Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Principales ventajas e inconvenientes de subcontratar servicios de ciberseguridad

Fecha de publicación 22/08/2023
Autor
INCIBE (INCIBE)
mujer tocando hologramas

Subcontratación de servicios de ciberseguridad: ¿está hecha para mi empresa?

La subcontratación es una práctica que consiste en delegar la responsabilidad de determinadas necesidades de la compañía en otras empresas especializadas en dicha cuestión. Se trata de una práctica muy común en todos los ámbitos y disciplinas.

En materia de ciberseguridad, esta opción nace de la necesidad de trabajar con sofisticados sistemas de seguridad, pese a no contar con los recursos o personal necesarios para ello.

Los resultados de externalizar la ciberseguridad son inmediatos: no es necesaria una formación previa, ya que se contratan los servicios de una empresa lista para actuar desde el minuto cero. Esto debe gestionarse mediante contratos y acuerdos de nivel de servicio (SLA). Además, dichas subcontrataciones deberán estar respaldadas por acuerdos de confidencialidad que protejan la información a la que accederán terceros.

Se pueden externalizar muchos servicios en función de la capacidad, tamaño y recursos de la empresa. Primero, es recomendable realizar un análisis de necesidades internas en materia de ciberseguridad en el que se valoren qué opciones se pueden externalizar y hasta qué punto.

Existen diferentes soluciones en función de los servicios que pueden ofrecer las empresas externas, basadas en:

  • Infraestructura de red
  • Seguridad de la información
  • Detección y mitigación de riesgos y vulnerabilidades
  • Cumplimiento normativo legal

Los servicios de ciberseguridad susceptibles de ser subcontratados por las pymes suelen basarse en la necesidad de proteger los activos de la empresa. Todos tienen el objetivo común de asegurar la integridad, confidencialidad y disponibilidad de la información, y protegerla frente a las amenazas cibernéticas que puedan implicar un impacto negativo en la reputación de la empresa. 

Se recomienda subcontratar estos servicios teniendo en cuenta las necesidades y recursos, tanto humanos como económicos de la compañía, así como los activos de mayor valor para el correcto funcionamiento del negocio evaluando los riesgos a los que están expuestos. 

Infografía Principales ventajas e inconvenientes de subcontratar servicios de ciberseguridad.

¿Externalización o no externalización? He ahí la cuestión.

En base a lo expuesto, se puede concluir que existen más beneficios que inconvenientes perjuicios derivados de la externalización de los servicios de ciberseguridad. Si bien pueden existir algunas pérdidas, estos pueden ser subsanados prestando especial atención a los pormenores de la subcontratación.

A la hora de subcontratar un proveedor de servicios que gestione la gestionados de seguridad, es recomendable seguir ciertas pautas aplicables a cualquier tipo de servicio solicitado.

  • Estudio de necesidades de mi negocio en materias de ciberseguridad. Lo primero a realizar, previo a la contratación, es investigar en profundidad las necesidades que tiene la empresa en materia de:
    • Tratamiento de datos de información confidencial.
    • Listado de activos de la empresa.
    • Almacenamiento de la información.
    • Políticas de seguridad implementadas en la empresa.
    • Cumplimiento legal aplicable.
    • Etc.

Una vez realizado el análisis de necesidades, recomendamos revisar la guía de contratación de servicios ;y prestar atención a los siguientes puntos para decidir contratar a un proveedor de servicios de seguridad u otro:

  • Soporte técnico amplio. Es importante que el proveedor cuente con un buen soporte para disponer de un servicio de asistencia que dé respuesta a tiempo frente a las diferentes necesidades que puedan surgir en el negocio.
  • Personalizar el servicio según las necesidades. En ocasiones es mejor descartar soluciones genéricas y /o predeterminadas frente a los beneficios que puede suponer negociar con el proveedor y encontrar una solución personalizada. Se recomienda comprobar que existe un equipo multidisciplinar que ofrezca soluciones en casos de emergencias de ciberseguridad.
  • Contrastar la trayectoria y estabilidad del proveedor. Hacer un estudio de la cantidad de clientes atendidos, los años de experiencia en el mercado con clientes que trabajen en sectores similares al del negocio, tener en cuenta las calificaciones de servicios de otros clientes, etc. En resumen, conocer la reputación del proveedor. De la misma forma se deben analizar las soluciones que estos ofrecen.
  • Vías de comunicación con el proveedor. Es necesario evaluar las vías de comunicación que ofrece el proveedor de servicios de seguridad. Si oferta soluciones mediante comunicación telefónica (tiempo de respuesta corto) o si se debe rellenar previamente un formulario para ser atendido, etc. El canal empleado para comunicarse con el cliente será importante dependiendo de las capacidades del negocio que subcontrate el servicio.
  • Obviamente no hay que perder de vista el coste de la solución. Es imprescindible conocer en detalle las necesidades en materia de ciberseguridad que tiene la empresa para elegir de manera adecuada, sin exceder en costes ni disminuir escatimar en protección, una solución que se adapte a las necesidades.
  • Mantenimiento de la seguridad y de los sistemas. Subcontratar servicios de auditoría externa en materias de ciberseguridad para conocer las vulnerabilidades y brechas de seguridad, y así, poder corregirlas. También, es interesante la Así como consultoría en materia legal aplicable a tu empresa.

La concienciación y formación a los empleados en materia de seguridad es imprescindible, independientemente de la cantidad de servicios de seguridad subcontratados. Los trabajadores, sin ser expertos en la materia, deben ser conocedores de las medidas que deben implementar para hacer más seguro su puesto de trabajo.

La elección adecuada del proveedor de servicios gestionados de seguridad de una empresa dependerá en exclusiva de las necesidades de proteger el negocio, así como de los recursos de los que disponga para su mantenimiento. Es recomendable aplicar políticas de seguridad, mantener los sistemas actualizados y contar con ayuda externa en aquellos ámbitos que faciliten la gestión y despliegue de servicios TIC.

Recuerda que puedes contactar con nosotros a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o del formulario de contacto para empresas, que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados. 

Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).