Todas estas empresas nos ofrecen una gran variedad de servicios dentro del mundo de la seguridad:
• Servicios de cortafuegos gestionados.
• Servicios de VPN gestionados.
• Servicios de detección de intrusos gestionados.
• Servicios de antivirus gestionados.
• Servicios de filtrado de contenidos gestionados.
• …

Todos estos servicios tienen el apellido gestionados, es decir, que un tercero se encarga y asume la responsabilidad de que dichos servicios estén operativos en todo momento.
Hace ya unos años, cuando en diferentes foros de discusión de tecnologías de seguridad se comenzó a fraguar este concepto de “seguridad gestionada”, había un amplio sector que defendía la imposibilidad de que sistemas y servicios tan críticos y tan peculiares para las organizaciones fueran a ser gestionados por terceros. Otro sector defendía que era posible y necesario el que determinadas tareas rutinarias se fueran sacando de estos entornos internos y que, progresivamente, estos servicios deberían ser externalizados dentro del plan general de sistemas.
Por último, éramos unos pocos los que desde un principio defendíamos que en primer lugar había que definir qué seguridad estábamos ofreciendo a nuestra organización. Para, a continuación, determinar el servicio de seguridad que lo soportaría. A partir de aquí se podría pensar en sacar este “servicio de seguridad” fuera de nuestra operativa diaria pero no fuera de nuestra administración ni de nuestra responsabilidad. Como dice nuestra Real Academia de la Lengua, gestionar es “hacer los trámites o diligencias necesarios para resolver un asunto”.

Adaptación a las necesidades
Todas estas ofertas que han aparecido en el mercado de la seguridad ofrecen sugerentes soluciones para la implantación de un Servicio de Seguridad Gestionado en nuestras organizaciones. El punto más crítico de todo este proceso se produce cuando el planteamiento es a la inversa, es decir, somos las organizaciones que ya tenemos una determinada infraestructura de seguridad instalada, funcionando y operativa, las que nos dirigimos a estas empresas y les pedimos que se hagan cargo de estas soluciones y que nos definan el servicio de seguridad gestionado que nuestra organización necesita.
Es cierto que en estos momentos hay un importante movimiento en el mundo de la seguridad hacia los procesos de certificación y normalización de los servicios de seguridad. Es de agradecer que normas de buenas prácticas se estén imponiendo, pues creo que serán de mucha utilidad a las organizaciones que deban de seleccionar las empresas que van a dar estos servicios de seguridad gestionada.

Acuerdos de nivel de servicio
Otro punto importante para poder elegir a nuestros compañeros de viaje en esta nueva aventura deberá de ser el constituido por los famosos acuerdos de nivel de servicios, SLA, que seamos capaces de definir en este nuevo entorno. Un segundo paso será la aceptación de estos SLA por parte de la empresa prestataria del servicio. Es de imaginar que nos pondrán todas las objeciones que puedan para rebajar el impacto de estos SLA en sus ingresos. Pero no hay que olvidar que los SLA son el sistema de penalización que nos permitirá en los momentos de crisis o diferencias determinar cuán importante es nuestro servicio y cuál es su impacto en nuestro negocio. Por lo tanto hay que ver estos SLA como un valor añadido a nuestro servicio y no como un punto de encarecimiento o de fricción con el proveedor. Hay que hacer ver a nuestro proveedor que junto al servicio está la imagen de nuestra organización y la imagen de su capacidad para realizar estas tarea.
Me decía no hace mucho un colega que cuando hay que hacer uso de un SLA es que el servicio no funciona y, por lo tanto, en esos momentos lo que menos le importaba era la ejecución del SLA. Me comentaba que lo que realmente le importaba era que no tenía servicio, que sus usuarios le estaban llamando y su jefe le quería ver en el despacho. Después “otros” son los que hablan y discuten la ejecución del SLA comprometido.
Desde mi punto de vista es muy importante que “EL” Servicio de Seguridad Gestionada sea un traje hecho a la medida de cada organización, pues en cada casa se piensa y se siente de una manera muy determinada. No hay que olvidar que la seguridad de la información es una sensación que se ajusta a cada organización y que se implementa con diferentes medidas técnicas (cortafuegos, antivirus, ids,…), con procedimientos operativos de seguridad y con normativa sobre los usos y los deberes de los usuarios. Pero también con una continua labor de formación y educación de nuestros entrañables usuarios o clientes.
Por lo tanto, ahora que entran en juego estos nuevos jugadores -las empresas suministradoras de estos servicios-, también hay que hacerles partícipes de la filosofía de trabajo de cada organización. Serán una parte más de “nuestra seguridad”.
Con esto no estoy proponiendo soluciones individuales para cada organización, nada más lejos de mi intención. Pero sí estoy pidiendo la definición de interfaces, de canales de comunicación únicos y diferenciales que permitan por parte de cada organización cumplir los objetivos marcados a la hora de la definición y contratación de este servicio. Y por otra parte, a la empresa que presta este servicio le permitirá ir aprendiendo de la experiencia y el conocimiento de cada uno de sus clientes para ir mejorando y creciendo en este proceso de mejora continuo que es la Seguridad de los Sistemas de Información.
No puedo pensar en otra solución que no sea que el Servicio de Seguridad Gestionada sea una “joint-venture” entre la organización cliente y la organización prestataria del servicio. Sin esta implicación, total, no se llegará a un resultado positivo para ambos participantes.
Y por último, no me gustaría terminar esta reflexión sin indicar que también hay vida después de los Servicios de Seguridad Gestionados.