BACKGROUND IMAGE: iSTOCK/GETTY IMAGES

Este contenido es parte de Guía Esencial: Guía esencial para mejorar su estrategia de outsourcing
Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Tercerice las operaciones de seguridad, no el control

¿Qué controles de seguridad críticos se pueden tercerizar y cómo las organizaciones, en particular las PyMEs, mantienen la confianza de que se están administrando de manera eficaz y adecuada?

Las organizaciones de hoy operan en un entorno cada vez más desafiante. Factores como el delito cibernético, el crecimiento de los datos que deben administrarse de manera segura y la legislación de protección de datos como el Reglamento General de Protección de Datos (GDPR) contribuyen a un aumento significativo de los riesgos que enfrentan.

Como resultado, la seguridad de TI ahora es ampliamente considerada como no discrecional, una parte esencial de las actividades diarias de negocios.

A pesar de esto, sigue causando un dolor de cabeza a muchas organizaciones, independientemente de su tamaño, porque requiere conocimientos y habilidades que están fuera de sus operaciones de negocio principales.

Esto se agrava para las pequeñas y medianas empresas (PyMEs); con recursos a menudo limitados para abordar los problemas, estos se reducen al ancho de banda.

Argumentos para un servicio gestionado

La necesidad de hacer más con menos plantea la cuestión de si el enfoque de “hágalo usted mismo” es una estrategia sostenible a largo plazo, y muchas empresas, grandes y pequeñas, concluyen que una mejor alternativa es subcontratar los controles de seguridad.

La tecnología basada en la nube hace de esta una opción atractiva; permite que los costos se basen en un modelo de suscripción compartida y, por lo tanto, es asequible y predecible.

Además de permitir la gestión de los costos, la adopción de un enfoque de tercerización (o servicio administrado) tiene el potencial de brindar a las organizaciones mejores soluciones técnicas.

Para empezar, garantiza el acceso a las últimas iteraciones de la tecnología, generalmente fuera del alcance de los presupuestos de las PyMEs. Esto está respaldado por un equipo de expertos en TI, seguridad y gestión de riesgos, que cierra de manera efectiva la “brecha de capacidades” que enfrentan las empresas cuando luchan contra un mayor riesgo, soluciones tecnológicas que cambian rápidamente y un conocimiento y presupuestos limitados.

En términos de los controles, es más eficaz para las PyMES subcontratar, esto dependerá de lo que se considera el mayor riesgo para la empresa. Puede ser cualquier cosa, desde controles básicos de segregación de tareas hasta automatización y análisis de seguridad (información de seguridad y gestión de eventos, o SIEM).

Pero decidir tomar la ruta de la tercerización es solo el primer paso. Para garantizar que vean un beneficio real, es fundamental que las organizaciones de cualquier tamaño tengan claro cómo administrarán esta forma de trabajar.

Un punto clave a recordar es que se trata de operaciones, no del control, lo que se terceriza. Esto requiere que los mecanismos correctos estén en su lugar desde la raíz hasta la punta del proceso.

También es necesario que exista un entendimiento compartido entre el proveedor de servicios administrados (MSP) y el cliente acerca sobre los roles y la responsabilidad, lo que se refleja en los documentos legales que evitan cualquier ambigüedad.

Comunicación y SLA realistas

Los acuerdos de nivel de servicio (SLA) deben ser prácticos y alineados con los objetivos de negocios. Pueden incluir la disponibilidad del servicio, los tiempos de respuesta para el envío de tickets de registro o los tiempos de resolución de problemas.

Sin embargo, también tienen que ser realistas. La empresa de servicios administrados tiene un control muy limitado sobre los proveedores de tecnología de terceros, por ejemplo, y no es efectivo hacer compromisos que tal vez no sea posible cumplir. Los SLA también deben incluir mecanismos para la presentación periódica de informes, así como la resolución de disputas.

La tercerización, como la mayoría de los procesos de tecnología de negocios, se beneficia de los aportes humanos para proporcionar información y contexto, lo que ayudará a las PyMEs a ver el valor real en un contrato de servicio administrado.

Esto requiere que se establezcan los foros adecuados, como un informe de servicio mensual reforzado por reuniones regulares. Estos pueden ver problemas como si los SLA se han establecido correctamente.

En el papel, es posible que el proveedor externo no cumpla con algunos de ellos, pero las discusiones abiertas y cara a cara permiten comprender por qué este es el caso. Un SLA de cuatro horas para configurar un nuevo usuario puede no ser alcanzable para roles complicados que requieren derechos de acceso complejos, por ejemplo. Las comunicaciones apropiadas resuelven esto, en lugar de dejar una serie de banderas rojas de SLA.

La consultoría es crítica

Las PyMEs a menudo se enfrentan a situaciones en las que todo es una prioridad, como las relaciones con los clientes, TI, recursos humanos (RR.HH.) y marketing.

Por lo tanto, puede tener más sentido considerar un servicio de seguridad de TI más consultivo o asesor para ayudar a la administración superior a comprender qué es importante para su organización y obtener una perspectiva externa sobre qué aspecto tiene lo positivo. Solo entonces se puede tomar una decisión informada sobre si un riesgo en particular es crítico para la empresa y se beneficiaría de controles adicionales.

De esta manera, el proveedor de servicios actúa como consultor de gestión y socio de confianza para ayudar en la estrategia de seguridad. Los controles de subcontratación se pueden realizar desde un punto de vista más conocedor, incluso si el conocimiento no era necesariamente inherente a la organización. Se toman decisiones informadas sobre la tercerización de controles críticos de seguridad de TI, y el cliente se mantiene al tanto.

Esto aborda el supuesto implícito de que las organizaciones saben qué provisión de seguridad necesitan para su negocio. También proporciona a las PyMEs que pueden no tener el tiempo o la inclinación para comprender las tuercas y los pernos con información estratégica importante.

Es posible que algunas PyMEs deseen subcontratar todo el proceso de seguridad de TI, aunque esto requiere que se sientan cómodas para abandonar un alto nivel de control, lo que hace que sea más crítico que nunca realizar la diligencia debida con el proveedor del servicio, tanto en términos de habilidades técnicas como si es el adecuado para la organización en sí.

En conclusión, adoptar un enfoque de servicio administrado para los controles de seguridad ofrece a las PyMEs las últimas soluciones tecnológicas y experiencia relevante. Pero, como con cualquier función de negocios, necesita ser administrada proactivamente.

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close