática. Estas quieren dedicarse a vender sus productos y servicios. Existen ventajas y desventajas al considerar el outsourcing de seguridad. La pregunta sería ¿Una organización en verdad quiere transferirle la responsabilidad de la protección de su información sensitiva y crítica a un tercero? En realidad no existe una receta de cocina como respuesta, cada organización debe determinar sus necesidades y tomar una decisión basada en un estudio de riesgo-costo-beneficio.
La opción del outsourcing, no debería ser tomada a la ligera. Hay muchas elementos que deben ser examinados para determinar que es lo mejor para una organización. Algunas organizaciones han decidido que toda la función de seguridad deben ser mantenidos internamente, desde los guardias hasta la información y la seguridad de toda su infraestructura tecnológica. Esta decisión es tan valida como las necesidades del negocio lo requieran, pero como en todo se tienen ventajas y desventajas La siguiente lista provee ventajas de esta elección:
° Retención interna del conocimiento y talento con profesionales de seguridad que entienden el negocio central de la organización
° Los profesionales en seguridad pueden mantener mejor los intereses de la organización, porque esto se refleja directamente en su trabajo.
° La rotación del personal en el outsourcing se da con mucha mayor frecuencia que con los empleados internos.
° El control por parte de la dirección es mucho mejor cuando son empleados.
Hay también desventajas que necesitan ser consideradas:
° El impacto financiero para la organización para el personal y para retener a los profesionales en seguridad puede ser substancial.
° El hecho de que un empleado sea interno no es ninguna garantía de que pueda ser más confiable que un empleado externo.
° El personal es menos flexible. En algunos casos de emergencia puede no existir personal suficiente y se tendrá que trabajar tiempo extra, lo cual puede causar estrés demás a los empleados.
Si una organización decide utilizar el outsourcing de seguridad, existen las siguientes ventajas:
° Habrá la skills necesarios 24/7 los 365 días del año de profesionales de seguridad capacitados.
° La compañía no tendrá el impacto financiero de contratar o entrenar profesionales de seguridad de tiempo completo.
° Habrá acuerdos de servicio (SLAs) para que así se tenga un nivel de servicio esperado y otra compañía pueda ser parcialmente confiable si es que las medidas especificas de seguridad no son tomadas en cuenta o no se reacciona apropiadamente.
° Los proveedores del servicio tienen una visión de la industria mas amplia y pueden ver más fácilmente en que amenazas y ataques están trabajando otras compañías que están experimentando.
° La flexibilidad del personal está en disponibilidad, porque es más fácil cambiar a los miembros del personal externo que al interno.
Las desventajas, también existen en esta alternativa:
° Los outsources de seguridad tendrán acceso a la información acerca de una organización.
° El outsourcing puede causar fricción con los empleados internos porque la percepción puede ser que los empleados internos son más leales a la organización que los externos.
° Hay retos culturales en la forma de trabajo en que los outsources hacen las cosas y en los procesos internos.
¿Que debo outsorcear?
Saber exactamente que es lo que se debe outsorcear no es algo trivial por lo que se deben tomar en cuenta varios elementos aquí explicaremos 2 de los principales: hacer un análisis y evaluación de riesgos en la organización y realizar un análisis del outsourcing.
Como se discutió previamente existen beneficios claros de tener ambas alternativas, tener una función de seguridad interna y al outsourcing de seguridad. La forma ideal es dar en outsourcing tareas que no pongan en riesgo al negocio siempre sea factible y dejar las funciones estratégicas en manos de la función interna de seguridad…
Algunos pasos básicos del análisis de riesgo son necesarios para determinar el nivel de riesgo que una organización enfrenta. Esta información puede ayudar a encontrar la fundamentación apropiada acerca de la seguridad, a identificar amenazas y determinar del valor de los recursos de la organización. Los siguientes son pasos básicos del análisis de riesgo que pueden ayudar a determinar el riesgo de una organización:
1. Descubrir cuales son los riesgos en la organización que necesitan ser protegidos y darles prioridad de acuerdo al impacto que tengan hacia el negocio.
2. Analizar las amenazas para los recursos y estimar las perdidas potenciales.
3. Clasificar las amenazas. El tiempo y los recursos deben ser enfocados en perdidas altas/ eventos de alta amenaza y lo opuesto a perdidas bajas / eventos de baja amenaza.
