Cómo mitigar los riesgos en la seguridad de los datos al hacer outsourcing global


Aunque la externalización de servicios es una excelente forma de ahorrar costes, conviene tener en cuenta algunas premisas para mantener la integridad de los datos que se comparten.





El Outsourcing hoy tiene que ver con la externalización de prestación de servicios con distintos proveedores desde distintas ubicaciones en todo el mundo. El aumento en la adopción de la deslocalización se ha traducido en que las empresas de los clientes outsourcing están utilizando organizaciones proveedoras de servicios extraterritoriales. A la vez que las empresas han gozado de ahorros en los costes y otras ayudas adicionales, también han planteado preocupaciones sobre la seguridad de los datos en las unidades que se localizan en otras zonas. Para crear una cultura de seguridad, el colaborador del Knowledge Center Indy Banerjee explica cómo conseguir una estrecha integración con los proveedores de servicios globales.

Las organizaciones que son serios acerca de la subcontratación externa y, al mismo tiempo mantener un nivel adecuado de privacidad de los datos necesitan comprender las diversas cuestiones relativas a la seguridad en el exterior desde la perspectiva del cliente y del proveedor de servicios. Una vez que las empresas identifican y comprenden las cuestiones relacionadas con la subcontratación externa de seguridad, pueden dar pasos para trabajar con los proveedores de servicios para reducir los riesgos de seguridad, mediante el uso de buenas prácticas y conseguir así adoptar un marco de seguridad sistemática.

En los últimos años, con el uso y la proliferación mundial de los prestadores de servicios, es natural que las empresas cliente se preocupen por las posibles brechas de seguridad, dado el acceso que los proveedores pueden tener a datos confidenciales relacionados con clientes y / o empleados. Los clientes también son conscientes de la reglamentación y el cumplimiento de requisitos que varían según las regiones, y están preocupados de su cumplimiento por parte de los proveedores.

La comunidad de proveedores de servicios, en general, ha reconocido que la privacidad y la seguridad son cuestiones de suma preocupación y ha tratado de mitigar estos riesgos mediante la inversión en infraestructura de seguridad, el cumplimiento y la formación. Si bien los proveedores de servicios han tomado numerosas medidas para mejorar y satisfacer las expectativas de los clientes, el hecho es que, a nivel mundial, los proveedores operan a través de un amplio espectro de niveles de seguridad. Y mientras sus clientes siguen preocupados por si tienen férreos controles internos para la gestión de la seguridad de la información, los riesgos en la privacidad y los riesgos de cumplimiento contractual. Cuando trabajamos con los clientes en las evaluaciones de la seguridad mundial, observamos tres cosas:
1. Los clientes tienden a poner la máxima atención en que las políticas de seguridad, las estructuras y las redes de los proveedores sean seguras; sin embargo, la mayoría de los proveedores mundiales de servicios (a excepción de algunos proveedores de nicho) tienen políticas rigurosas y uniformes basadas en estructuras ISO e ITIL.
2. Los controles de seguridad del personal representan las áreas de mayor riesgo (estos controles tienden a la más baja puntuación en las evaluaciones efectuadas).
3. Además, existe una amplia variación entre los distintos proveedores en relación con el rigor de sus controles físicos y medioambientales, así como en los controles de desarrollo del sistema y mantenimiento.

Diseñando un buen programa de seguridad
Incluso con un número creciente de funciones que se subcontratan a una ubicación en el extranjero en cualquier punto de la geografía, rara vez existe un programa de seguridad amplio. Diseñar y ejecutar un programa sistemático de seguridad puede mitigar las preocupaciones de seguridad de datos en el exterior.
Con una clara comprensión de las preocupaciones, podemos abordar la cuestión de cómo hacer frente a las cuestiones de seguridad de los datos en el exterior, desde garantizar la seguridad en su infraestructura de TI a una formación adecuada. Aquí hay algunas tareas que se deben llevar a cabo:

Tarea 1: Ajuste la arquitectura de sus tecnologías de la información TI para mejorar la seguridad.
Las empresas no siempre requieren una revisión general de su arquitectura para que sea compatible con la seguridad. Por lo general, sólo es necesario algunos ajustes. Se comienza por la comprensión de los sistemas informáticos que controlan los datos sensibles y, a continuación, asegurar los datos y los sistemas de TI. Aquí hay tres ejemplos de algunas iniciativas concretas:

a. Clasificación de datos y ocultación: Los datos son clasificados sobre la base de su importancia, y los campos de datos críticos están enmascarados antes de que sean enviados fuera. La ocultación de datos por lo general es una tarea única que supone gran esfuerzo seguido por un pequeño esfuerzo incremental. Este esfuerzo ayuda a los proveedores de servicios a prestar atención y poner control eficaz de los datos importantes en lugar de disipar su esfuerzo en todos los datos.

b. Clasificación por roles: Una vez que los datos críticos se han clasificado, es importante que sólo sean accesibles por las personas autorizadas para verlos. Ello exige una de clasificación y definición de funciones y de acceso a datos. La clave es definir adecuadamente los roles y encontrar lagunas en los sistemas TI basados en, donde el acceso a los datos basado en roles no esté funcionando como exige la política de seguridad.

c. Definir las normas de seguridad de la empresa: Los clientes han comenzado a especificar las normas relacionadas con la red, con los ordenadores de escritorio y servidores con el fin de incorporar políticas de seguridad. Por ejemplo, en el área de red, existirán políticas de separación de redes, cortafuegos y encriptación de datos a los que se adhieren todos los proveedores de servicios. Estas normas reducen el riesgo de violaciones y proporcionan pistas de auditoría para futuros análisis.

Otras tareas

Tarea 2: Llevar a cabo una detallada evaluación previa de cada proveedor y cada sitio de entrega antes de la firma.
Haga su tarea. Revise las políticas de seguridad de información corporativas y las políticas de protección de la instalación física de los proveedores para garantizar todos los riesgos están cubiertos. Asegúrese de que existen controles de seguridad de red y que el sitio de la prestación está certificado internacionalmente de acuerdo con normas reconocidas de cumplimiento de seguridad incluyendo ISO 27001, BS 7799, SAS 70 y otras.

Tarea 3: Establecer un programa de evaluación y auditoría.
Se recomienda la revisión y la realización de auditorías en las políticas de seguridad del proveedor de servicio remoto sobre una base anual como mínimo. Con mayor frecuencia, considere la posibilidad de realizar un examen sobre el terreno de la zona y lugar específico utilizado para llevar a cabo los negocios de clientes a razón de dos veces al año, o cuantas considere oportunas de acuerdo con las necesidades de los proyectos y los riesgos.

Tarea 4: Crear obligaciones en materia de seguridad en el contrato de externalización.
Recomendamos a los clientes que todos los controles relacionados con la seguridad figuren en el contrato. En concreto, éste incluirá temas como un acuerdo de no divulgación, la verificación de antecedentes personales y evaluaciones de seguridad. Debe figurar en el contrato que el personal del proveedor de servicios no se puede destinar a un competidor directo durante un determinado período de tiempo, y también deben figurar las definiciones de violación de la seguridad y sus responsabilidades derivadas.

Tarea 5: Construir una cultura de seguridad en la organización.
Por encima de todo, una cultura de la seguridad es primordial y se inicia con un grupo de personas que impulsen esta iniciativa y refuercen constantemente el mensaje. Aquí hay cuatro iniciativas que deben considerarse para establecer una cultura de la seguridad:

a. Equipo de seguridad del cliente: los clientes deslocalizados han comenzado a crear los equipos de seguridad de TI, o, alternativamente, aumentar el número de personas en esos equipos. El equipo de seguridad es consciente de las cuestiones que puedan surgir y, por tanto, publica las políticas de seguridad aplicables a los prestadores de servicios y ayuda a asegurar los controles. El equipo asegura la formación continua de las personas involucradas por parte del cliente y por parte del proveedor de servicios.

b. Visitas de clientes: Recomendamos un calendario de visitas. Estas visitas ayudan los equipos del proveedor de servicios a apreciar los negocios de sus clientes y sus preocupaciones. Los clientes también deberían incluir la seguridad en la agenda de sus conversaciones con el personal del proveedor de servicios.

c. Evaluaciones formales: En general, las evaluaciones no se dan con regularidad suficiente y se deben realizar al menos una vez al año. Las evaluaciones mantienen abiertos los temas clave en cualquier debate sobre seguridad y mejoran la rendición de cuentas. Además, los proveedores de servicios deben realizar una evaluación voluntaria una vez al año y presentar los resultados a los clientes.

d. Formación continua: La mezcla de personas sin experiencia en el trabajo y de múltiples orígenes culturales acentúa la necesidad de un continuo programa de educación en torno a las políticas de seguridad corporativas.

Conclusión
A medida que las organizaciones abracen la deslocalización, los sistemas de TI y los datos estarán cada vez más dispersos. Un plan de seguridad bien definido que equilibre el control y la libertad puede ser eficaz en la asegurar datos y aumentar la confianza de los consumidores y otras partes interesadas.

De Indy Banerjee / Redacción
Visto en www.eweekeurope.es

Fuente:
http://seguridad-informacion.blogspot.com



Otras noticias de interés:

Se encuentra la forma de enfriar las CPU con nanorefrigeradores
Investigadores de Intel, RTI International y la Universidad de Arizona han desarrollado un micro-refrigerador que puede ser fácilmente montado sobre los chips para bajar la temperatura de los puntos más calientes con precisión quirúrgica. La nuev...
Lección 7 de intypedia: Seguridad en aplicaciones web
Se encuentra disponible en el servidor Web de intypedia la séptima lección de la Enciclopedia de la Seguridad de la Información: Seguridad en aplicaciones web. ...
Zuckerberg y Schmidt: peligro en regular la Red
El creador de Facebook, Mark Zuckerberg, y el presidente de Google, Eric Schmidt, advirtieron en una conferencia en el eG8 de los peligros que tiene regular Internet de forma excesiva. El eG8 reúne en París a algunos de los actores con mayor influe...
Gusanos, clientes de correo electrónico y motor SMTP
El personal de Oxygen3 van a referise a los gusanos que utilizan su propio motor SMTP, para así conseguir difundirse independientemente de los clientes de correo que los usuarios tengan instalados en sus equipos. (Se recomienda su lectura).- ...
Corel lanza una nueva versión de WordPerfect
Corel lanzará al mercado próximamente una nueva versión de su software WordPerfect. Los analistas, sin embargo, opinan que no tendrán mucho que hacer ante la hegemonía de Microsoft Office. ...
FREESPIRE, La versión opensource de LINSPIRE
Es sin duda la noticia del mes. Linspire, el que sin duda es el mejor sistema operativo del mundo en el ámbito Linux, tendrá su propia versión open source, cuyo nombre oficial será Freespire. Así lo ha anunciado Kevin Carmony, Presidente y CEO d...
Jóvenes, Redes Sociales y Protección de Datos
La revolución digital ha supuesto la aparición del fenómeno de las redes sociales ha traído consigo, además de incuestionables ventajas, no pocos problemas en relación con distintos ámbitos, pero fundamentalmente focalizados en el derecho al h...
Innovaciones de Sun configuran el futuro de la computación en red
El CTO de Sun Microsystems, Greg Papadopoulos, dio a conocer la dramática evolución que en diseño de procesadores y estrategia de software adelanta la compañía para cambiar el modo en que los clientes compran, implementan y administran el softwa...
Microsoft ama a los hackers éticos
En una acción nunca vista hasta ahora de parte de alguna gran empresa, Microsoft se comprometió públicamente a no presentar demandas o cargos, contra los hackers éticos que de manera responsable, encuentren e informen de los fallos de sus servi...
El software libre tiene menos bugs que el software propietario
El Departamento de Seguridad Interna de los Estados Unidos financió con 1,2 millones de euros un estudio independiente llevado a cabo por las empresas Coverity y Symantec....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • datos
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • global
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mitigar
  • mozilla
  • mysql
  • noticia
  • opensource
  • outsourcing
  • pgp
  • php
  • riesgos
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra