Externalización de las TIC s y la Seguridad:

Transcripción

1 Externalización de las TIC s y la Seguridad: Retos y oportunidades Septiembre 2010

2 Indice 01 Conceptos de Outsourcing 02 Motivaciones e Inhibidores 03 Retos 04 Mejores practicas 05 Relación de Cumplimiento 06 Conclusiones 2

3 01 Conceptos de Outsourcing Concepto de Outsourcing Outsourcing es un Modelo de Gestión Empresarial que consiste en la Externalización (servicio prestado por un Proveedor Externo) de Funciones Empresariales de Forma Estable. Cuáles son las Condiciones Necesarias para considerar a un Servicio como Outsourcing? 1. Servicio Prestado por un Proveedor Externo 3. Servicio Estable Empresa Empresa Proveedor Performance Proyectos Distribuidos en el Tiempo Situación Inicial Outsourcing Un Proveedor Externo se hace responsable de una función empresarial que hasta entonces se hacia de forma interna en la empresa. 2. Funciones Empresariales Situación Inicial Función Empresarial 1 Outsourcing El proveedor externo se hace responsable de funciones empresariales, no existe una entrega única al finalizar la actividad. Performance P 0 P 1 P 2 Situación Inicial O 1 Outsourcing Duración Efecto Aprendizaje Mejora Performance Duración La relación pasa a ser estable, pasando de Proyectos distribuidos en el tiempo a un servicio continuo que mejora su performance en el tiempo. 3

4 01 Conceptos de Outsourcing Premisas de Outsourcing No es Outsourcing todo lo que es llamado Outsourcing en la empresa. A continuación se presentan una serie de matices que ayudan a identificar un servicio de Outsourcing: Cómo identificar correctamente un Servicio de Outsourcing? Es un servicio. Es Outsourcing Se contrata por un tiempo relativamente largo, generalmente más de un año. No existe una entrega o resultado único y concreto de la actividad a contratar El Proveedor tiene un grado de autonomía significativo. Existen responsabilidades de la empresa que las pasa a adquirir el Proveedor. Existen riesgos Indirectos al servicio contratado o riesgo de responsabilidad ante terceros. Lleva asociados parámetros de calidad medibles objetivamente. Las condiciones de variación del servicio son pactadas en el momento de la primera contratación. No es Outsourcing No existe una medida objetiva de la calidad. El valor de los productos involucrados es una parte muy mayoritaria sobre el valor total. Las actividades del contrato son controladas por la empresa que ha contratado al proveedor de forma directa. La duración del contrato es menor de un año. La responsabilidad del proveedor es exclusivamente la realización de una serie de tareas definidas. 4

5 01 Conceptos de Outsourcing Tipos de Outsourcing Existe una gran variedad de soluciones de Outsourcing que afectan a casi la totalidad de las Funciones empresariales. Sin ser exhaustivo, se detallan una serie de ejemplos de servicios de Outsourcing que ayudan a comprender mejor la materia. Es Outsourcing Servicio de Limpieza de Oficina dentro de unos horarios, sin especificar el numero de personas que deben intervenir y con una facturación ligada a un conjunto de test muestrales sobre el grado de limpieza. Prestación de un servicio de Soporte Informático que incluye una penalización asociada a retrasos en el servicio. El contrato tiene una duración de tres años. No es Outsourcing Contratación de un numero de Personas para que realicen la limpieza durante un numero de horas bajo la supervisión directa del cliente. Soporte Microinformático para arreglar una avería que ya esta identificada y definida. Servicio de Seguridad de un edificio que incluye la instalación de todo el material y de los profesionales necesarios para controlar y gestionar la seguridad del recinto. Se factura mediante factura fija al mes mas un coste unitario por intervención. 3 años. Contratación de un servicio de Gestión de Nominas que incluye el sistema completo (Hardware y Software). Existe una serie de penalizaciones por errores superiores al 2% en la emisión de las mismas. Es un servicio de 4 años. Servicio de mantenimiento de aplicaciones de una empresa durante 5 años donde queda establecido un serie de parámetros como: metodología, modelo de comunicación de incidencias e índices de calidad. Existen penalizaciones asociadas al incumplimiento. Contratación de tres turnos de vigilancia y la instalación de detectores de paso. Facturación fija al mes durante cinco años. Servicio de gestión de nominas en el que trabajaran dos administrativos 40 horas semanales entregando un fichero en un formato determinado de forma mensual. No se han previsto penalizaciones por errores o retrasos. Servicio de mantenimiento de aplicaciones en el que queda establecido un numero de horas de técnicos y perfiles. La incidencias serán priorizadas en función del criterio del director de informática de la compañía que contrata el servicio. 5

6 01 Conceptos de Outsourcing Modalidad de Outsourcing. Normalmente los proveedores de Outsourcing trabajan sobre cuatro modalidades (tipos) de Outsourcing que indentifican los aspectos mas importantes de la actividad a externalizar, entre ellos encontramos: AM (Application Managment) Externalización total o parcial del ciclo de vida de desarrollo de aplicaciones. Integral Avanzado Básico Requerimiento de Usuarios Consultoría Diseño Funcional Diseño Técnico Programación Pruebas Unitarias Pruebas de Integración Soporte a la Explotación ITO (IT Outsourcing) Externalización de una o varias funciones dentro de la administración tecnológica de IT 6

7 01 Conceptos de Outsourcing Modalidad de Outsourcing. AT (Asistencia Tecnica) Externalización de una función especifica a través de personal que es gestionado directamente por la compañía que contrata (Outsourcing basado en personas). Gestión Proveedor Compañía BPO (Bussines Process Outsourcing) Externalización de áreas gestión tecnológica 1 o funciones de una organización que NO necesariamente se relacionan con Organización Nomina 2. Impresión de Extractos 3. Digitalización Documentos Proveedor A Proveedor B Proveedor C 7

8 Indice 01 Conceptos de Outsourcing 02 Motivaciones e Inhibidores 03 Retos 04 Mejores practicas 05 Relación de Cumplimiento 06 Conclusiones 8

9 02 Motivaciones e Inhibidores Motivaciones para contratar Outsourcing Existen numerosas razones para realizar un servicio en modalidad de Outsourcing, sin embargo las razones que provocan la decisión final dependen íntegramente de la estrategia de negocio en la que este inmersa la empresa. Motivaciones más importantes Estratégicas Centrarse en el core business de la compañía Mejor gestión y predictibilidad del coste Obtener flexibilidad para adaptarse a los nuevos requerimientos del mercado/negocio Reducción de Costes Cambio de Costes Fijos a costes Variables Alinear la estrategia de Sistemas de Información con la estrategia de Negocio. Tecnológicas Compartir Riesgos con el Proveedor Mejorar la innovación en los Sistemas de Información Acceso a las capacidades de la Industria Organizativas Acceso a recursos expertos, tanto humanos como materiales Mejora de los sistemas de Información para los Usuarios Finales Ajustes de Plantilla Quitar los activos del Balance Funcionales Mejora de los niveles de servicio y la calidad percibida Reducir el time to Market Desarrollo de Proyectos con el Proveedor 9

10 02 Motivaciones e Inhibidores Motivaciones para contratar Outsourcing La principal motivación para la contratación de un servicio de Outsourcing es la posibilidad de reducir sus costes. Este aspecto es el más nombrado entre los gestores que adoptan una estrategia de externalización, tanto antes de ejecutarla como después de contratar, siendo este su objetivo principal. Relación de Motivaciones más importantes Desarrollo de Proyectos junto con el Outsourcer Quitar los activos del balance Acceso a las capacidades de la industria Alinear estrategia de SI con la estrategia de Negocio Mejorar la innovación en Sistemas de Informacion Compartir Riesgos con el Proveedor de Outsourcing Ajustes de Plantilla Acceso a recursos expertos, tanto humanos como materiales Mejor Gestión y predictivilidad del Coste Centrarse en el Core Business de la compañía Mejora de los Sistemas de Informacion a los usuarios finales Mejorar la Flexibilidad y el Time to Market Reducción de Costes 0% 5% 10% 15% 20% 25% 30% 35% 40% 45% Estratégicas Organizativas Tecnológicas Funcionales Principales Motivaciones para la Contratación de Outsourcing. Hasta tres respuestas permitidas. Ámbito Mundial. Fuente Gartner (2007) 10

