Universidad Tecnológica

de Honduras
Campus Tegucigalpa

Asignatura:
Informática aplicada

Catedrático:
Master: Ana Maritza
Posas

#cuenta: 200960820010

Danilo Arnaldo Godoy

Mejía
RESUMEN:

En la actualidad, la práctica del outsourcing empieza a

ser habitual y consiste en la contratación externa de
determinadas
unidades o funciones necesarias en una
organización. Las operaciones que se suelen
subcontratar se caracterizan por ser complejas,
importantes o incómodas de efectuar.

En el campo de la seguridad de la información, el

outsourcing es una opción muy beneficiosa para
aquellas empresas que quieran delegar la protección
de su información a un parte especializado en
seguridad, dada la complejidad de los ataques y el
creciente número de dispositivos de seguridad
existentes. Por un lado, esto permite a las
organizaciones centrarse en la consecución de los
objetivos propios de su negocio y, por otro, recibir todo
el conocimiento sobre las últimas tecnologías y
recursos que acumula una empresa de seguridad.
Tener la posibilidad de acceder a niveles de seguridad
más elevados, no sólo constituye una gran ventaja que
ofrece la práctica del outsourcing sino también la mejor
alternativa para no acometer los costes derivados de
disponer de un área propia en la empresa.
Las tareas que se suelen externalizar están
generalmente relacionadas con la monitorización de la
seguridad, como es el caso de la gestión de
dispositivos de seguridad pero existen numerosas
actividades que podemos externalizar y que mejorarán
los resultados de nuestras organizaciones.

Subcontratar se está convirtiendo en una necesidad

para las organizaciones, por lo que éstas deben ser
muy exigentes a la hora de confiar la seguridad de sus
sistemas. Una elección adecuada de proveedor será la
clave para obtener beneficios futuros.

Además, esta situación no parece tener perspectivas

de corregirse, ya que los países son cada vez más
prolíficos en la creación de nuevas normativas y los
sistemas se están tornando cada vez más complejos.
En definitiva, se están produciendo un conjunto de
circunstancias que hacen que el personal de seguridad
de las organizaciones no pueda dedicarse a cumplir
con los objetivos de negocio.

Una buena solución para responder a la necesidad

continua de especialistas que puedan afrontar los cada
vez más intricados problemas de seguridad sin
desatender los objetivos de negocio es recurrir al
outsourcing. De esta manera, las organizaciones
pueden centrarse en su actividad, al mismo tiempo que
consiguen mejorar los niveles de seguridad.
La subcontratación de servicios de seguridad
soluciona el problema de la falta de profesionales
cualificados dentro de la empresa y permite afrontar el
entorno de riesgo creciente que supone la situación
actual de manera más eficaz.

Además de permitir mejoras en los niveles de

seguridad, el outsourcing tiene otros efectos positivos:
el más destacable, la gestión de recursos humanos.
Las organizaciones están enfocadas al cumplimiento
de sus objetivos de negocio y no les resulta fácil reunir
al personal adecuado para la gestión de la seguridad y,
mucho menos todavía, retener a esas personas. El
caso más claro podría ser el de la monitorización de la
seguridad, ya que hacen falta seis personas para
operar durante las 24 horas los siete días de la
semana, así como un equipo de supervisores y
personal de soporte.

Por otra parte, dado que los ataques a una

organización no ocurren a menudo, este grupo de
personas sufre largos períodos de inactividad seguidos
de pocas horas de tensión, factores que hacen difícil
mantener a este equipo comprometido e interesado.
Por eso, son muy raras las ocasiones en que una
organización encuentra rentable disponer de este tipo
de equipos in-company. La subcontratación, por el
contrario, les permite aprovechar economías de escala
a través del proveedor de seguridad y conseguir
servicios de expertos sin dejar de ser rentables.

Los beneficios del outsourcing para la compañía

En el mundo real, la práctica del outsourcing es algo

bastante habitual, aunque no nos demos cuenta:
servicios médicos, bomberos, guardias de seguridad,
cálculo de impuestos, elaboración de nóminas… ¿Qué
tienen en común los servicios que se subcontratan a
terceros? Básicamente, las tareas subcontratadas se
caracterizan por ser complejas, importantes o
desagradables.

En este sentido, la seguridad de la información no es

distinta de las tareas que hemos mencionado. Por
tanto, es claramente candidata a la subcontratación.
¿Pero qué significa concretamente poner la seguridad
de nuestros sistemas en manos de un proveedor
especializado de seguridad?

En primer lugar, las empresas e instituciones pueden

sumar experiencia, disponer de mayor facilidad para
contratar y formar al personal y acceder a las
infraestructuras necesarias para soportar el servicio
mediante la firma de contratos a medio o largo plazo.
Además, están en condiciones de mantenerse
permanentemente actualizadas sobre las nuevas
vulnerabilidades, las herramientas, productos de
seguridad y últimas versiones de software.

Por otra parte, la práctica del outsourcing permite

transferir el conocimiento de los especialistas a la
organización. Una empresa especializada en seguridad
puede aprender y acumular conocimiento de los
ataques que sufren todos sus clientes y está en
condiciones de integrar los problemas de seguridad
que existen en otras regiones y países.

Otro efecto importante que no podemos olvidar es que

el outsourcing permite exigir niveles de rendimiento en
función de unos acuerdos de nivel de servicio y ofrece
la posibilidad de acceder a niveles de seguridad más
elevados. De hecho, en el caso de la seguridad, los
riesgos de no subcontratar pueden ser mayores que la
alternativa de contar con un área propia, ya que es
poco probable que una organización asuma los costes
e infraestructuras que puede ofrecer una empresa
especializada. Básicamente, porque en casi todos los
casos no vamos a poder comparar la prestación del
servicio con recursos propios y desde el exterior, ya
que los servicios prestados nos van a proporcionar un
nivel de rendimiento superior al disponible
internamente.

Definir un servicio de seguridad a la medida

Una vez que nos hemos planteado la subcontratación

de la seguridad de la información, aún nos queda
definir qué áreas o tareas vamos a subcontratar y
seleccionar al proveedor más adecuado. Es necesario
tener en cuenta que todas las actividades no se
subcontratan de la misma manera, bien porque se trate
de tareas que están demasiado cerca del negocio o
que resultan demasiado caras para que las asuma un
tercero o porque no se escalan bien.

En este sentido, cuando se subcontrata la función, no

debemos olvidar que la organización siempre mantiene
el control de su propia seguridad y cuando no existe un
rol de gestión, las compañías especializadas pueden
ofrecer un servicio útil, efectivo y escalable.

Las tareas que se suelen externalizar están

generalmente relacionadas con la monitorización de la
seguridad como es el caso de la gestión de
vulnerabilidades o las alertas de IDS. La monitorización
permite la detección y respuesta en tiempo real, a
través de tecnología avanzada de correlación y
analistas expertos. Este tipo de actividades constituyen
el complemento ideal a las habituales medidas de
protección. La vigilancia permite compensar la
debilidad de la seguridad basada en parches y nos
hace menos dependientes.

La monitorización no debería estar orientada a la

implantación de más productos que nos protejan de
todo, sino en la mejora de los procesos que nos
permitan gestionar mejor los riesgos. Esto se traduce
en la necesidad de una vigilancia constante, dado que
los ataques llegan de todas partes y en cualquier
momento. Al analizar los logs en tiempo real, podemos
deducir lo que un atacante está haciendo y responder
también en tiempo real; y es ahí donde reside la
verdadera seguridad. En la batalla contra el fraude, los
defensores están en condiciones de reaccionar
rápidamente a un ataque, gracias a su conocimiento
del terreno.

Por eso, es necesario contar con expertos en

seguridad vigilantes, flexibles e implacables, que sean
capaces de utilizar las herramientas automáticas para
la búsqueda de patrones en la ingente cantidad de
datos que producen los registros de auditoría e
interpretar los resultados para definir las respuestas
más adecuadas en cada momento. Los sensores no
ofrecen seguridad por sí mismos, sino que hacen falta
personas capaces de detectar comportamientos
anómalos, de detectar la respuesta adecuada,
integrada a los requerimientos del negocio.

A quién subcontratar

Decidir en quién voy a confiar la seguridad de mis

sistemas es una decisión difícil, sobre todo si no se es
experto en la materia. ¿Cómo diferenciar un buen
servicio de otro que no lo es? Muchas veces cuando
uno no es experto en algo, lo que suele hacer es
preguntar a su alrededor, obtener recomendaciones y
seguir al que se adapte mejor a sus necesidades. Es
básicamente una cuestión de confianza.

También hay que tener en consideración los posibles

conflictos de interés: si alguien gestiona y monitoriza mi
red y encuentra algo, ¿me lo dirá o tratará de
solucionarlo? Otro aspecto que no podemos olvidar es
la salud financiera del parte elegido, dado que será una
relación a largo plazo. Debemos considerar si son
líderes en su campo y tienen una trayectoria sólida y
fiable además de tener en cuenta la especialización
que tienen en el sector o que no abarquen otras ramas
de actividad que puedan interferir negativamente en su
trabajo.

Son muchos factores los que hay que tener en mente

cuando hablamos de seguridad de calidad, por ello el
coste del servicio no debe convertirse en algo decisivo
a la hora de decantarse por un servicio u otro sino más
bien en algo complementario.

Conclusiones:
o La seguridad de los sistemas de información es
un hecho que las compañías deben tener en
cuenta para salvaguardar la protección de sus
datos.

o La proliferación de nuevas amenazas cada vez

más sofisticadas exige unos herramientas
específicas para lograr su identificación,
detección, erradicación y prevención.

o Junto a estos dispositivos de tecnología, es

necesario contar con unos profesionales
especializados en seguridad que velen por los
posibles riesgos en los sistemas de su
compañía.

o El outsourcing se erige como la mejor opción

para alcanzar niveles óptimos de seguridad. Una
empresa especializada en seguridad ofrece un
equipo de supervisores con alta experiencia en
el sector que monitoriza las 24 horas del día
posibles ataques y es capaz de detectarlos y dar
una respuesta adecuada.

o La subcontratación de la seguridad es una

decisión difícil puesto que se debe exigir el
mejor servicio que incluye a unos profesionales
líderes en su campo y una tecnología de primer
nivel.