En la actualidad las empresas tienen la opción de subcontratar la función de

seguridad o de mantener su propio personal para este propósito. Esta tarea le

ayudara a desarrollar sus habilidades de Internet en cuanto a usar el servidor
Web para investigar y evaluar los servicios de subcontratación de seguridad.
Como experto de sistemas de información de sus firma, le han pedido que
ayude a la gerencia a decidir si es mejor subcontratar seguridad o mantener la
función de seguridad dentro de la firma. Use el servicio Web para buscar
información que le ayude a decidir si es conveniente subcontratar la seguridad,
localice servicios de subcontratación de seguridad.(El informe debe contener
cuatros paginas de Word mas la portada)
Presente un breve resumen de 1 página de los argumentos a favor y en contra
de subcontratar la seguridad computacional para su compañía.
Seleccione dos firmas que ofrezcan servicios de subcontratación de seguridad
computacional; compare los servicios que ofrecen.(1 pagina de Word)
Prepare un informe para la gerencia en donde sintetice sus hallazgos. Su
reporte deberá defender su postura en cuanto a si su compañía debe
subcontratar la seguridad computacional o no. Si cree que su compañía debe
subcontratar, el informe debe identificar qué servicio de seguridad hay que
seleccionar y justificar su selección.(2 paginas de Word)

Transcripción de seguridad en sistemas de informacion cap 8

SEGURIDAD EN SISTEMAS DE INFORMACION CAP 8
Que es mejor subcontratar seguridad o mantener la función de seguridad dentro de la
firma

Es mejor subcontratar seguridad

FIRMAS QUE OFRECEN SERVICIOS DE SUBCONTRATACION DE
SEGURIDAD COMPUTACIONAL
NET SECURE
servicios:
detección de la problemática del cliente
reingeniería
desarrollo de la solución
aprovisionamiento de hardware y software
instalación y puesta en marcha
mantenimiento preventivo correctivo.
monitoreo
administración y capacitación.
GRACIAS
PORQUE SUBCONTRATAR LA SEGURIDAD DE RED
Cada vez mas empresas subcontratan la seguridad de red , esta tendencia se rige por una
obviedad no existe otra manera de afrontar la escasez de expertos especializados en
seguridad informática, la mayor necesidad de que las empresas abran sus redes y el
entorno de amenazas cada vez mas peligrosa, para que internet tenga exito, como
herramienta empresarial, es necesario ampliar la seguridad
la subcontratación es la manera de lograrlo y indudablemente es mas barata y eficaz.
Ventajas de subcontratación de seguridad computacional
el costo mensual es mínimo comparado con el gasto que se pudiera tener en caso de que
la empresa quisiera comprar el equipo para tener el servicio

facilidad de uso y administración, no es necesario contar con un administrador de redes,

ni de seguridad para poder dar el servicio a la empresa

no se necesitan licencias para poder usar el software, solamente pagar la cuota mensual

no se necesita contar con una infraestructura tecnológica

proporciona compartición de información

OLIMPIA
servicios:
diagnostico de seguridad
consultoría en clasificación de la información sensible
consultoría para la protección de datos
consultoría para la prevención de fuga de información
consultoría en protección de BD
consultoría para el análisis de roles
servicio de escaneo de vulnerabilidades
pruebas de penetración ETHICAL HACKING

Transcripción de Subcontratación de seguridad computacional

SERVICIOS QUE OFRECE
La tecnología ha tenido una gran importancia en el proceso histórico de la evolución
empresarial generando ventajas competitivas y permitiéndoles ahorrar grandes
cantidades de dinero mediante la subcontratación de servicios tecnológicos.
Gestión de cumplimiento
 Evaluación de riesgos
 PCI Compliance
 Educación Security Awareness
Gestión de Vulnerabilidad
 Pruebas de Seguridad Gestionada
 Gestionado Firewall de Aplicaciones Web
 Análisis de bases y Big Data
 Escaneo de aplicaciones
 Análisis de vulnerabilidades de red

Servicios de Gestión de Amenazas

 Análisis de Amenazas Gestionado
 Gestionado SIEM
 Gestionado Anti-Malware
 Control de Acceso a la Red Managed
 Gestionado Email Security
 UTM Gestionado
 Cifrado Gestionado
Subcontratación de seguridad computacional
Trustwave es un proveedor líder de seguridad de la información y soluciones de
administración de cumplimiento de políticas para compañías grandes o pequeñas
alrededor del mundo.

