Seleccionar página

Por Alex Rocha, director de BIO-key en EMEA

Empecemos por lo básico. ¿Qué es exactamente la externalización de la ciberseguridad? La externalización de la ciberseguridad se produce cuando una empresa recurre al apoyo de un tercero externo para gestionar una serie de sofisticadas necesidades en este ámbito, como la seguridad de la red, la seguridad operativa, la seguridad de las aplicaciones y la seguridad de la información. Esto puede ser una tarea desalentadora para muchas empresas, razón por la cual el uso de proveedores de servicios de seguridad gestionados (MSSP) ha aumentado constantemente desde 2017 y se prevé que continúe creciendo durante muchos años. Para 2026, se espera que el gasto mundial en MSSPs crezca a 43.700 millones de dólares, frente a los 22.800 millones de dólares en 2021.  

Pero, ¿cómo saber si externalizar la responsabilidad de la ciberseguridad es adecuado para tu empresa? ¿Debería mantener algunas tareas de ciberseguridad dentro de la empresa y delegar áreas específicas en una entidad externa? Todo depende de tus requisitos, capacidades y recursos únicos en materia de ciberseguridad.  

Para ayudarte a decidir qué camino es el adecuado para ti, hemos expuesto algunas de las principales ventajas e inconvenientes de la externalización de la ciberseguridad.

Ventajas de la externalización de la ciberseguridad 

Reducir costes y maximizar la eficiencia 

Si nos fijamos en el modelo de negocio de un MSSP, distribuyen los empleados y el coste global de las herramientas, el hardware y el software entre varios clientes, lo que reduce el gasto global para el mismo nivel de servicio. Como resultado, tu empresa puede asignar dinero y recursos a otras áreas de la empresa que no pueden gestionarse externamente.  

Para llevar a cabo la supervisión de la red, por ejemplo, necesitaría pagar un equipo de personas y la solución de seguridad para supervisar la actividad de posibles amenazas tanto dentro como fuera del horario laboral.  

Para las PYMES, en particular, puede suponer un cambio radical ahorrarse los costes de empleados asalariados a tiempo completo y la inversión en infraestructura y equipos informáticos. Ese dinero puede utilizarse para impulsar el crecimiento del negocio y aumentar los beneficios.  

Experiencia cibernética 

En IT y ciberseguridad, como en cualquier otro campo profesional, las herramientas son tan buenas como el técnico que las utiliza. Incluso con los equipos más avanzados y de última generación, es imposible conseguir un entorno seguro sin empleados altamente formados, cualificados, experimentados y con conocimientos. Al igual que la principal tarea de una universidad es formar a los estudiantes, la principal prioridad de una organización de seguridad es proporcionar conocimientos especializados sobre las amenazas a la seguridad y el cambiante panorama de las ciberamenazas. 

Implantar una plataforma de administración de accesos e dentidades (IAM) como, por ejemplo, la de BIO-key, significa que tu empresa se beneficiará de una infraestructura de vanguardia, de las mejores soluciones a medida y de un equipo de expertos certificados disponibles 24 horas al día, 7 días a la semana, 365 días al año, para el funcionamiento de la plataforma desde el punto de vista de la seguridad. 

La externalización de la gestión de la ciberseguridad, sin embargo, significa que dispone de un proveedor de servicios dedicado formado por profesionales de la ciberseguridad para ayudarle a gestionar esa solución, incluidas tareas como el mantenimiento de los métodos de Autenticación Multifactor (MFA), la conexión de nuevas aplicaciones de inicio de sesión único (SSO) y la ayuda a los clientes a establecer políticas de seguridad. 

Gestión del cumplimiento normativo 

En todos los sectores, el panorama del cumplimiento normativo es cada vez más complejo. Continuamente se aprueban y promulgan nuevas leyes, lo que significa que las empresas necesitan evolucionar continuamente su protocolo de seguridad para seguir cumpliendo la normativa.  

Por ejemplo, en la industria de los medios de pago, los bancos, las instituciones financieras y los procesadores de pagos deben cumplir una serie de normativas estrictas, como PCI-DSS, GLBA y la Ley SOX. Además, deben ser capaces de proporcionar informes y registros detallados a los auditores para demostrar que se aplican los controles de seguridad exigidos.  

En Europa, se han aplicado nuevas directivas de ciberseguridad mediante actualizaciones de la Directiva NIS 2, legislación que establece requisitos de seguridad para las entidades públicas responsables de infraestructuras críticas y servicios esenciales.  

