BACKGROUND IMAGE: iSTOCK/GETTY IMAGES

Este contenido es parte de Guía Esencial: Guía esencial para mejorar su estrategia de outsourcing
Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

La tolerancia al riesgo es clave para la política de outsourcing de seguridad

¿Qué controles de seguridad críticos pueden subcontratarse y cómo las organizaciones, en particular las PyMEs, mantienen la confianza de que se están gestionando de manera eficaz y adecuada?

Muchas pequeñas y medianas empresas (PyMEs) intentan cerrar las brechas en sus defensas de manera rentable al incorporar proveedores de servicios gestionados (MSP). Sin embargo, la ironía es que la externalización de los controles de seguridad críticos para hacer frente a la proliferación de amenazas puede aumentar aún más la variedad potencial de vectores de ataque que los hackers pueden explotar.

Entonces, ¿qué medidas pueden tomar las PyMEs para mantener la confianza de que las MSP están administrando su seguridad cibernética de manera eficaz y adecuada? Y, lo que es más importante, ¿qué controles de seguridad deben subcontratarse y qué controles deben mantenerse internamente?

Las organizaciones primero deben evaluar su nivel de "tolerancia al riesgo". Si su tolerancia al riesgo es baja, casi cualquier cosa puede ser subcontratada, desde el análisis de seguridad hasta los informes de cumplimiento.

Sin embargo, una PyME que es proveedora de una institución gubernamental –como el Ministerio de Defensa (MoD)– puede tener una tolerancia al riesgo mucho menor y solo debe usar un MSP aprobado por el gobierno. Si una empresa tiene proveedores, clientes o socios en el ámbito de la seguridad nacional, también puede ser recomendable evitar trabajar con empresas de seguridad cibernética con sede en estados hostiles.

Es fundamental para las empresas realizar una auditoría de todos sus datos o sistemas internos para identificar el "perfil de riesgo" de todos sus sistemas y datos, y las sensibilidades particulares de cada tipo de datos. Esto ayudará a decidir qué se puede subcontratar y a quién.

Por ejemplo, nunca se debe entregar información vital de propiedad intelectual o financiera a una compañía que tenga un historial de seguridad deficiente o un contrato sin un acuerdo de nivel de servicio (SLA) sólido.

Los controles de seguridad para los sistemas, servidores, redes o datos cubiertos por las leyes, así como la directiva de información del sector público, solo deben subcontratarse a compañías que especifiquen que cumplen con sus contratos.

Todos los datos de transacciones financieras deben manejarse internamente, cuando sea posible. Luego hay consideraciones obvias, como si su MSP de seguridad alberga sus datos en Europa, donde estará sujeto al Reglamento General de Protección de Datos de la Unión Europea (GDPR).

Cómo auditar su MSP

Al subcontratar los controles de seguridad, es vital analizar la postura de seguridad del MSP. Las cosas más pequeñas pueden revelar su nivel de seguridad, por ejemplo, si utilizan un correo electrónico de la empresa o un correo electrónico personal cuando se ponen en contacto con usted sobre sus servicios.

Es importante solicitar referencias independientes o escanear los medios para verificar si la compañía ha sufrido violaciones. También es importante determinar si cumplen con alguna protección de datos, seguridad cibernética o cualquier otra regulación relevante para su negocio.

Revise la letra pequeña

Al igual que algunas aplicaciones recopilan grandes cantidades de datos personales sin nuestro consentimiento para personalizar los anuncios y servicios, su MSP puede estar recolectando grandes cantidades de datos sin su conocimiento o consentimiento para hacer su trabajo.

Trabajé con una empresa que subcontrataba la seguridad y la administración de su base de datos a un MSP. No estaban al tanto de las vulnerabilidades de seguridad latentes ocultas en el contrato hasta que descubrieron que el MSP estaba haciendo copias digitales de las seis bases de datos.

Esto fue aparentemente para que pudiera reflejar la configuración de la empresa en sus propios sistemas para "probar" las nuevas actualizaciones antes de implementarlas en las bases de datos reales. Sin embargo, también significaba que toda la información en esas bases de datos estaba ahora en manos de un tercero.

La clave es verificar siempre la letra pequeña del contrato para garantizar que el MSP tiene prohibido acceder a datos o sistemas confidenciales en el desempeño de sus funciones.

Investigue más sobre Gestión de la seguridad de la información

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close