A la hora de implementar y mantener los sistemas de seguridad de la información corporativa es lógico recurrir a profesionales. Estos expertos pueden ser internos o externos, proveedores de servicios o desarrolladores de la propia solución elegida, con sus respectivos pros y contras. Después de todo, implementar un sistema de seguridad de la información en una empresa en un proceso muy complicado que, además de la propia instalación del software, incluye las siguientes fases operacionales y preparatorias:
- El análisis de los riesgos de la seguridad de la información para identificar los aspectos vulnerables, valorar la probabilidad de amenazas y recopilar una lista de medidas necesarias.
- El desarrollo de las políticas de seguridad para regular el acceso a la información y garantizar su protección e integridad.
- La selección e implementación de la solución.
- La auditoría periódica de la solución para garantizar su eficacia y cumplimiento de los actuales requerimientos.
- La respuesta a incidentes.
Las grandes empresas suelen contar con un departamento de seguridad de la información que se ocupa de estas tareas, pero las pymes deben elegir entre la implementación de un sistema de seguridad interno o la subcontratación de terceros.
La implementación interna
Con “interno” nos referimos a un empleado (o departamento) con experiencia en seguridad de la información. La empresa puede intentar encontrar este perfil en el mercado o formarlo por su cuenta. Estos son los pros y contras de esta estrategia:
- + La empresa controla el proceso de formación, por lo que puede adaptarlo a sus necesidades particulares o encontrar a una persona con las habilidades necesarias.
- + El empleado interno conoce mejor los procesos corporativos, por lo que puede ofrecer soluciones más eficaces y específicas.
- + El empleado interno podrá responder más rápido a las amenazas y problemas que puedan surgir.
- + Los secretos de la compañía no acabarán en las manos equivocadas.
- + Puede salir más económico que contratar experiencia externa, sobre todo si el empleado ya forma parte de la plantilla.
- + La formación mejorará el estatus profesional del empleado, lo que fomentará su lealtad con la empresa.
- – La formación llevará mucho tiempo.
- – Puede salir más caro contratar a un experto que a un contratista; además, también llevará mucho tiempo.
- – Es probable que el empleado formado conozca menos el área de aplicación que un experto en seguridad de la información.
- – No hay ninguna garantía de que los conocimientos implementados resulten útiles en el futuro; sobre todo si se le concede la tarea a un empleado: ¿qué hará después de la implementación?
- – El empleado podría marcharse, en cuyo caso habría que buscar a una nueva persona o contratista que se encargue de la solución.
Esta estrategia puede resultar especialmente relevante en el caso de las empresas que están creciendo o o planean ampliar su escala, ya que sentará las bases para un futuro departamento de seguridad de la información. No obstante, si la empresa no tiene estas planificaciones en mente o el crecimiento no se traduce en el desarrollo de la infraestructura, no tiene sentido invertir en nuevas habilidades profesionales.
La implementación de terceros
El mercado está repleto de proveedores de servicios que ofrecen soluciones completamente equipadas: auditorías de la infraestructura, implementación y mantenimiento del sistema de seguridad informático. Estos son los pros y contras de esta estrategia:
- + Ahorras tiempo: no hay que formar ni buscar a nadie.
- + Lo más probable es que el contratista especializado ya cuente con experiencia y conocimientos en el campo de la seguridad de la información.
- + El contratista puede ofrecer un amplio rango de servicios que van más allá de las habilidades internas.
- + Un uso más eficiente de los propios recursos: todas las inquietudes sobre la implementación están subcontratadas.
- + Menos riesgos, además de la habilidad de transferir estos riesgos al contratista.
- – A la larga, una tercera parte puede salir más cara que un empleado interno.
- – Es probable que el contratista no entienda los procesos internos corporativos, dando lugar a soluciones que no se adapten bien a estos.
- – Falta de transparencia: nunca podrás estar seguro de todo lo que sabe realmente el contratista sobre los productos que está implementando.
- – Pueden surgir problemas de confidencialidad: el contratista tendrá acceso a tus datos, pero desconoces por completo su política de seguridad interna.
- – La empresa podrá generar una dependencia con el contratista.
- – Nunca estarás al corriente de todo lo que sucede, con un control insuficiente sobre la implementación y el proceso de soporte.
En general, la contratación de una tercera parte es una forma sensible y común de implementar un sistema de seguridad de la información. Además, estos proveedores de servicios suelen cooperar con los desarrolladores de las soluciones, están certificados, tienen estatus de socio y ofrecen garantías. Pero hay una tercera opción…
La implementación de proveedores
Esta estrategia es similar a la segunda, la diferencia está en que en esta ocasión la implementación la realiza el desarrollador de la solución, cuyos empleados comprenden a la perfección. Lo que significa que:
- + No se depende de ninguna tercera parte: la solución funcionará mientras que el desarrollador siga en el mercado.
- + La garantía directa del proveedor reduce futuros riesgos.
- + La configuración e implementación de los productos se realizará de la forma más rápida y eficiente posible.
- + Minimiza el tiempo de inactividad causado por una configuración incorrecta y los largos tiempos de preparación.
- + Maximiza la rentabilidad de las inversiones en seguridad de la información, ya que la experta configuración garantizará que los productos funcionen en su máximo esplendor.
Por otro lado, la mayoría de las pymes ni siquiera necesitarán que los expertos externos estén presentes in situ: hoy en día las funciones de los servidores están ubicadas en la nube y, en cualquier caso, los sistemas se pueden monitorizar en remoto.
Por ello, ponemos a tu disposición Kaspersky Professional Services, nuestra propia solución para la implementación de herramientas de seguridad de la información de Kaspersky con un amplio rango de servicios: el análisis de la infraestructura y políticas, el desarrollo de políticas y la eliminación de vulnerabilidades, la implementación y mejora de las soluciones, el soporte y el cifrado del almacenamiento de datos. Además, Kaspersky cuenta con equipos locales por todo el mundo que hablan tu idioma y cuentan con la experiencia necesaria. Nuestro paquete de soluciones es perfecto para las pymes, ya que minimizará la carga sobre el departamento informático o incluso eliminará la necesidad de un administrador de sistema a tiempo completo.