4. Determinar la expectativa de perdida anual (ALE). La siguiente formula establece asÍ los cálculos requeridos:
Single Loss Expectancy (SLE) x Annual Rate of Ocurrence (ARO) = ALE
El ALE es el numero mágico que uno pude usar para justificar la inversión de seguridad.
Hay dos tipos de análisis de riesgo para pérdidas potenciales: el cuantitativo y el cualitativo.
1. El análisis cuantitativo de riesgo intenta asignar un valor numérico independiente y objetivo a los componentes de la evaluación de riesgo y la valoración potencial de perdida.
2. El análisis cualitativo de riesgo no asigna valores a los componentes del análisis. Más bien, se orienta al escenario, identifica los tipos de problemas que pueden ocurrir y trabaja a través de un escenario para determinar el resultado. Este coloca la severidad de la amenaza y de la sensitividad de los activos. Este análisis es menos subjetivo que el análisis de riesgo cuantitativo y se presta a la aplicación de las herramientas de análisis.
Servicios de outsourcing
Hay muchos servicios que pueden ser outsourceados. Después de determinar las necesidades de la organización, uno puede escoger cualquiera de los siguientes servicios hasta lograr sus metas.
° El servicio monitoreo de los IDS puede ayudar a monitorear los sistemas de detección de intrusos en un esquema de 24/7, las 52 semanas del año.
° Los servicios de administración de firewalls. Esto puede ser especialmente útil en las grandes empresas con múltiples y variados firewalls.
° Los equipos de respuesta de incidentes pueden ser outsourceados para dirigir o ayudar al personal IT cuando las amenazas imprevistas fructifican. Estas pueden incluir apoyo legal en algunos durante estos eventos.
° Los servicios antivirus pueden ayudar a monitorear y a actuar en contra de ataques maliciosos.
° Los servicios de bloqueo de los sitios web ofrecen servicios de filtrado así como el uso de métricas en la web.
° Los servicios de escaneo revisaran periódicamente la red para identificar las vulnerabilidades potenciales y recomendar las correcciones apropiadas
° Los servicios de información basados en alertas de vulnerabilidades y parches y actualizaciones.
° Los servicios de auditoria.
Como seleccionar a un MSSP ( Managed security services provider)
De aquí en adelante llamaremos al outsorcer MSSP que es el nombre más común para hacer referencia a un outsourcer de seguridad.
Dado que la seguridad es un problema serio de muchas organizaciones, muchos proveedores de servicios con los que una organización actualmente trata, tal vez ya ofrecen dichos servicios. Es mucho mejor tratar con una compañía con la cual uno ya ha establecido una buena relación y así evaluar sus ofertas que pudieran probar rápidamente los beneficios.
Es bueno tener un proceso establecido para seleccionar un MSSP. Los siguientes pasos ayudaran a identificar un buen prospecto:
1.- Elementos importantes a considerar:
a. El alcance de sus servicios. ¿Ofrecen estos los servicios de seguridad requeridos? ¿Es la seguridad el principal enfoque o ha sido este servicio agregado porque ahora esta de moda?
b. Estabilidad financiera. Tiene la compañía el capital financiero para permanecer durante los siguientes 5 años?
c. ¿Ofrece el MSSP un soporte de 24/7?
d. ¿Cuanto personal emplea el MSSP, que certificaciones tienen, que tanta rotación hay?
e. Tiempos de respuesta. ¿Puede el MSSP responder en el tiempo requerido?.
f. Tiene el MSSP tecnologías best of breed.
g. Su historia legal, numero de demandas etc. Etc.
h. Las referencias de otros clientes.
i. Las limitantes. ¿Que puede el MSSP hacer y que no, puede mejorar la calidad de sus servicios? es importante conocer este tipo de problemas.
2.- Tomar una decisión en base al análisis.
3.- Asegurarse de que el proveedor tiene un entendimiento definitivo de lo que uno espera y quiere por escrito. Además colocar los acuerdos del nivel de servicio apropiados(SLAs) y los contratos legales.
Manejar el Outsourcing
Habiendo determinado al MSSP, el siguiente paso es manejar el proceso.La organización querrá usar las mismas prácticas que usa para manejar cualquier área, incluyendo:
° La utilización de las mejores practicas.
° Conducir el due diligence.
° Definir requerimientos.
° Definir roles y responsabilidades.
Es importante también que el MSSP sea revisado y auditado al menos anualmente. Pruébelos: Tire de la clavija de un IDS y vea cuanto tarda el MSSP en responder, ¿Que es lo que el MSSP sugiere? Además es importante tener una tercera parte verificadora de un MSSP.