11 02 Motivaciones e Inhibidores Inhibidores de Outsourcing Existe una serie de Inhibidores o riesgos que pueden motivar el rechazo al Outsourcing. Todos estos riesgos que se enumeran a continuación tienen un factor común: el miedo a no alcanzar los objetivos marcados. Relación de Inhibidores más importantes La Pérdida de Control de Funciones Clave de la empresa se presenta como el riesgo más nombrado. Las empresas valoran mucho la seguridad de sus datos y en algunos casos son reacios a traspasar la responsabilidad de su gestión a terceros. Algunos gestores ven un riesgo depender de otros proveedores en algunos factores. Dentro de la empresa pueden existir grupos de presión que no quieren un cambio organizacional alegando perdida de conocimiento y/o de control. Legislación en contra del Outsourcing Reorganización de Recursos Humanos Operación más costosa de lo realmente previsto Inquietud por la seguridad y privacidad de los datos Pérdidas de Empleos clave Pérdida de Independencia Pérdida de control de Funciones clave de la empresa 45% 40% 35% 30% 25% 20% 15% 10% Negocio 5% 0% Posibles conflictos con el proveedor Pérdida de Conocimientos de TI Seguridad Dependiencia del proveedor Freno a Reorganizaciones Rapidas Desconfianza hacia el proveedor Posibles confictos internos Costes Principales Inhibidores para la Contratación de Outsourcing. Hasta tres respuestas permitidas. Ámbito Mundial. Fuente Gartner (2007) 11

12 02 Motivaciones e Inhibidores El mercado de Outsourcing en la actualidad Actualmente el Outsourcing, es una solución reconocida a nivel internacional. Muchas compañías, ya sean Grandes Multinacionales o Administraciones Publicas han optado por él como un mecanismo que ayuda a mejorar sus resultados anuales. Un mercado en Crecimiento ,6% ,3% 12,2% ,8% 11,4% 10,3% 10,2% 9,8% 7,1% 7,1% 7,5% ,3% África Resto del Mundo África Resto del Mundo Volumen Esperado (MM$) Crecimiento Esperado Crecimiento esperado del Outsourcing de TI, Estimaciones Año Fuente Gartner 25,0% 20,0% 15,0% 10,0% 5,0% 0,0% El Outsourcing se presenta como un mercado muy interesante gracias a sus tasas de crecimiento. En el periodo se espera un crecimiento del 60% a nivel mundial. En casos de crisis severa, el Outsourcing se ve poco afectado ya que es un modelo que ayuda a reducir los costes. Empresas y gobiernos de países emergentes consideran estratégicas las inversiones en sistemas de información por lo que se espera un incremento en sus inversiones. 12

13 Indice 01 Conceptos de Outsourcing 02 Motivaciones e Inhibidores 03 Retos 04 Mejores practicas 05 Relación de Cumplimiento 06 Conclusiones 13

14 03 Retos Retos establecidos por el mercado? Cómo aplicar modelos de madurez para mejorar la operación de TI de las compañías?.?? Cuáles son las normativas de tipo legal y regulatorio que debe cumplir las compañías que contratan Outsourcing?. Cuáles son las políticas de seguridad sobre las cuales se rigen las compañías que contratan Outsourcing?.? Cuáles controles de seguridad se deben considerar según el tipo de Outsourcing?. 14

15 Indice 01 Conceptos de Outsourcing 02 Motivaciones e Inhibidores 03 Retos 04 Mejores practicas 05 Relación de Cumplimiento 06 Conclusiones 15

16 04 Mejores practicas Cuáles mejores practicas. Seguridad ISO Desarrollo de Software ISO Intrusión CMMI BS NIST IT Service ISO12207 PCI DSS OWASP ISO ISO15504 SPICE SSE -CMM OSSTM Calidad ISO ISO ITIL V2 ISO 9004:2000 ITIL V3 COPC-2000 COBIT 4.0 COSO Gobierno IT PMBOOK PRINCE2 Manejo de Proyectos Mejores Practicas BCI GPG BS Continuidad del Negocio SIX Sigma BSC Estrategia y Mejoramiento Organizacional ISO 9000:2005 VMM Val IT ISO 9001:2000 Económico / Inversiones 16

17 04 Mejores practicas Estructura Jerárquica Drivers Rendimiento Objetivos del Negocio Conformidad BASILEA II, Sarbanes- Oxley Act, etc. Gobierno Corporativo B S C COSO Gobierno IT Estándares Procesos y Procedimientos Herramientas Infraestructura Firewall ISO 9001:2000 Procesos de Calidad Antispam Mesa de Servicio ISO ITIL COBIT Monitoreo ISO Políticas y principios de Seguridad Control de Activos De Información Redes Servidores Almacenamiento Respaldo ISO CMMI Vulnerabilidades Centros de Computo IDS /IPS Facilities Madurez en los servicios 17

18 Indice 01 Conceptos de Outsourcing 02 Motivaciones e Inhibidores 03 Retos 04 Mejores practicas 05 Relación de Cumplimiento 06 Conclusiones 18

19 05 Relación de Cumplimiento Que debo cumplir como proveedor? Es importante entender cómo los objetivos de cumplimiento establecidos por un entorno regulatorio especifico pueden trasladarse a un proveedor de servicios. Marco de Trabajo COSO - COBIT SOX, PCI DSS, BASILEA, CIRCULAR XX, Entorno Regulatorio Entorno Ambiente de de Control Control Análisis de Riesgo Actividades de Control Información y Comunicación Monitoreo Objetivos de Negocio Políticas de Seguridad y Control Interno. Controles ISO 27002, Procesos y Procedimiento ITIL, Controles CMMI Seguridad Dirección de la Organización Seguridad Lógica Control Interno Usuarios Organización Áreas de Servicio de TI Admón. de TI Desarrollo de Aplicaciones Operación 19

20 05 Relación de Cumplimiento Un caso de ejemplo Es importante analizar algunas normas en el sector bancario que son aplicadas a los proveedores de Tecnología. Circular 052 Colombia 1. Ámbito de aplicación 2. Definiciones y criterios de seguridad y calidad de la información 3. Obligaciones generales 3.1. Seguridad y calidad 3.2. Tercerización Outsourcing 3.3. Documentación 3.4. Divulgación de información 4. Obligaciones adicionales por tipo de canal 4.1. Oficinas 4.2. Cajeros Automáticos (ATM) 4.3. Receptores de cheques 4.4. Receptores de dinero en efectivo 4.5. POS (incluye PIN Pad) 4.6. Sistemas de Audio Respuesta (IVR) 4.7. Centro de atención telefónica (Call Center, Contact Center) 4.8. Sistemas de acceso remoto para clientes 4.9. Internet Prestación de servicios a través de nuevos canales 5. Reglas sobre actualización de software 6. Obligaciones específicas por tipo de medio Tarjetas débito y crédito 7. Análisis de vulnerabilidades Definir los criterios y procedimientos a partir de los cuales se seleccionarán los terceros y los servicios que serán atendidos por ellos Incluir en los contratos que se celebren con terceros o en aquellos que se prorroguen a partir de la entrada en vigencia del presente Capitulo, por lo menos, los siguientes aspectos: a) Niveles de servicio y operación. b) Acuerdos de confidencialidad sobre la información manejada y sobre las actividades desarrolladas. c) Propiedad de la información. d) Restricciones sobre el software empleado. e) Normas de seguridad informática y física a ser aplicadas. f) Procedimientos a seguir cuando se encuentre evidencia de alteración o manipulación de equipos o información. g) Procedimientos y controles para la entrega de la información manejada y la destrucción de la misma por parte del tercero una vez finalizado el servicio Exigir que los terceros contratados dispongan de planes de contingencia y continuidad debidamente documentados. Las entidades deberán verificar que los planes, en lo que corresponden a los servicios convenidos, funcionen en las condiciones esperadas Establecer procedimientos que permitan identificar físicamente, de manera inequívoca, a los funcionarios de los terceros contratados Implementar mecanismos de cifrado fuerte para el envío y recepción de información confidencial con 20

