Outsourcing de la Seguridad Lic. Raúl Castellanos CISM / QSA / Lead Auditor ISO 27001 rcastellanos@cybsec.com 14 de Septiembre de 2010 Buenos Aires - Argentina
Tendencias en Seguridad de la Información Agenda Qué es el outsourcing Ventajas y desventajas Precauciones para la contratación El futuro del outsourcing 2
Definiendo outsourcing El outsourcing involucra la transferencia a un proveedor externo, del gerenciamiento y/o o la ejecución n cotidiana de una función n del negocio. El cliente y el proveedor establecen una relación n contractual que rige las condiciones de la prestación n del servicio (SLA). Realizar el outsourcing de la seguridad de la información n requiere que la compañí ñía a tenga pruebas objetivas de la eficacia del proveedor y tenga confianza en que el mismo realizará sus actividades en forma correcta. 3
Responsabilidad A pesar de que el control de gestión n y la operatoria pasan a manos del proveedor, Ustedes siguen siendo responsables por la seguridad. Si algo sucede, la responsabilidad siempre va a recaer sobre Ustedes. El proveedor de los servicios de outsourcing debería a demandar que los clientes tengan un rol activo en el Management del outsourcing. 4
Ventajas del outsourcing de la seguridad de la información - Acceso a niveles altos de especialización - Actualización n constante del personal involucrado - Mejorar el nivel de seguridad - Bajar costos - Evitar contratar personal - Liberar personal interno para otras tareas - Imposibilidad de retener a los expertos del área de seguridad - Ya se ha realizado el outsourcing de ciertas funciones de TI, por qué no la seguridad de la información? - Que alguien más m s puede hacerlo mejor, más s barato y más s rápido r de lo que lo hacemos nosotros 5
Que se puede outsourcear? - Monitoreo/Gesti Gestión n de firewalls, IDS y VPNs - Monitoreo y Gestión n de antivirus y antispamming - Detección n remota de vulnerabilidades - Respuesta a incidentes - Soporte a proyectos - Gestión n de Logs - Penetration Tests - Data Center alternativo - Gestión n de la Seguridad 6
Demanda del outsourcing en Latinoamérica Alta: - Gestión n FW, antivirus, IDS, VPN y accesos remotos - Monitoreo y correlación n de Logs - Penetration Test - Manejo y soporte ante incidentes Media: - Refuerzo de las políticas de Seguridad - Soporte especializado en proyectos - Seguridad interna (Network/Desktops) Baja: - Seguridad interna (Servidores) - Área de Seguridad de la Información 7
Primero entendamos porqué se quiere outsourcear Que quiere lograr la organización n con el outsourcing? Qué nivel de criticidad tiene el servicio en mi operación? Que tan difícil es monitorear el trabajo que se terceriza? Qué métricas se pueden establecer? Cual es el grado de madurez de la empresa manejando outsourcing? 8
Causas de suspensión o disminución del outsourcing 9
Recomendaciones para elegir un Proveedor No elegir sólo s por precio Elegir un proveedor con un servicio full, que acredite experiencia en otros clientes Posibilitar la marcha atrás Tener especial cuidado con la confidencialidad de la información n y con la supraactividad del Proveedor Corroborar que tenga una sólida s situación n financiera 10
Casos reales de outsourcing Área de Ingeniería a de Seguridad Penetration Test Externos e Internos Soporte a Proyectos Asesoramiento Estratégico Equipos de respuesta ante incidentes de seguridad Monitoreo de seguridad Gestión n de herramientas de seguridad Soporte documental (estándares, procedimientos, checklist, etc., para cumplir con normativa local e internacional) 11
El futuro del Outsourcing IT Outsourcing Business Process Outsourcing Knowledge Process Outsourcing Seguridad de la Información 60 % de los CFO y CIO creen que sus empresas aumentarán n el outsourcing 12
Preguntas? Muchas Gracias 13