La conferencia inicial, a cargo de Mariano José Benito, Director de Seguridad de GMV Soluciones Globales Internet, sirvió para centrar el tema medular de la jornada y para realizar una taxonomía de lo que hoy se entiende por servicios de seguridad prestados por terceros en red, perfilar el marco conceptual de desarrollo de servicios, analizar los diferentes modelos de prestación y proponer un ejemplo de portafolio de servicios gestionados.

En este sentido, el ponente subrayó, entre otros aspectos, que si bien la necesidad de gestionar la seguridad era un mensaje poco oído años atrás, la situación ha cambiado ostensiblemente. Así, el uso de servicios de seguridad gestionados, según Benito, deben aportar una clara eficiencia y convertirse en un elemento diferencial para la organización, aunque no todos los modelos de seguridad son susceptibles de externalizar.

Entre sus recomendaciones, Benito mencionó que como primer paso para hacer uso de estos servicios, una organización debe definir un catálogo de los mismos y analizar qué cabe esperar de las tecnologías que desea externalizar mediante criterios objetivos de identificación.

La propuesta de los prestadores

A continuación la jornada abrió el turno a seis compañías prestadoras de estos servicios, como Accenture, Grupo SIA, IBM Internet Security Systems, S21Sec-VeriSign, Symantec y Telefónica, que, representadas respectivamente por Javier Martín, Senior Manager del área de Seguridad Gestionada; Eduardo López, Director de Marketing de Producto; Vicente Gozalbo, Gerente de Desarrollo de Negocio para España y Portugal de Servicios de Seguridad Gestionados; Ignasi Domingo, Responsable del Centro de Operaciones de Seguridad (SOC); Alfredo Reino, Consultor Senior de Seguridad y Juan Miguel Velasco, Director Asociado de Servicios y Soluciones de Seguridad, del Área de Servicios desde la Red-A.M. Seguridad (UN Grandes Empresas), expusieron los enfoques y aspectos más relevantes de su oferta.

En el debate posterior a sus presentaciones, se abrió un turno de preguntas en el que los asistentes plantearon interesantes cuestiones relativas a facetas cómo por dónde se debe empezar a la hora de abordar un proyecto de estas características, si existen límites a la externalización de la seguridad, o si estos servicios también son aplicables a las pequeñas y medianas empresas.

La visión de los usuarios

El tercer bloque de la jornada sirvió para que en torno a una mesa redonda especialistas de empresas usuarias brindaran su opinión profesional acerca de este tipo de servicios. En esta ocasión, los participantes fueron Rafael Hernández, Responsable de Seguridad Informática de Cepsa; Miguel Rego, miembro del Área de Seguridad de la Inspección CIS del Ministerio de Defensa, y Javier del Riego, Jefe de Seguridad Lógica de Vodafone.

Por su parte, Rego comentó que precisamente el organismo que representa acaba de finalizar actualmente la fase de selección de prestadores para abordar en el periodo 2008-2009 la puesta en marcha del Centro de Operaciones de Seguridad (SOC) del Ministerio de Defensa, que cubre aspectos organizativos, espacio físico, procedimientos de funcionamiento del SOC y modelo de relación de éste con otros centros similares, como los CERT. En este caso, aunque el SOC no estará externalizado es posible que parte del personal operativo sí sea externo, todo en función de los requisitos de seguridad internacionales. Respecto a algunos de los puntos abordados durante la jornada, Rego manifestó que lo ideal es poder contar con un modelo mixto, con servicios externalizados y otros que queden bajo el control de la compañía, y que es necesario atender a las labores de auditoría de los procesos que se externalizan, práctica que sólo una parte muy minoritaria de los usuarios realiza.

Finalmente, Del Riego expuso que en Vodafone no hay servicios gestionados en red, ya que la seguridad se integra en los procesos generales de la compañía, y que lo que sí existe es un conjunto de procesos de negocio subcontratados a terceros, entre los que se encuentran algunos de seguridad. Asimismo, sugirió que a la hora de abordar un contrato de outsourcing, la fase de negociación debe ser muy clara y se deben predecir con anterioridad todas las actividades contempladas y cómo se van a medir, al igual que se debe prestar especial atención a que el prestador garantice la continuidad del servicio. Los acuerdos de nivel de servicio, según el responsable de seguridad lógica del operador, deben servir para medir el servicio y al proveedor, y en los mismos deben quedar claras las penalizaciones. Del Riego también apuntó que se deben exigir mejoras de costes en los servicios, y en su opinión, un año es un buen periodo temporal para decidir renovar o rescindir los contratos.