La subcontratación de la ciberseguridad: ventajas e inconvenientes

Recientemente el Instituto Nacional de Ciberseguridad (INCIBE) ha publicado un interesante artículo que analiza las ventajas e inconvenientes de la subcontratación de un elemento tan crítico como es la ciberseguridad de nuestras empresas. En estos momentos la dedicación presupuestaria a la ciberseguridad se está dedicando en un alto porcentaje al departamento de IT, para que pueda invertir en soluciones de ciberseguridad, formación, etc. aunque la inversión en estrategia no es tan prioritaria.

Curiosamente, el hecho de plantear una subcontratación de la ciberseguridad parte de una decisión que se incluye en la propia seguridad de la información, la seguridad en la contratación de terceros. Como paso previo a la elección del proveedor, analizaremos los siguientes puntos:

- Servicios que subcontrataremos.

- Tipo de información que van a tratar, incluidos datos personales - eso conlleva otras consecuencias jurídicas y contractuales.

- Riesgos sobre la seguridad de la información como consecuencia de otorgar acceso a nuestros sistemas e información.

- Modos de supervisión de los servicios prestados por el tercero.

- Seguridad en las comunicaciones, accesos, tratamientos y transferencias de nuestra información.Capacidad de recuperación ante desastres del prestador de servicios.

- Cómo nos comunicarán las incidencias de seguridad y cuál será el alcance de sus actuaciones en caso de producirse.

- Certificaciones y requerimientos deseados.

En realidad, hay más elementos a analizar, pero como muestra nos sirve para ver que esta elección no es un asunto baladí. En cualquier caso, INCIBE nos traslada una serie de ventajas e inconvenientes interesantes sobre la subcontratación de la ciberseguridad. Las ventajas que apunta son:

- Reducción de costes; si atendemos a la capacitación de nuestro personal, inversión en tecnología, conocimiento sobre cómo aplicarla, mantener al día, etc., los costes no tienen comparación. Este es el principal argumento por el cual se subcontratan procesos de las empresas, sea cual sea su área.

- Mayor calidad del servicio; si atinamos bien con la empresa contratada, los resultados son a corto plazo y con una calidad muy superior que la esperada en caso de montar nuestro propio departamento de seguridad. Es decir, mejor resultado en menor tiempo.

- Resistencia a la obsolescencia; obviamente los profesionales de ciberseguridad deben estar al día -nunca mejor dicho- en su área. Ojo porque ello implica cumplimiento normativo, seguridad tecnológica, gestión de riesgos, etc. por lo que no es solamente una disciplina sino varias de ellas en un sólo servicio.

- Flexibilidad. ¿Necesitamos ampliar servicios o modificarlos? La subcontratación permite mayor flexibilidad en los cambios que si debemos hacerlo internamente.

- Atención a los procesos de negocio; al ser empresas multidisciplinares, el enfoque a negocio es mucho más certero.

En cuanto a las desventajas, el Instituto destaca las siguientes:

- Accesos a información confidencial; siempre es un asunto complicado, por mucho que se controle y asegure, el acceso a información crítica de negocio es muy delicado.

- Mayor dependencia; siempre se genera mayor dependencia cuando externalizamos asuntos tan especializados, por lo que no es sencillo cambiar de estrategia hacia una interiorización del servicio, ni se cumple a corto plazo.

- Desprendimiento del conocimiento; es posiblemente uno de los mayores problemas de la externalización, ya que al intentar cambiar de proveedor o prescindir de ellos, veremos que el conocimiento adquirido en ciberseguridad queda irremediablemente en manos de los proveedores.

- Menor contacto con el cliente final; en los casos de mayor externalización de nuestros procesos de atención a incidentes o brechas, el contacto finalmente lo realiza el tercero, sobre el que debemos confiar nuestra imagen.

La elección puede ser sencilla si la necesidad apremia, pero recomendamos analizar todos los argumentos a favor y en contra para minimizar los errores en la gestión de la subcontratación de nuestra ciberseguridad.

Xavier Ferretjans

Director de BinauraMONLEX

xferretjans@binauramonlex.com