Outsourcing Outsourcing de la Seguridadde la Seguridad

Lic. Raúl Castellanos CISM / QSA / Lead Auditor ISO 27001

rcastellanos@cybsec.com

14 de Septiembre de 2010 Buenos Aires - Argentina

Tendencias en Seguridad de la Información

Agenda

• Qué es el outsourcing • Ventajas y desventajas • Precauciones para la contratación • El futuro del outsourcing

2

Definiendo “outsourcing”

3

Outsourcing de Seguridad de la Información

El outsourcing involucra la transferencia a un proveedor externoEl outsourcing involucra la transferencia a un proveedor externo, , del del gerenciamientogerenciamiento yy//o la ejecucio la ejecucióón cotidiana de una funcin cotidiana de una funcióón del negocion del negocio.. El cliente y el proveedor establecen una relaciEl cliente y el proveedor establecen una relacióón contractual que rige las n contractual que rige las condiciones de la prestacicondiciones de la prestacióón del servicio n del servicio ((SLASLA).). Realizar el outsourcing de la seguridad de la informaciRealizar el outsourcing de la seguridad de la informacióón requiere que la n requiere que la compacompañíñía tenga pruebas objetivas de la eficacia del proveedor y tenga a tenga pruebas objetivas de la eficacia del proveedor y tenga confianza en que el mismo realizarconfianza en que el mismo realizaráá sus actividades en forma correctasus actividades en forma correcta..

Responsabilidad

4

Outsourcing de Seguridad de la Información

A pesar de que el control de gestiA pesar de que el control de gestióón y la operatoria pasan a manos del n y la operatoria pasan a manos del proveedorproveedor, , Ustedes siguen siendo responsables por la seguridadUstedes siguen siendo responsables por la seguridad. . Si algo Si algo sucedesucede, , la responsabilidad siempre va a recaer sobre Ustedesla responsabilidad siempre va a recaer sobre Ustedes.. El proveedor de los servicios de outsourcing deberEl proveedor de los servicios de outsourcing deberíía demandar que los a demandar que los clientes tengan un rol activo en el Management del outsourcingclientes tengan un rol activo en el Management del outsourcing..

Ventajas del outsourcing de la seguridad de la info rmación

5

Outsourcing de Seguridad de la Información

-- Acceso a niveles altos de especializaciAcceso a niveles altos de especializacióónn

-- ActualizaciActualizacióón constante del personal involucradon constante del personal involucrado

-- Mejorar el nivel de seguridadMejorar el nivel de seguridad

-- Bajar costosBajar costos

-- Evitar contratar personalEvitar contratar personal

-- Liberar personal interno para otras tareasLiberar personal interno para otras tareas

-- Imposibilidad de retener a los expertos del Imposibilidad de retener a los expertos del áárea de seguridadrea de seguridad

-- Ya se ha realizado el outsourcing de ciertas funciones de TIYa se ha realizado el outsourcing de ciertas funciones de TI, ,

¿¿por qupor quéé no la seguridad de la informacino la seguridad de la informacióónn??

-- Que alguien mQue alguien máás puede hacerlo mejors puede hacerlo mejor, , mmáás barato ys barato y

mmáás rs ráápido de lo que lo hacemos nosotrospido de lo que lo hacemos nosotros

¿Que se puede “outsourcear”?

