16 marzo 2009

Outsourcing y riesgos

La semana pasada leía un artículo sobre cómo mitigar los riesgos en la seguridad de los datos al hacer outsourcing global (I y II) del que, más allá del propio contenido del artículo, se puede sacar una interesante lista de elementos de seguridad a contemplar a la hora de externalizar servicios:
  • Cumplimiento legal, en general y específicamente en materia de seguridad
  • "Políticas" implementadas en los dispositivos de seguridad
  • Arquitecturas de red seguras
  • Seguridad en las comunicaciones (cifrado, control de acceso, ...).
  • Seguridad en la gestión interna del proveedor de servicios (ISO 27001 / ISO 20000 / ITIL)
  • Controles de seguridad del personal
  • Controles de seguridad física y ambiental
  • Seguridad en el desarrollo y mantenimiento de sistemas
  • Clasificación de la información en base a su criticidad y tratamiento de acuerdo a dicha clasificación
  • Definición de roles y funciones asociados al acceso a la información
  • Medidas de seguridad técnica mínimas a cumplir por el proveedor de servicios
  • Evaluar específicamente los riesgos de seguridad asociados a cada proveedor
  • Verificar el cumplimiento, por parte del proveedor de servicios, de alguna certificación de seguridad asociada al servicio que nos presta
  • Auditar al proveedor (auditorías de segunda parte)
  • Especificar contractualmente las condiciones de seguridad que debe cumplir el proveedor
  • Existencia de una cultura de seguridad en el proveedor, verificable por la existencia de funciones y roles asociados específicamente con la seguridad

Es evidente que esta lista no es exhaustiva, y que seguro que se os ocurren multitud de detalles a incluir a la hora de verificar que las condiciones de seguridad que ofrece un proveedor son las necesarias. No obstante... ¿cuántos de estos apartados figuran expresamente en vuestros contratos de prestación de servicios? ¿Conocéis proveedores de servicios de outsourcing que ofrezcan este tipo de garantías de seguridad? Echáis en falta alguna en concreto? Espero vuestros comentarios.

2 comentarios:

Manuel Rodriguez dijo...

Pleno!! No cumplimos ni uno... y realmente me parecen todos muy necesarios...

Joseba Enjuto dijo...

Como se suele decir, más vale tarde que nunca. Y si no cumplis ninguno... hay mucho margen de mejora, así que ya sabéis...