Cómo mitigar los riesgos en la seguridad de los datos al hacer outsourcing global


Aunque la externalización de servicios es una excelente forma de ahorrar costes, conviene tener en cuenta algunas premisas para mantener la integridad de los datos que se comparten.





El Outsourcing hoy tiene que ver con la externalización de prestación de servicios con distintos proveedores desde distintas ubicaciones en todo el mundo. El aumento en la adopción de la deslocalización se ha traducido en que las empresas de los clientes outsourcing están utilizando organizaciones proveedoras de servicios extraterritoriales. A la vez que las empresas han gozado de ahorros en los costes y otras ayudas adicionales, también han planteado preocupaciones sobre la seguridad de los datos en las unidades que se localizan en otras zonas. Para crear una cultura de seguridad, el colaborador del Knowledge Center Indy Banerjee explica cómo conseguir una estrecha integración con los proveedores de servicios globales.

Las organizaciones que son serios acerca de la subcontratación externa y, al mismo tiempo mantener un nivel adecuado de privacidad de los datos necesitan comprender las diversas cuestiones relativas a la seguridad en el exterior desde la perspectiva del cliente y del proveedor de servicios. Una vez que las empresas identifican y comprenden las cuestiones relacionadas con la subcontratación externa de seguridad, pueden dar pasos para trabajar con los proveedores de servicios para reducir los riesgos de seguridad, mediante el uso de buenas prácticas y conseguir así adoptar un marco de seguridad sistemática.

En los últimos años, con el uso y la proliferación mundial de los prestadores de servicios, es natural que las empresas cliente se preocupen por las posibles brechas de seguridad, dado el acceso que los proveedores pueden tener a datos confidenciales relacionados con clientes y / o empleados. Los clientes también son conscientes de la reglamentación y el cumplimiento de requisitos que varían según las regiones, y están preocupados de su cumplimiento por parte de los proveedores.

La comunidad de proveedores de servicios, en general, ha reconocido que la privacidad y la seguridad son cuestiones de suma preocupación y ha tratado de mitigar estos riesgos mediante la inversión en infraestructura de seguridad, el cumplimiento y la formación. Si bien los proveedores de servicios han tomado numerosas medidas para mejorar y satisfacer las expectativas de los clientes, el hecho es que, a nivel mundial, los proveedores operan a través de un amplio espectro de niveles de seguridad. Y mientras sus clientes siguen preocupados por si tienen férreos controles internos para la gestión de la seguridad de la información, los riesgos en la privacidad y los riesgos de cumplimiento contractual. Cuando trabajamos con los clientes en las evaluaciones de la seguridad mundial, observamos tres cosas:
1. Los clientes tienden a poner la máxima atención en que las políticas de seguridad, las estructuras y las redes de los proveedores sean seguras; sin embargo, la mayoría de los proveedores mundiales de servicios (a excepción de algunos proveedores de nicho) tienen políticas rigurosas y uniformes basadas en estructuras ISO e ITIL.
2. Los controles de seguridad del personal representan las áreas de mayor riesgo (estos controles tienden a la más baja puntuación en las evaluaciones efectuadas).
3. Además, existe una amplia variación entre los distintos proveedores en relación con el rigor de sus controles físicos y medioambientales, así como en los controles de desarrollo del sistema y mantenimiento.

Diseñando un buen programa de seguridad
Incluso con un número creciente de funciones que se subcontratan a una ubicación en el extranjero en cualquier punto de la geografía, rara vez existe un programa de seguridad amplio. Diseñar y ejecutar un programa sistemático de seguridad puede mitigar las preocupaciones de seguridad de datos en el exterior.
Con una clara comprensión de las preocupaciones, podemos abordar la cuestión de cómo hacer frente a las cuestiones de seguridad de los datos en el exterior, desde garantizar la seguridad en su infraestructura de TI a una formación adecuada. Aquí hay algunas tareas que se deben llevar a cabo:

