Banner Superior
InfoSecurity News
 
Año 2 - N°5 | Mayo 2006
InicioPuntos de VistaEntrevistaHacking bajo la lupaNoticiase-fraudeLas LeyesPalabras de CISOHot vulnerabilitiesForo
ContactosStaffPortal InfoSecurity OnlineRecomiendanosRegistrarse
Estadisticas
lo sabias?
Carta de Lectores
Tips para un CISO
Capacitación
Toolbox
Agenda InfoSec
Productos
Bolsa de Trabajo
Links de Interes
Libro de Pases
Números Anteriores
 PUNTOS DE VISTA

NIVEL TÉCNICO  

Managed Security Service Providers (MSSPs)

Por Federico Seineldín 

CEO Openware

Para minimizar los riesgos de seguridad en Internet es imprescindible un conjunto de servicios profesionales especializados y expertos que transformen la defensa en un proceso continuo y dinámico. La seguridad de la información no sólo es un problema tecnológico sino que se extiende sobre la capacidad y honorabilidad de las personas y eficiencia de los procesos.

 

Las empresas  han evitado por lo general la tercerización (outsourcing) debido a su complejidad y  a un supuesto riesgo implícito de pérdida de control y volatilidad de responsabilidades. Sin embargo, las demandas por bajar costos y mejorar procesos junto con un nuevo modelo de tercerización indican que hay nuevos factores a considerar y una tendencia ascendente al cambio.

 

Los servicios de seguridad comúnmente tercerizados bajo el modelo MSSP son:

  • Gestión de firewalls, IDSs y VPNs

  • Monitoreo de la seguridad perimetral

  • Gestión de incidentes, análisis forenses

  • Diagnóstico de vulnerabilidades y penetration testing

  • Antivirus y content filtering

  • Resguardo de información

  • On site consulting

El modelo MSSP  ofrece nuevas alternativas para satisfacer  necesidades concretas.  En vez de forzar a las empresas a tomar la decisión de una terecerización total, el MSSP les ofrece una decisión basada en papeles complementarios y responsabilidades compartidas. De esta forma la empresa y el MSSP tienen definidos sus roles,  pudiendo la empresa  aprovechar el valor real del outsourcing y conservar el control de IT.

 

El mercado y el avance de la tecnología  fuerza al MSSP a estar continuamente capacitando sus RRHH y  adquiriendo las mejores herramientas de management y control. Bajo este modelo la empresa  tiene la ventaja de hacer uso de servicios/soluciones de alto nivel sin haber necesitado desarrollarla en forma interna o haberla comprado a altos costos. De la misma manera, puede liberar personal interno para que pongan foco en actividades estratégicas; con la tercerización, los departamentos de IT se pueden enfocar en las aplicaciones y sistemas que hacen al negocio y agregan valor estratégico a las operaciones de la compañía.

 

Al mismo tiempo, como los profesionales en seguridad están entre los más buscados de la industria, la mayoría de las organizaciones no tiene expertos in-house en materia de seguridad. Encontrar la persona correcta, definir sus roles, gestionar con consultoras al igual que con staff interno, y pagarle el salario, es sólo una parte del desafío. La seguridad puede verse comprometida cuando los expertos dejan la compañía. Además, la seguridad en Internet es un trabajo extenuante, haciendo el trabajo del staff mucho más dificultoso: se necesitan expertos monitoreando la red, evaluando amenazas potenciales, y respondiendo a ataques las 24 horas del día, los 7 días de la semana.

  

Como en cualquier tercerización la confianza es un key issue indispensable para la correcta convivencia entre partes. La existencia de contratos, NDAs (Non Disclosure Agreements) y SLAs (Service Level Agreements) deben dar un marco conceptual a la relación, sobre todo teniendo en cuenta que siempre existirán puntos grises o nuevas situaciones que requerirán revisiones e incorporaciones en los mismos como anexos. Tener contratos rígidos o falta de confianza en un ámbito donde lo complejo y los cambios es la constante, no es la mejor alternativa.

 

Otro de los puntos a tener naturalmente en cuenta es que el MSSP genera cierta dependencia con la empresa al existir procesos o partes de procesos mixados y compartidos, como así también la existencia de infraestructuras compartidas con otros clientes.

  

Conclusión

 

El punto clave, para toda empresa, donde la seguridad de la información se vuelve cada día más crítica, será evaluar cuándo es realmente necesario la tercerización en un MSSP. La decisión no debería ser compleja, sólo basta con responder a dos preguntas para tomar la determinación:

 

1) ¿Es estratégica para mi empresa la función/servicio de seguridad que estoy evaluando tercerizar?. 

 

2) ¿La función que estoy evaluando es el negocio principal de mi empresa? (core competency).

 

Si cualquiera de estas preguntas es negativa, la alternativa de outsourcing es altamente viable y en muchos casos recomendable.

 

El mundo está cambiando, impulsado por los nuevos modelos de negocios basados en Internet, las comunicaciones y la informática. Queda del lado de las Corporaciones y Pymes tomar la decisión de focalizarse en sus negocios estratégicos y tercerizar las funciones operativas que retrasan la adaptación continua en un mundo que avanza cada vez más rápido.

 

Federico Seineldín
CEO Openware

 

Recomienda esta Nota a un Amigo:
Tu Nombre y Apellido:
Tu Email:
Email de tu amigo:
Nombre de tu amigo:
Apellido de tu amigo:

Banner Symantec
Banner Mc Afee
Banner 3Com
Banner Bloggers
Banner HP
Banner Sun ComWare
Banner I-SEC
Banner ASIar
Banner ComPlus
Banner Education Center
Banner InfoSecurity
Copyright © 2006 I-Sec. Todos los derechos reservadosPolítica de protección de Datos PersonalesPowered by