Inicio / Protege tu empresa / Blog / ¿Qué tenemos que tener en cuenta si vamos a subcontratar los servicios de ciberseguridad?

¿Qué tenemos que tener en cuenta si vamos a subcontratar los servicios de ciberseguridad?

Publicado el 24/03/2014, por Jorge Chinea López
¿Qué tenemos que tener en cuenta si vamos a subcontratar los servicios de ciberseguridad?

Una empresa tiene múltiples necesidades. Algunas de ellas, principalmente aquellas más relacionadas con el core del negocio, están cubiertas por la actividad de la propia empresa y/o personal interno. Pero otras deben contratarse externamente, por tratarse de ámbitos especializados. La subcontratación es una práctica habitual en las empresas y las organizaciones, sin importar el sector, actividad o tamaño. En lo que ciberseguridad se refiere se ha consolidado como una de las alternativas más interesantes para aquellas empresas y organizaciones que no cuentan con recursos suficientes o personal especializado pero que necesitan contar con seguridad en sus procesos de negocio y actividades.

Podemos encontrarnos con diferentes tipos de servicios:

  • Seguridad gestionada. Cuando realizamos la subcontratación total o parcial de los servicios de ciberseguridad, infraestructuras de seguridad, así como de la gestión de los mismos. Esta subcontratación podría realizarse en la propia entidad o de forma remota, siendo esta última la más habitual.
  • Subcontratación de personal. De esta forma es una empresa especializada la que aporta el conocimiento técnico especializado de su personal y en muchos casos sus servicios asociados.
  • Centros de respaldo. Son aquellos servicios que en el caso de tener algún incidente grave que dañen nuestras instalaciones, nos permiten contar con instalaciones que pueden sustituir a las propias.

Una de las principales ventajas de la subcontratación es la inmediatez en cuanto a resultados: conocimiento especializado, reducción de costes, tecnología puntera por un precio inferior a la inversión necesaria para su adquisición. Además, y como gran ventaja, las empresas pueden centrarse en el núcleo de su actividad, aquella que les proporciona beneficios.

Acuerdo subcontratacion manos

 

 


Pero tenemos que tener en cuenta que la subcontratación de estos servicios involucra el acceso por parte de una tercera entidad a nuestro principal activo: la información. Por lo tanto, tenemos que protegerla de forma adecuada contra robos, fugas de información, tratamientos no adecuados. Además, también la propia legislación nos obliga a aplicar las medidas de protección de la información, como por ejemplo la Ley Orgánica de Protección de Datos (LOPD). En otros casos, se tratan de recomendaciones de buenas prácticas o normas internacionales en ciberseguridad como la ISO 27011.

¿Cómo podemos por tanto protegernos?

Debe gestionarse adecuadamente mediante contratos y acuerdos de nivel de servicio (SLA). Pero siempre debe de realizarse con garantías por lo que siempre deberían ser verificados por departamentos jurídicos y de personal que se aseguren su adecuación y cumplimiento con un conjunto de requisitos mínimos necesarios. Además deben contemplar situaciones en las cuales se produzcan cortes o fallas del servicio, de forma que el proveedor ofrezca garantías y alternativas en caso de incidentes.

Además si el servicio está destinado al tratamiento de información o un proceso importante del negocio en alguna de sus fases (copias de seguridad, archivo final, etc.) de datos, información de la empresa o un proceso esencial en el negocio, debemos de reflejar acuerdos de confidencialidad de la información que se maneja.