Tarea 1: Ajuste la arquitectura de sus tecnologías de la información TI para mejorar la seguridad.
Las empresas no siempre requieren una revisión general de su arquitectura para que sea compatible con la seguridad. Por lo general, sólo es necesario algunos ajustes. Se comienza por la comprensión de los sistemas informáticos que controlan los datos sensibles y, a continuación, asegurar los datos y los sistemas de TI. Aquí hay tres ejemplos de algunas iniciativas concretas:

a. Clasificación de datos y ocultación: Los datos son clasificados sobre la base de su importancia, y los campos de datos críticos están enmascarados antes de que sean enviados fuera. La ocultación de datos por lo general es una tarea única que supone gran esfuerzo seguido por un pequeño esfuerzo incremental. Este esfuerzo ayuda a los proveedores de servicios a prestar atención y poner control eficaz de los datos importantes en lugar de disipar su esfuerzo en todos los datos.

b. Clasificación por roles: Una vez que los datos críticos se han clasificado, es importante que sólo sean accesibles por las personas autorizadas para verlos. Ello exige una de clasificación y definición de funciones y de acceso a datos. La clave es definir adecuadamente los roles y encontrar lagunas en los sistemas TI basados en, donde el acceso a los datos basado en roles no esté funcionando como exige la política de seguridad.

c. Definir las normas de seguridad de la empresa: Los clientes han comenzado a especificar las normas relacionadas con la red, con los ordenadores de escritorio y servidores con el fin de incorporar políticas de seguridad. Por ejemplo, en el área de red, existirán políticas de separación de redes, cortafuegos y encriptación de datos a los que se adhieren todos los proveedores de servicios. Estas normas reducen el riesgo de violaciones y proporcionan pistas de auditoría para futuros análisis.

Otras tareas

Tarea 2: Llevar a cabo una detallada evaluación previa de cada proveedor y cada sitio de entrega antes de la firma.
Haga su tarea. Revise las políticas de seguridad de información corporativas y las políticas de protección de la instalación física de los proveedores para garantizar todos los riesgos están cubiertos. Asegúrese de que existen controles de seguridad de red y que el sitio de la prestación está certificado internacionalmente de acuerdo con normas reconocidas de cumplimiento de seguridad incluyendo ISO 27001, BS 7799, SAS 70 y otras.

Tarea 3: Establecer un programa de evaluación y auditoría.
Se recomienda la revisión y la realización de auditorías en las políticas de seguridad del proveedor de servicio remoto sobre una base anual como mínimo. Con mayor frecuencia, considere la posibilidad de realizar un examen sobre el terreno de la zona y lugar específico utilizado para llevar a cabo los negocios de clientes a razón de dos veces al año, o cuantas considere oportunas de acuerdo con las necesidades de los proyectos y los riesgos.

Tarea 4: Crear obligaciones en materia de seguridad en el contrato de externalización.
Recomendamos a los clientes que todos los controles relacionados con la seguridad figuren en el contrato. En concreto, éste incluirá temas como un acuerdo de no divulgación, la verificación de antecedentes personales y evaluaciones de seguridad. Debe figurar en el contrato que el personal del proveedor de servicios no se puede destinar a un competidor directo durante un determinado período de tiempo, y también deben figurar las definiciones de violación de la seguridad y sus responsabilidades derivadas.

Tarea 5: Construir una cultura de seguridad en la organización.
Por encima de todo, una cultura de la seguridad es primordial y se inicia con un grupo de personas que impulsen esta iniciativa y refuercen constantemente el mensaje. Aquí hay cuatro iniciativas que deben considerarse para establecer una cultura de la seguridad:

a. Equipo de seguridad del cliente: los clientes deslocalizados han comenzado a crear los equipos de seguridad de TI, o, alternativamente, aumentar el número de personas en esos equipos. El equipo de seguridad es consciente de las cuestiones que puedan surgir y, por tanto, publica las políticas de seguridad aplicables a los prestadores de servicios y ayuda a asegurar los controles. El equipo asegura la formación continua de las personas involucradas por parte del cliente y por parte del proveedor de servicios.

b. Visitas de clientes: Recomendamos un calendario de visitas. Estas visitas ayudan los equipos del proveedor de servicios a apreciar los negocios de sus clientes y sus preocupaciones. Los clientes también deberían incluir la seguridad en la agenda de sus conversaciones con el personal del proveedor de servicios.

c. Evaluaciones formales: En general, las evaluaciones no se dan con regularidad suficiente y se deben realizar al menos una vez al año. Las evaluaciones mantienen abiertos los temas clave en cualquier debate sobre seguridad y mejoran la rendición de cuentas. Además, los proveedores de servicios deben realizar una evaluación voluntaria una vez al año y presentar los resultados a los clientes.

d. Formación continua: La mezcla de personas sin experiencia en el trabajo y de múltiples orígenes culturales acentúa la necesidad de un continuo programa de educación en torno a las políticas de seguridad corporativas.

Conclusión
A medida que las organizaciones abracen la deslocalización, los sistemas de TI y los datos estarán cada vez más dispersos. Un plan de seguridad bien definido que equilibre el control y la libertad puede ser eficaz en la asegurar datos y aumentar la confianza de los consumidores y otras partes interesadas.

De Indy Banerjee / Redacción
Visto en www.eweekeurope.es

Fuente:
http://seguridad-informacion.blogspot.com



Otras noticias de interés:

Confirmado es un hecho: Goobuntu existe
Se puede leer en google.dirson.com la siguiente nota "Esta mañana os contábamos que Google ha desarrollado su propio Sistema Operativo basado en Ubuntu (una de las distribuciones de Linux más populares), y ahor...
La verdadera amenaza para una Web abierta
La élite que la gobierna, Google, Facebook y similares, al mismo tiempo que manifiesta preocupación por la censura, opera de manera muy similar a quienes controlan el fallido sector financiero. ...
REMOVE - Seguridad de la información
Interesante video de la gente de delacrew.net. Remove trata la paranoia que se desata en el protagonista al ser consciente de falta de privacidad en los medios electrónicos....
La Wikiguerra
Recibimos ataques desde todo espectro posible -y no es el típico hacker de sótano quien debe preocuparnos; se trata de las cibersuperpotencias....
El malware sigue cebandose con las vulnerabilidades de los ficheros PDF
Un informe elaborado por G Data SecurityLabs saca a la luz que a lo largo del mes de abril la mayor parte del malware, presente en los ordenadores, sigue valiéndose de las vulnerabilidades de los ficheros PDF y del componente JavaScript....
Google financia soporte para Photoshop en Linux
Photoshop es el programa preferido por un gran número de profesionales del diseño gráfico. Hasta ahora no ha tenido soporte para Linux, situación que Google se propone cambiar. ...
Opera 8.54 corrige vulnerabilidad crítica
Ha sido corregida una vulnerabilidad crítica en el navegador Opera, la cuál puede ser explotada por atacantes remotos para ejecutar comandos de forma arbitraria....
Son las canaimitas un juguete?
El amigo Jesús Lara (phenobarbital) ha escrito un articulo bastante interesante sobre las Canaimitas (computadora Intel Mobile PM465) entregadas por el Gobierno de Venezuela. A continuación el artículo:...
El parche para DNS no resuelve el problema, sigue siendo vulnerable!
Era sabido que el parcheo de los servidores DNS frente a la vulnerabilidad presentada por Kaminsky representaba sólo un alivio temporal, pero nadie sospechó que durará tan poco...
Fallo en seguridad de navegadores revela nuestro historial de navegación
Nuestra privacidad en internet es muy importante, en los últimos años hemos visto como los cyber-delincuentes han afinado más y más sus técnicas con la finalidad de vencer todos los mecanismos de seguridad de los navegadores más conocidos, una ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • datos
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • global
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mitigar
  • mozilla
  • mysql
  • noticia
  • opensource
  • outsourcing
  • pgp
  • php
  • riesgos
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra