Outsourcing de la Seguridad. Se puede?

Transcripción

1 Raúl l Castellanos rcastellanos@cybsec.com CYBSEC

2 Definiendo outsourcing El outsourcing involucra la transferencia a un proveedor externo, del gerenciamiento y/o la ejecución cotidiana de una función del negocio. El cliente y el proveedor establecen una relación contractual que rige las condiciones de la prestación del servicio (SLA). Realizar el outsourcing de la seguridad de la información requiere que la compañía tenga pruebas objetivas de la eficacia del proveedor y tenga confianza en que el mismo realizará sus actividades en forma correcta.

3 Responsabilidad A pesar de que el control de gestión y la operatoria pasan a manos del proveedor, Ustedes siguen siendo responsables por la seguridad. Si algo sucede, la responsabilidad siempre recae sobre Ustedes. El proveedor de los servicios de outsourcing debería demandar que los clientes tengan un rol activo en el management del outsourcing.

4 Estado actual en EEUU Los niveles de outsourcing de las tareas de seguridad se han mantenido en los mismos niveles en los últimos dos años. El 61% de las Organizaciones no realiza ningún tipo de outsourcing.

5 Que se puede outsourcear? - Monitoreo/Gestión de firewalls, IDS y VPNs - Monitoreo y Gestión de antivirus y antispamming - Detección remota de vulnerabilidades - Respuesta a incidentes - Soporte a proyectos - Gestión de Logs - Penetration Tests - Gestión de la Seguridad

6 Quiénes (MSSP)? son los Managed Security Services Providers Son proveedores que ofrecen soporte on-site, monitoreo remoto, gerenciamiento de servicios de seguridad y soporte 24x7 en procesos de monitoreo, protección, escalación y respuesta ante incidentes. Son los proveedores de los servicios de outsourcing.

7 Ventajas del outsourcing de la seguridad de la información - Altos niveles de especialización - Actualización constante del personal involucrado - Mejorar el nivel de seguridad - Bajar costos - Evitar contratar personal - Liberar personal interno para otras tareas - Imposibilidad de retener a los expertos del área de seguridad - Alguien más puede hacerlo mejor, más barato y/o más rápido de lo que lo hacemos nosotros

8 Desventajas del outsourcing de la seguridad de la información - Se le da acceso a activos críticos a terceras personas, sobre las que no se tiene control directo - No se crea expertise y know-how dentro de la compañía - Si algo sucede, la responsabilidad legal puede ser limitada - Qué sucede si el proveedor cierra de repente (Pilot Networks, Covad, Nettel, LMGT, etc)? - Los tiempos de respuesta tienden a incrementarse con el paso del tiempo

9 Regulaciones del Mercado Financiero BCRA 4609 Sección 7 Delegación de actividades en terceros Responsabilidades propias de la entidad El Directorio, o autoridad equivalente de la entidad financiera, debe establecer y aprobar formalmente políticas basadas en un previo análisis de riesgos. Para toda actividad vinculada a la administración y/o procesamiento de datos, sistemas o tecnologías relacionadas, deberá evidenciarse la existencia de contratos que definan claramente el alcance de los servicios, las responsabilidades y acuerdos sobre confidencialidad y no divulgación.

10 Regulaciones del Mercado Financiero BCRA 4609 Sección 7 Delegación de actividades en terceros Responsabilidades del tercero Los terceros, en los cuales se hayan delegado actividades vinculadas a la administración y/o procesamiento de datos, sistemas o tecnologías relacionadas, deben mantener la aplicación de las pautas mínimas establecidas en las presentes normas. Los sistemas de administración de la seguridad de los datos, y de los programas relativos a una entidad financiera, tendrán un entorno de seguridad individual.

11 Regulaciones del Mercado Financiero BCRA 4609 Sección 7 Delegación de actividades en terceros Control de las actividades delegadas El Directorio, o autoridad equivalente de la entidad, es el responsable primario sobre el control y monitoreo continuo del cumplimiento de los niveles de servicios acordados, el mantenimiento de confidencialidad de la información y de todos los aspectos normados por la presente comunicación.

12 Recomendaciones para elegir un Proveedor - No elegir sólo por precio - Elegir un proveedor con un servicio full, que acredite experiencia en otros clientes - Posibilitar la marcha atrás - Tener especial cuidado con la confidencialidad de la información y con la supraactividad del Proveedor - Corroborar que tenga una sólida situación financiera

13 Conclusiones: Sí se puede. Debemos tener cuidado en: Definir bien qué nos conviene externalizar. Hacer una cuidadosa selección del proveedor. Elaborar un buen contrato y SLA. Involucrarnos en el control de los procesos

14 Contactos: Raúl l Castellanos rcastellanos@cybsec.com CYBSEC