La seguridad gestionada como servicio está creciendo de forma importante. Tanto, que The Yankee Group prevé un volumen de negocio en este sector que asciende a los 2.600 millones de dólares para el año 2005. La facturación en 2001 fue de 900 millones de dólares, mientras el pasado año se alcanzaron los 1.500 millones de la misma moneda.
La consultora contesta en este artículo a cinco preguntas frecuentes sobre la tendencia de adoptar medidas de seguridad en outsourcing, antes no muy populares por los problemas de confidencialidad que se derivan.
La primera cuestión se enfoca en si la empresa debe confiar su seguridad al mismo proveedor de otros servicios TI. The Yankee Group estima que lo mejor es separar estas funciones mediante proveedores distintos, con el fin de evitar conflictos de interés entre la seguridad gestionada y el servicio al cliente.
Igualmente y según la consultora, conviene perfilar el personal dedicado a las tareas de seguridad. EDS o IBM son proveedores que ofrecen tanto servicios de infraestructura como de seguridad gestionada, mientras ISS, AMS, Equant, Verisign, Symantec o McAfee cuentan con servicios especializados más o menos completos.
Otro factor a tener en cuenta consiste en el proceso a seguir para implantar el servicio ASP. Lo más importante es definir las políticas de seguridad internas, comenzando por distinguir entre el personal dedicado “en casa” y fuera de la oficina.
Igualmente importante es negociar un contrato de nivel de servicio (SLA) que contemple el personal y recursos dedicados antes, durante y después de la transición hacia el servicio de seguridad gestionada.
En tercer lugar, una vez que se asume el modelo en outsourcing el riesgo no se elimina completamente, ya que la empresa sigue siendo responsable de las consecuencias derivadas de una brecha de seguridad, fraude o la sustracción de datos. Es necesario verificar regularmente la política de seguridad y los mecanismos que el proveedor del servicio emplea.
Paralelamente, hay que prestar especial atención a la facturación de servicios adicionales, no contemplados en el contrato. Tampoco pueden obviarse los aplazamientos en el servicio; puede llevar a que los administradores opten por securizar algún servidor en concreto, lo que implica costes ocultos y crea un desnivel en la escala de seguridad adoptada.
Todas estas consideraciones conducen a la reflexión sobre el ROI: ¿cómo se puede demostrar? La externalización de la seguridad perimetral (firewall, IDS, servicios e-commerce o web) el escaneo de virus o la inspección de contenido constituyen ofertas maduras cuyo ROI es fácil de demostrar.
Esto resulta más complicado en el caso de acceso remoto mediante IP y VPNs, mensajería securizada, autenticación gestionada o análisis de vulnerabilidades, servicio menos maduros pero que prometen una importante proyección.
