RESPUESTAS SIC - SOC > Crónica
 
16 de octubre de 2007. Hotel NH Eurobuilding Madrid
RESPUESTAS SIC - SOC
Accenture, IBM, S21Sec-VeriSign, SIA, Symantec y Telefónica copatrocinaron la sexta sesión tecnológica

Las diferentes alternativas y oportunidades de la externalización de servicios de seguridad, a examen en Respuestas SIC

El pasado 16 de octubre la Revista SIC celebró en Madrid una nueva sesión matinal de su espacio Respuestas SIC, que en su tercera convocatoria de este año y sexta desde que este evento se viene organizando, abordó los retos y oportunidades de la seguridad gestionada por terceros desde la red. El extenso auditorio, formado por representantes de más de 200 compañías usuarias, fabricantes y prestadores de soluciones y servicios de seguridad, firmas de integración de sistemas y mayoristas y distribuidores, atendieron a las recomendaciones expuestas por los participantes, relativas a qué modelos de seguridad y qué funcionalidades son las más susceptibles e idóneas de externalizar, así como a las propuestas más pujantes que conforman buena parte de la oferta actual de estos servicios, que en la actualidad se perfilan como unas de las alternativas a considerar.


La conferencia inicial, a cargo de Mariano José Benito, Director de Seguridad de GMV Soluciones Globales Internet, sirvió para centrar el tema medular de la jornada y para realizar una taxonomía de lo que hoy se entiende por servicios de seguridad prestados por terceros en red, perfilar el marco conceptual de desarrollo de servicios, analizar los diferentes modelos de prestación y proponer un ejemplo de portafolio de servicios gestionados.

En este sentido, el ponente subrayó, entre otros aspectos, que si bien la necesidad de gestionar la seguridad era un mensaje poco oído años atrás, la situación ha cambiado ostensiblemente. Así, el uso de servicios de seguridad gestionados, según Benito, deben aportar una clara eficiencia y convertirse en un elemento diferencial para la organización, aunque no todos los modelos de seguridad son susceptibles de externalizar.

Entre sus recomendaciones, Benito mencionó que como primer paso para hacer uso de estos servicios, una organización debe definir un catálogo de los mismos y analizar qué cabe esperar de las tecnologías que desea externalizar mediante criterios objetivos de identificación.



La propuesta de los prestadores

A continuación la jornada abrió el turno a seis compañías prestadoras de estos servicios, como Accenture, Grupo SIA, IBM Internet Security Systems, S21Sec-VeriSign, Symantec y Telefónica, que, representadas respectivamente por Javier Martín, Senior Manager del área de Seguridad Gestionada; Eduardo López, Director de Marketing de Producto; Vicente Gozalbo, Gerente de Desarrollo de Negocio para España y Portugal de Servicios de Seguridad Gestionados; Ignasi Domingo, Responsable del Centro de Operaciones de Seguridad (SOC); Alfredo Reino, Consultor Senior de Seguridad y Juan Miguel Velasco, Director Asociado de Servicios y Soluciones de Seguridad, del Área de Servicios desde la Red-A.M. Seguridad (UN Grandes Empresas), expusieron los enfoques y aspectos más relevantes de su oferta.

En el debate posterior a sus presentaciones, se abrió un turno de preguntas en el que los asistentes plantearon interesantes cuestiones relativas a facetas cómo por dónde se debe empezar a la hora de abordar un proyecto de estas características, si existen límites a la externalización de la seguridad, o si estos servicios también son aplicables a las pequeñas y medianas empresas.



La visión de los usuarios


El tercer bloque de la jornada sirvió para que en torno a una mesa redonda especialistas de empresas usuarias brindaran su opinión profesional acerca de este tipo de servicios. En esta ocasión, los participantes fueron Rafael Hernández, Responsable de Seguridad Informática de Cepsa; Miguel Rego, miembro del Área de Seguridad de la Inspección CIS del Ministerio de Defensa, y Javier del Riego, Jefe de Seguridad Lógica de Vodafone.




En su aportación, Hernández destacó que la gestión y la externalización son conceptos distintos que requieren enfoques diferentes, y que su compañía dispone de un proveedor que les proporciona algunos servicios gestionados. Por otra parte, el responsable de seguridad de la compañía del sector energético recomendó que se deben externalizar sólo los procesos muy maduros y repetitivos, controlando la ejecución de los mismos, y que en ningún caso estos servicios sustituyen al departamento de seguridad, sino que lo complementan. Además, apostilló que si bien en nuestro país hay grandes empresas especialistas en seguridad, el aspecto de la gestión en el día a día supone todavía una asignatura pendiente en muchos casos, y que estos servicios deben continuar evolucionando.



Por su parte, Rego comentó que precisamente el organismo que representa acaba de finalizar actualmente la fase de selección de prestadores para abordar en el periodo 2008-2009 la puesta en marcha del Centro de Operaciones de Seguridad (SOC) del Ministerio de Defensa, que cubre aspectos organizativos, espacio físico, procedimientos de funcionamiento del SOC y modelo de relación de éste con otros centros similares, como los CERT. En este caso, aunque el SOC no estará externalizado es posible que parte del personal operativo sí sea externo, todo en función de los requisitos de seguridad internacionales. Respecto a algunos de los puntos abordados durante la jornada, Rego manifestó que lo ideal es poder contar con un modelo mixto, con servicios externalizados y otros que queden bajo el control de la compañía, y que es necesario atender a las labores de auditoría de los procesos que se externalizan, práctica que sólo una parte muy minoritaria de los usuarios realiza.



Finalmente, Del Riego expuso que en Vodafone no hay servicios gestionados en red, ya que la seguridad se integra en los procesos generales de la compañía, y que lo que sí existe es un conjunto de procesos de negocio subcontratados a terceros, entre los que se encuentran algunos de seguridad. Asimismo, sugirió que a la hora de abordar un contrato de outsourcing, la fase de negociación debe ser muy clara y se deben predecir con anterioridad todas las actividades contempladas y cómo se van a medir, al igual que se debe prestar especial atención a que el prestador garantice la continuidad del servicio. Los acuerdos de nivel de servicio, según el responsable de seguridad lógica del operador, deben servir para medir el servicio y al proveedor, y en los mismos deben quedar claras las penalizaciones. Del Riego también apuntó que se deben exigir mejoras de costes en los servicios, y en su opinión, un año es un buen periodo temporal para decidir renovar o rescindir los contratos.

SIC

<volver