martes, 3 de marzo de 2009

Cómo mitigar los riesgos en la seguridad de los datos al hacer outsourcing global (1 de 2)

Aunque la externalización de servicios es una excelente forma de ahorrar costes, conviene tener en cuenta algunas premisas para mantener la integridad de los datos que se comparten.

El Outsourcing hoy tiene que ver con la externalización de prestación de servicios con distintos proveedores desde distintas ubicaciones en todo el mundo. El aumento en la adopción de la deslocalización se ha traducido en que las empresas de los clientes outsourcing están utilizando organizaciones proveedoras de servicios extraterritoriales. A la vez que las empresas han gozado de ahorros en los costes y otras ayudas adicionales, también han planteado preocupaciones sobre la seguridad de los datos en las unidades que se localizan en otras zonas. Para crear una cultura de seguridad, el colaborador del Knowledge Center Indy Banerjee explica cómo conseguir una estrecha integración con los proveedores de servicios globales.
Las organizaciones que son serios acerca de la subcontratación externa y, al mismo tiempo mantener un nivel adecuado de privacidad de los datos necesitan comprender las diversas cuestiones relativas a la seguridad en el exterior desde la perspectiva del cliente y del proveedor de servicios. Una vez que las empresas identifican y comprenden las cuestiones relacionadas con la subcontratación externa de seguridad, pueden dar pasos para trabajar con los proveedores de servicios para reducir los riesgos de seguridad, mediante el uso de buenas prácticas y conseguir así adoptar un marco de seguridad sistemática.

En los últimos años, con el uso y la proliferación mundial de los prestadores de servicios, es natural que las empresas cliente se preocupen por las posibles brechas de seguridad, dado el acceso que los proveedores pueden tener a datos confidenciales relacionados con clientes y / o empleados. Los clientes también son conscientes de la reglamentación y el cumplimiento de requisitos que varían según las regiones, y están preocupados de su cumplimiento por parte de los proveedores.
La comunidad de proveedores de servicios, en general, ha reconocido que la privacidad y la seguridad son cuestiones de suma preocupación y ha tratado de mitigar estos riesgos mediante la inversión en infraestructura de seguridad, el cumplimiento y la formación. Si bien los proveedores de servicios han tomado numerosas medidas para mejorar y satisfacer las expectativas de los clientes, el hecho es que, a nivel mundial, los proveedores operan a través de un amplio espectro de niveles de seguridad. Y mientras sus clientes siguen preocupados por si tienen férreos controles internos para la gestión de la seguridad de la información, los riesgos en la privacidad y los riesgos de cumplimiento contractual. Cuando trabajamos con los clientes en las evaluaciones de la seguridad mundial, observamos tres cosas:
1. Los clientes tienden a poner la máxima atención en que las políticas de seguridad, las estructuras y las redes de los proveedores sean seguras; sin embargo, la mayoría de los proveedores mundiales de servicios (a excepción de algunos proveedores de nicho) tienen políticas rigurosas y uniformes basadas en estructuras ISO e ITIL.
2.
Los controles de seguridad del personal representan las áreas de mayor riesgo (estos controles tienden a la más baja puntuación en las evaluaciones efectuadas).
3. Además, existe una amplia variación entre los distintos proveedores en relación con el rigor de sus controles físicos y medioambientales, así como en los controles de desarrollo del sistema y mantenimiento.


Diseñando un buen programa de seguridad
Incluso con un número creciente de funciones que se subcontratan a una ubicación en el extranjero en cualquier punto de la geografía, rara vez existe un programa de seguridad amplio. Diseñar y ejecutar un programa sistemático de seguridad puede mitigar las preocupaciones de seguridad de datos en el exterior.
Con una clara comprensión de las preocupaciones, podemos abordar la cuestión de cómo hacer frente a las cuestiones de seguridad de los datos en el exterior, desde garantizar la seguridad en su infraestructura de TI a una formación adecuada. Aquí hay algunas tareas que se deben llevar a cabo:

Tarea 1: Ajuste la arquitectura de sus tecnologías de la información TI para mejorar la seguridad.
Las empresas no siempre requieren una revisión general de su arquitectura para que sea compatible con la seguridad. Por lo general, sólo es necesario algunos ajustes. Se comienza por la comprensión de los sistemas informáticos que controlan los datos sensibles y, a continuación, asegurar los datos y los sistemas de TI. Aquí hay tres ejemplos de algunas iniciativas concretas:

a. Clasificación de datos y ocultación: Los datos son clasificados sobre la base de su importancia, y los campos de datos críticos están enmascarados antes de que sean enviados fuera. La ocultación de datos por lo general es una tarea única que supone gran esfuerzo seguido por un pequeño esfuerzo incremental. Este esfuerzo ayuda a los proveedores de servicios a prestar atención y poner control eficaz de los datos importantes en lugar de disipar su esfuerzo en todos los datos.

b. Clasificación por roles: Una vez que los datos críticos se han clasificado, es importante que sólo sean accesibles por las personas autorizadas para verlos. Ello exige una de clasificación y definición de funciones y de acceso a datos. La clave es definir adecuadamente los roles y encontrar lagunas en los sistemas TI basados en, donde el acceso a los datos basado en roles no esté funcionando como exige la política de seguridad.

c. Definir las normas de seguridad de la empresa: Los clientes han comenzado a especificar las normas relacionadas con la red, con los ordenadores de escritorio y servidores con el fin de incorporar políticas de seguridad. Por ejemplo, en el área de red, existirán políticas de separación de redes, cortafuegos y encriptación de datos a los que se adhieren todos los proveedores de servicios. Estas normas reducen el riesgo de violaciones y proporcionan pistas de auditoría para futuros análisis.

No hay comentarios: