No escondas la cabeza, tienes que ocuparte de la ciberseguridad
Si eres pyme o autónomo tienes muy claro lo de «trabajo de sol a sol» y como diría alguno, «también los días nublados». Lo esencial es tu actividad principal, tu negocio, lo demás es necesario pero nada más. Por eso, contratas los servicios de una gestoría para el papeleo, de un técnico para las reparaciones, etc. Pero estamos rodeados de tecnología e inmersos en Internet: ordenadores, impresoras, dispositivos móviles, páginas web, redes sociales, etc. No es difícil que la ciberseguridad nos cause algún que otro trastorno. No podemos esconder la cabeza como el avestruz. ¿Cómo haces para tener la ciberseguridad controlada? ¿Sabes qué opciones tienes para contratar los servicios externos?
Las empresas que ofrecen servicios de ciberseguridad permiten a otras empresas «externalizar» sus procesos de seguridad, por ejemplo: backups, seguridad perimetral, autentificación, auditorías, etc. De esta forma, será una empresa especializada en la materia la que se encargue de dicha actividad de forma local, es decir, con personal desplazado o en remoto.
La externalización o contratación externa de servicios de seguridad consiste en la subcontratación de actividades propias de seguridad o que garanticen la seguridad de la información y puede incluir todo tipo de recursos, tanto materiales como humanos. Normalmente, la empresa se descarga de esta responsabilidad mediante un contrato. Estos contratos en algunos casos incluyen otros servicios tecnológicos como desarrollo, almacenamiento, comunicaciones, etc. La empresa tecnológica reportará las actividades de seguridad que realice mediante informes periódicos o acceso a paneles de monitorización y seguimiento.
¿Cómo puedo contratar la ciberseguridad?
Dependiendo de las características del servicio a externalizar podemos clasificarlos en:
- Seguridad gestionada son servicios de externalización total o parcial de la infraestructura de seguridad, incluyen la gestión, supervisión y administración de las tareas y equipos externalizados. Suelen realizarse de forma remota.
- Subcontratación de personal o de servicios en los que la empresa tecnológica ofrece personal de seguridad y la realización de actividades de seguridad, generalmente sobre los equipos del cliente que mantiene y administra. Puede realizarse in situ o en remoto
¿Qué tienes que considerar al contratar estos servicios?
- Define los servicios de seguridad a externalizar o contratar, tanto si ya los realizabas como si son nuevas necesidades de seguridad. Evalúa qué procesos y recursos son necesarios para esa tarea considerando los costes, la complejidad de administración y gestión, el personal necesario, si tienes equipos o no, etc. Son por ejemplo susceptibles de externalización tareas como: backup, actualizaciones y migraciones, auditorías y actualización de software, monitorización de eventos, detección de intrusiones, etc.
- Elabora un proyecto detallando los servicios de seguridad necesarios, los niveles de servicio, horario y plazos de respuesta, idioma, vías de comunicación, garantías de protección de datos, periodicidad de los informes y formato, procedimiento de resolución de problemas, fin del contrato, etc. Plasma todo en Acuerdos de Nivel de Servicio o ANS que han de firmar tus proveedores.
- Selecciona un prestador de servicios que cubra las necesidades identificadas y los niveles de servicio deseados (calidad, disponibilidad, etc.). Elige servicios que incluyan estos requisitos y que puedan comprometerse a cumplirlos mediante contratos y ANS.
- Durante el periodo de validez del contrato revisa periódicamente el nivel de servicio alcanzado en comparación con el ofrecido para detectar deficiencias o posibles mejoras y adaptarse a circunstancias que puedan haber cambiado.
¿Por qué externalizar servicios de ciberseguridad?
Además de permitirnos enfocarnos en nuestro negocio, estos son algunos de los motivos que pueden hacer que nos decidamos a externalizar servicios de ciberseguridad:
- beneficiarnos del conocimiento y experiencia aportada por la empresa experta;
- reducir el riesgo asociado a la inversión en tecnología de seguridad;
- aumentar la disponibilidad de nuestros sistemas y su fiabilidad;
- estar siempre al día y utilizar las últimas tecnologías de seguridad.
Con estos consejos ya puedes lanzarte a contratar este tipo de servicios. No permitas que un incidente pare tu negocio. Externalizada, subcontratada o con personal propio tienes que abordar la ciberseguridad pues la estrategia del avestruz genera un alto riesgo e importantes pérdidas financieras.