FOROFAST- Dintel Gestión de la continuidad de negocio Externalización de los servicios de seguridad GMV, 2008 Propiedad de GMV Todos los derechos reservados
ÍNDICE 1. Continuidad de negocio y seguridad 2. La externalización como decisión estratégica de seguridad: Porqué externalizar? 3. Con las manos en la masa... 1. Riesgos de la externalización de la seguridad 2. Claves de éxito 4. Conclusiones SEGURIDAD 2008/04/09 Página 2 GMV, 2008
INTERPRETACIÓN DE LA BS 25999 CONTINUIDAD DE NEGOCIO Y SEGURIDAD GMV, 2008 Propiedad de GMV Todos los derechos reservados
Continuidad de Negocio y Seguridad Business continuity (BS-25999) Strategic and tactical capability, pre-approved by management, of an organization to plan for and respond to incidents and business interruptions in order to continue business operations at an acceptable pre-defined Planificación Servicio Respuesta Incidentes Interrupciones del negocio Fuente: BS7799-2 y ISO 27001 SEGURIDAD 2008/04/09 Página 4 GMV, 2008
Continuidad de Negocio y Seguridad Activity (BS-25999) Process or set of processes undertaken by an organization that produces or supports one or more products or services, for example, accounts, call centre, IT, manufacture, distribution SEGURIDAD IT SEGURIDAD 2008/04/09 Página 5 GMV, 2008
Continuidad de Negocio y Seguridad Fuente: BS 25999 SEGURIDAD SEGURIDAD 2008/04/09 Página 6 GMV, 2008
SERVICIOS DE SEGURIDAD PORQUÉ EXTERNALIZAR? GMV, 2008 Propiedad de GMV Todos los derechos reservados
Porqué Externalizar Seguridad? Factores Financieros y contables reducir costes eliminar elementos del coste fijo transformándolos en variable desde el punto de vista contable: Reducir la inversión para transformarla en gasto y dejar así la inversión para activos más críticos. Buscar mayor eficiencia en procesos no de negocio aunque con repercusión en el servicio Disponer de conocimiento experto sin necesidad de desarrollarlo. Conocimiento de mercado. Exigir responsabilidades Garantizar la resolución de incidentes GARANTIZAR LA CONTINUIDAD DE NEGOCIO SEGURIDAD 2008/04/09 Página 8 GMV, 2008
Porqué Externalizar Seguridad? Fuente: BS 25999 Diferentes modelos de externalización Ejemplos Inhousing: cuando el servicio de outsourcing se produce en las instalaciones de la organización contratante del servicio. Housing: se contrata espacio físico de un proveedor para ubicar controles/inf. de seguridad. Agentes Equipo Humano Gestión y procesos de seguridad Controles/ Infraestructura de seguridad Dependiendo de dónde se produce el servicio (en las instalaciones del contratante o no) y qué se externaliza de lo anterior se da lugar a distintos modelos de externalización de la seguridad. SEGURIDAD 2008/04/09 Página 9 GMV, 2008
EXTERNALIZACIÓN DE SEGURIDAD CON LAS MANOS EN LA MASA GMV, 2008 Propiedad de GMV Todos los derechos reservados
Riesgos de Externalizar Seguridad Pérdida de la capacidad de gestionar la función contratada Incremento del nivel de dependencia de entes externos Dificultad para reasumir la capacidad delegada Mala definición de acuerdos de servicio Ambigüedad de cláusulas contractuales Falsas expectativas por parte del contratante Mal Gobierno del contrato de externalización Pérdida de control sobre el proveedor Elegir mal el proveedor 2 SEGURIDAD 2008/04/09 Página 11 GMV, 2008
Claves de Éxito: 1. Selección del Proveedor Flexible Global (en cuanto a servicios de seguridad) Señales externas que indican que el proveedor al menos se preocupa por dar un buen servicio Calidad. SGC certificado (ISO 9001) Seguridad. SGISI certificado (ISO 27001) Infraestructura de servicio y formación de personal A la hora de gestionar los servicios que ofrece siga un conjunto de buenas prácticas (ej. ITIL) Solvencia económica SEGURIDAD 2008/04/09 Página 12 GMV, 2008
Claves de Éxito: 2. Contrato de Servicio El contrato debe ser una herramienta para conseguir un buen servicio. No un freno ni una vía de continua amenaza. Debe ser completo y claro e incluir: acuerdos de confidencialidad formalización de los servicios prestados (alcance, descripción, entregables,etc.) elementos de control y seguimiento definición de responsabilidades procedimientos de resolución de conflictos penalizaciones e incumplimientos... conviene que sea a corto-medio plazo... SEGURIDAD 2008/04/09 Página 13 GMV, 2008
Claves de Éxito: 2. Contrato de Servicio Otros elementos de interés: Establecer grupos de gestión periódicos y comités extraordinarios, definiendo claramente sus funciones. Definir/contratar métricas para medir la calidad de servicio ofrecida. Definir mecanismos de transferencia tecnológica. Definir la salida programada. Auditorías de seguimiento. SEGURIDAD 2008/04/09 Página 14 GMV, 2008
EXTERNALIZACIÓN DE SEGURIDAD CONCLUSIONES GMV, 2008 Propiedad de GMV Todos los derechos reservados
CONCLUSIONES La seguridad puede plantearse como parte de la estrategia de gestión de continuidad del negocio en la organización. La decisión de externalización de la seguridad como garantía de continuidad de negocio. El proceso de externalización tiene ventajas pero también ciertos riesgos que deben conocerse para tratarse desde el principio. Elementos clave, básicos para conseguir el éxito. Selección del proveedor El contrato como herramienta de colaboración y que debe incluir ciertos elementos esenciales de forma clara y precisa SEGURIDAD 2008/04/09 Página 16 GMV, 2008
Gracias Nathalie Dahan Responsable de Desarrollo Negocio de Seguridad Email: ndahan@gmv.com www.gmv.com GMV, 2008 Propiedad de GMV Todos los derechos reservados