natali_mis - stock.adobe.com

Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Lo más importante a considerar en la subcontratación de seguridad

¿Qué controles de seguridad críticos se pueden subcontratar y cómo las organizaciones, en particular las PyMEs, mantienen la confianza de que se están gestionando de manera eficaz y adecuada?

Subcontratar las operaciones de seguridad cibernética no solo es posible, sino que también es muy atractivo, especialmente en vista de la complejidad creciente, la evolución continua de la amenaza cibernética y la escasez actual de profesionales cibernéticos capacitados.

Sin embargo, lo que no puede hacer es subcontratar los riesgos comerciales asociados y las responsabilidades reglamentarias, como las que se encuentran en el reglamento general de protección de datos (GDPR).

Si bien existirán acuerdos de nivel de servicio (SLA) que rigen los servicios de seguridad, es poco probable que los proveedores ofrezcan responsabilidad ilimitada por las pérdidas resultantes de un ataque cibernético o una violación de la privacidad. Por lo tanto, usted debe ser capaz de emitir juicios sobre los servicios que se le brindan y tomar decisiones informadas sobre lo que es adecuado subcontratar para su negocio.

A nivel comercial, el CISO querrá mantener el control y la administración generales de la política de seguridad, la recuperación ante desastres, los aspectos regulatorios como GDPR y la gestión de incidentes y medios de alto nivel, pero sería perfectamente factible externalizar el soporte subyacente, como la respuesta a incidentes y los aspectos de la recuperación de desastres.

Sin embargo, un CISO de tiempo completo puede no ser asequible para pequeñas y medianas empresas (PyMEs), por lo que una solución alternativa que está creciendo en popularidad es emplear un "CISO virtual". Estos son CISO con experiencia y conocimientos que pueden brindar apoyo independiente, para garantizar que se cumplan los requisitos reglamentarios y que los proveedores subcontratados cumplan con los niveles de servicio necesarios, a una fracción del costo de un empleado de tiempo completo.

Los servicios de seguridad típicos que pueden subcontratarse incluyen monitoreo de protección, administración de vulnerabilidades, administración de firewall, antivirus, etc. La decisión de subcontratar puede depender de si su empresa ya externaliza su suministro de TI o si utiliza servicios en la nube.

La tendencia actual entre las PyMEs es para soluciones basadas en la nube, ya que reducen la sobrecarga de tener sus propios equipos de administración de seguridad y TI, especialmente cuando se usan servicios de almacenamiento y software como controles de seguridad –podrían ser parches y copias de seguridad– que se incluyen en la suscripción.

Si tiene un proveedor de servicios de TI, es posible que también puedan proporcionar servicios básicos de seguridad similares o servicios más avanzados, como el monitoreo de seguridad.

Al subcontratar a múltiples proveedores (por ejemplo, usar su proveedor de TI para parches y antivirus, un proveedor de monitoreo de seguridad especializado para monitoreo de protección y un tercer proveedor para respuesta a incidentes), es esencial que se comuniquen no solo en el momento de un incidente, sino también diariamente para mantener una imagen única y a conciencia de la situación.

Decidir qué subcontratar a menudo está impulsado por la necesidad de personal especializado (que actualmente tiene una gran demanda), el conocimiento de las amenazas y la viabilidad de mantener su propia capacidad.

Como ilustración, en ocasiones es posible que necesite un equipo de respuesta a incidentes de varios expertos que cubran análisis forenses informáticos, análisis forenses de redes, análisis de malware, etc. Pero tener a estos profesionales en la nómina a tiempo completo, "por si acaso", sería demasiado costoso, asumiendo que conserven interés en su organización.

Además, la protección efectiva depende de un buen nivel de información actualizada sobre amenazas, de modo que, a menos que tenga especialistas dedicados a la caza de amenazas y la recopilación de información sobre amenazas, será difícil defender sus sistemas. La respuesta a incidentes y el monitoreo de seguridad, seguidos de cerca por el monitoreo de vulnerabilidades, son por lo tanto los primeros aspectos a considerar.

Los parches, la administración de firewall y la administración de acceso son más rutinarios, por lo que pueden mantenerse internamente, pero si este es el caso, cualquier proveedor de monitoreo de protección debe conocer la configuración actual para cumplir con sus SLA.

Medición del desempeño

Al designar a un proveedor de servicios de seguridad, debe asegurarse de que cumplan con los estándares adecuados, como ISO27001, pero para realizar un seguimiento y medir el rendimiento, es importante establecer los SLA y los requisitos de informes.

Estos deben incluir medidas de rendimiento que cubran el tiempo para aplicar parches o aplicar nuevas definiciones de antivirus o el tiempo de notificación de diferentes incidentes de prioridad y el tiempo para asesorar sobre incidentes/solicitudes y proporcionar informes de incidentes, que deben incluir recomendaciones sobre cualquier acción que deba tomar.

Los SLA de calidad también deben cubrir la entrega de informes periódicos. Durante el contrato, debe buscar que el proveedor no solo cumpla con los SLA, sino que intente ir más allá de los requisitos del SLA y proporcionar informes que sean valiosos para su equipo operativo, en lugar de solo lo mínimo.

Una de las principales cosas en las que necesita confianza de parte de un proveedor de monitoreo de protección es la experiencia de su personal y su postura de seguridad a través de la construcción continua de su conocimiento de la situación cibernética y la inteligencia de amenazas cibernéticas.

Es difícil aplicar una medida cuantitativa, pero debe esperar que mejoren continuamente su postura de seguridad mediante la búsqueda de amenazas y la recopilación de información sobre las diferentes amenazas. Idealmente, deberían poder adaptar esta información a su sector vertical.

Para ganar más confianza, por supuesto, puede organizar auditorías y pruebas independientes en su propia infraestructura para ver si el proveedor se da cuenta de los eventos que ocurren fuera del "funcionamiento normal".

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close