6

Outsourcing de Seguridad de la Información

-- MonitoreoMonitoreo//GestiGestióón de firewallsn de firewalls, , IDS y VPNsIDS y VPNs

-- Monitoreo y GestiMonitoreo y Gestióón de antivirus y antispammingn de antivirus y antispamming

-- DetecciDeteccióón remota de vulnerabilidadesn remota de vulnerabilidades

-- Respuesta a incidentesRespuesta a incidentes

-- Soporte a proyectosSoporte a proyectos

-- GestiGestióón de Logsn de Logs

-- Penetration TestsPenetration Tests

-- Data Center alternativo Data Center alternativo

-- GestiGestióón de la Seguridadn de la Seguridad

Demanda del outsourcing en Latinoam érica

7

Outsourcing de Seguridad de la Información

AltaAlta:: -- GestiGestióón FWn FW, , antivirusantivirus, , IDSIDS, , VPN y accesos remotosVPN y accesos remotos -- Monitoreo y correlaciMonitoreo y correlacióón de Logsn de Logs -- Penetration TestPenetration Test -- Manejo y soporte ante incidentesManejo y soporte ante incidentes MediaMedia:: -- Refuerzo de las polRefuerzo de las polííticas de Seguridadticas de Seguridad -- Soporte especializado en proyectosSoporte especializado en proyectos -- Seguridad interna Seguridad interna ((NetworkNetwork//DesktopsDesktops)) BajaBaja:: -- Seguridad interna Seguridad interna ((ServidoresServidores)) -- ÁÁrea de Seguridad de la Informacirea de Seguridad de la Informacióónn

Primero entendamos porqué se quiere outsourcear

8

Outsourcing de Seguridad de la Información

�� ¿¿Que quiere lograr la organizaciQue quiere lograr la organizacióón con el outsourcingn con el outsourcing??

�� ¿¿QuQuéé nivel de criticidad tiene el servicio en mi operacinivel de criticidad tiene el servicio en mi operacióónn??

�� ¿¿Que tan difQue tan difíícil es monitorear el trabajo que se cil es monitorear el trabajo que se tercerizaterceriza??

�� ¿¿QuQuéé mméétricas se pueden establecertricas se pueden establecer??

�� ¿¿Cual es el grado de madurez de la empresa manejando outsourcingCual es el grado de madurez de la empresa manejando outsourcing??

Causas de suspensión o disminución del outsourcing

9

Outsourcing de Seguridad de la Información

Recomendaciones para elegir un Proveedor

10

Outsourcing de Seguridad de la Información

�� No elegir sNo elegir sóólo por preciolo por precio

�� Elegir un proveedor con un servicio fullElegir un proveedor con un servicio full, , que acredite experiencia en que acredite experiencia en otros clientesotros clientes

�� Posibilitar la Posibilitar la ‘‘marcha atrmarcha atrááss’’

�� Tener especial cuidado con la confidencialidad de la informaciTener especial cuidado con la confidencialidad de la informacióón y con n y con la supraactividad del Proveedorla supraactividad del Proveedor

�� Corroborar que tenga una sCorroborar que tenga una sóólida situacilida situacióón financieran financiera

Casos reales de outsourcing

11

Outsourcing de Seguridad de la Información

�� ÁÁrea de Ingenierrea de Ingenieríía de Seguridada de Seguridad

�� Penetration Test Externos e InternosPenetration Test Externos e Internos

�� Soporte a ProyectosSoporte a Proyectos

�� Asesoramiento EstratAsesoramiento Estratéégicogico

�� Equipos de respuesta ante incidentes de seguridadEquipos de respuesta ante incidentes de seguridad

�� Monitoreo de seguridadMonitoreo de seguridad

�� GestiGestióón de herramientas de seguridadn de herramientas de seguridad

�� Soporte documental Soporte documental ((estestáándaresndares, , procedimientosprocedimientos, , checklistchecklist, , etcetc.., , para cumplir con normativa local e internacionalpara cumplir con normativa local e internacional))

El futuro del Outsourcing

12

Outsourcing de Seguridad de la Información

��60 60 % % de los CFO y CIO creen que sus empresas aumentarde los CFO y CIO creen que sus empresas aumentaráán el n el

outsourcingoutsourcing

IT Outsourcing

Business Process

Outsourcing

Knowledge Process

Outsourcing

Seguridad de la InformaciSeguridad de la Informacióónn

¿Preguntas?

13

Muchas Gracias