Este tipo de normativas cambian constantemente y, si sus políticas no evolucionan con ellas, su empresa podría arriesgarse a incumplirlas. Un MSSP de alta calidad actúa como su experto en gestión del cumplimiento normativo, manteniéndose al día de los cambios del sector para garantizar que tu empresa siempre cumpla la normativa. 

Riesgos de la externalización de la ciberseguridad 

Menos control sobre los datos sensibles 

Al subcontratar a un tercero, la organización principal perderá inherentemente parte del control sobre sus datos y sistemas. En un mundo perfecto, esto no presenta ningún problema importante pero, en realidad, cualquier empresa que externaliza la ciberseguridad se hace vulnerable a terceros externos con acceso a su valiosa información. Como resultado, la posibilidad de que se produzca una filtración de datos o un pirateo informático puede aumentar drásticamente, poniendo a tu empresa en peligro si la información confidencial queda al alcance de malos actores.  

El ataque a SolarWinds en 2020 es un buen ejemplo de ello. La empresa de servicios informáticos gestionados era utilizada por decenas de miles de clientes de alto perfil, incluidas empresas de la lista Fortune 500 y las altas esferas del gobierno de Estados Unidos, como el Departamento de Seguridad Nacional. Una vez que los piratas informáticos fueron capaces de crear una puerta trasera en los sistemas de SolarWinds, tuvieron acceso a toda la información confidencial de sus clientes.  

Al considerar si la externalización es el movimiento correcto para tu empresa y tu estrategia de ciberseguridad, siempre tenga en cuenta el equilibrio entre el riesgo y el riesgo compartido.  

Falta de especialización, personalización y flexibilidad 

Cada empresa tiene necesidades y requisitos únicos en materia de ciberseguridad. Algunas pueden tener productos específicos o herramientas internas que prefieren utilizar, mientras que otras pueden necesitar un enfoque especializado debido a leyes, normativas o requisitos estrictos.  

Si nos fijamos en un par de escenarios de gestión de accesos, muchos sectores se ven limitados por la imposibilidad de acceder a los dispositivos móviles para la autenticación. Los centros de contacto, por ejemplo, no permiten el uso de dispositivos móviles por motivos de seguridad, mientras que muchas agencias gubernamentales tienen empleados que simplemente no quieren utilizar sus dispositivos personales para fines laborales.  

Estos son ejemplos de casos de uso específicos que requieren una solución flexible y especializada. En BIO-key diseñamos nuestros productos y soluciones para reflejar esas capacidades -soluciones de seguridad que funcionan para sus necesidades específicas- pero a menudo una empresa de seguridad de terceros como un MSSP ya tendrá una solución de ciberseguridad en su lugar que utilizan para tus clientes. Desafortunadamente, el producto elegido por el MSSP puede no satisfacer los requisitos específicos de su empresa.  

Falta de conocimiento de la organización 

Un profesional de IT o de ciberseguridad subcontratado tiene una única prioridad: mantener los datos seguros. A diferencia de un empleado interno, una empresa de servicios de ciberseguridad no conoce a fondo los matices empresariales y de seguridad de tu empresa, ni las operaciones cotidianas. Por ejemplo, su proveedor de seguridad subcontratado no tendría conocimiento de actividades básicas como la rotación de empleados o el establecimiento de nuevas configuraciones de red.  

Si tu empresa se encuentra en un espacio altamente regulado o especializado, esto se convierte en un factor crítico. En BIO-key, nuestro equipo de éxito de clientes y nuestros expertos en seguridad son sus socios que trabajan en el mismo equipo para alcanzar sus objetivos. Por lo tanto, si estás considerando qué partes de las operaciones de ciberseguridad entregar a un tercero -y si eso incluye IAM- tenga en cuenta que este trabajo va más allá de, simplemente, desplegar nuestra plataforma IAM, es decir, colaboramos con sus equipos internos para entender los requisitos únicos de la empresay el entorno en el que opera.  

Reflexiones finales  La decisión de externalizar la ciberseguridad o mantenerla en casa es multifacética y depende del entorno único de cada empresa individual. Hay muchos factores que evaluar, como el coste y los recursos, pero al final todo se reduce a una consideración fundamental: la propiedad y la gestión del riesgo. Como empresa, al externalizar la ciberseguridad está depositando su confianza en un tercero, y ese nivel de confianza debe compensar el riesgo de perder el control de sus datos altamente sensibles

La entrada Ventajas e inconvenientes de la externalización de la ciberseguridad se publicó primero en CyberSecurity News.