21 05 Relación de cumplimiento Cuáles controles aplicar? Política de Seguridad Política de Seguridad de la Información Revisión de la Política de Seguridad de la Información Norma ISO Seguridad de la Información Organización de la Seguridad Clasificación y Control de Activos Seguridad del Personal Seguridad Física y Ambiental Gestión de Comunicaciones y Operaciones Control de Accesos Adquisición, Desarrollo y Mantenimiento de SW Gestión de Incidentes Gestión de Continuidad del Negocio Cumplimiento Estructura de Organización Interna Responsabilidad sobre los activos Antes de emplear Procedimientos y Responsabilidades Planificación y aprobación Política control de acceso Acceso de Usuarios Requerimientos en los sistemas Seguridad en las aplicaciones Cumplimiento de Requisitos Legales Areas Seguras Protección Software Malicioso Seguridad en medios almacenamiento Responsabilidad Usuario Acceso a la red Controles Criptográficos Seguridad Archivos del Sistema Notificación de Incidentes Durante el empleo Organización Externa (Terceros) Clasificación de la información Terminación o Cambio de Empleo Seguridad del Equipamiento Admon de la Red Respaldo Intercambios Monitoreo de información Acceso Sistema Operativo Acceso Aplicaciones Seguridad en los procesos de Desarrollo y Soporte Seguridad de la información en la Gestión de la Continuidad del Negocio Cumplimiento de Políticas de Seguridad y Estándares Proceso de Gestión de Incidentes Servicios Contratados Comercio Electrónico Computación Móvil Gestión de Vulnerabilidades Tecnicas Consideraciones de Auditoria de Sistemas 21

22 05 Relación de Cumplimiento Algunas premisas de la Relación. Políticas Estándares Procedimientos Los prestadores de servicio se rigen sobre las políticas y regulaciones de la entidad contratante, enmarcado en el ámbito del servicio contratado. El establecimiento y divulgación de las Políticas de Seguridad, debe ser una función de la organización contratante del servicio. Roles y Responsabilidades No es congruente externalizar la función de Oficial de Seguridad y/o control Interno, aunque en algunos casos se confunde con la externalización de funciones de administración de plataformas de seguridad. Controles Correctivos Detectivos Preventivos Tecnologías Se deben establecer responsabilidades claras tanto el establecimiento de controles como en el cumplimiento de los mismos (Auditoria y Control). Cualquier infraestructura puesta para el servicio debe cumplir los mismos estándares de seguridad que la organización contratante designe 22

23 Indice 01 Conceptos de Outsourcing 02 Motivaciones e Inhibidores 03 Retos 04 Mejores practicas 05 Relación de Cumplimiento 06 Conclusiones 23

24 06 Conclusiones Principales Conclusiones 1. Outsourcing consiste en la externalización de funciones empresariales de forma estable en el tiempo, y con condiciones de medición que permitan establecer parámetros de calidad sobre el servicio. 2. Es de suma importancia analizar las expectativas de las organizaciones que externalizan funciones tecnológicas, y aun mas plantear modelos de servicio que respondan a los retos del mercado y a las exigencias regulatorias del mismo. 3. La modalidad de servicio externalizado y las regulaciones de la organización contratante, determinan las mejores practicas y aun los controles a aplicar dentro del modelo de servicio a ofrecer. 4. Los modelos de cumplimiento generalmente pueden ser mapeados contra estándares internacionales que agrupan controles bien determinados para el seguimiento y auditoria. 24

25 Victor Mora Escobar Indra Sistemas 2008 Edificio Business Park, Torre Este, piso 4 Costa del Este, Avenida Principal y la Rotonda Panamá, Rep. de Panamá T F