Analiza, protege y valida la infraestructura de administración de datos de las

organizaciones. Desde la capa de red hasta la de aplicación, asegura la protección de la
información y cumplimiento con los estándares de la industria y regulaciones como PCI
DSS e ISP 27002, entre otras.
https://www.trustwave.com
 Gestionado autenticación de dos factores
 Gestionado Endpoint Protection
 IDS / IPS Gestionados
 Gestionado Protección DDoS
 Gestión de Firewall
 Preparación y Respuesta de Incidentes
 Gestión de certificados SSL
Justificación
La elección de este proveedor es porque proporciona una seguridad completa integrada
gracias a la gran variedad de servicios que ofrece, los cuales difícilmente encuentras con
otros proveedores.
De igual manera es una excelente opción por la gran flexibilidad que da para adaptarse a
la empresa,trayendo consigo grandes ahorros económicos.

Ventajas de subcontratar servicios de ciberseguridad.

1. Especialización y calidad.

Al externalizar los servicios TIC, en general, y los relativos a la ciberseguridad, en particular,

se persigue obtener unos servicios de calidad superior a la que seríamos capaces de ofrecer
valiéndonos de los recursos propios. El incremento en la calidad se debe principalmente a
que en la provisión del servicio intervienen profesionales expertos en una materia
determinada y, a su vez, el proveedor dispone de recursos específicos y adecuados para
proporcionar el servicio. Esto es especialmente importante cuando se trata de servicios de
ciberseguridad ya que es fundamental conocer las tendencias de las amenazas y riesgos de
la seguridad para actuar en consecuencia.

2. Reducción de costes.

Uno de los argumentos más frecuentes a la hora de subcontratar servicios de ciberseguridad

tiene que ver con la reducción de costes. Por norma general, resulta más económico obtener
un servicio experto por parte de terceros que adquirir los recursos necesarios para proveer
internamente dicho servicio. Por ejemplo, imaginemos que vamos a potenciar nuestro
negocio a través de la creación de un portal para la venta online y nos encontramos en la
necesidad de llevar a cabo una auditoría técnica de seguridad sobre dicho portal. En este
caso, nos resulta más conveniente subcontratar dicha auditoría que preparar todo lo
necesario para que sea un miembro de nuestra organización quien lleve a cabo los trabajos
descritos.
3. Menor impacto por la obsolescencia.

Los servicios de ciberseguridad guardan una fuerte y estrecha relación con la tecnología.
En los últimos tiempos ésta avanza y evoluciona a un ritmo vertiginoso lo que hace que las
infraestructuras queden obsoletas rápidamente. Al externalizar los servicios de
ciberseguridad se reduce considerablemente el impacto derivado de la obsolescencia. Por
ejemplo, imaginemos que en el desarrollo de nuestro plan de continuidad de negocio
optamos una solución de alta disponibilidad que requiera la existencia de un Centro de
Proceso de Datos (CPD) de respaldo. Para ello, puede ser recomendable externalizar el
servicio de respaldo en lugar de adquirir los equipos y construir un segundo CPD en nuestras
instalaciones. No entramos a valorar otras cuestiones igualmente importantes como la
conveniencia de que un CPD de respaldo no esté físicamente próximo al CPD principal.

4. Atención a los procesos de negocio.

Por norma general, los servicios TIC son servicios que soportan los procesos de negocio de
la organización pero no son en sí mismos el objetivo de esta. Esto es igualmente aplicable
a los servicios de ciberseguridad, a los que podemos considerar servicios transversales. Por
ejemplo, un servicio para la detección, atención y respuesta ante ciberataques dirigidos
contra nuestra página web corporativa puede aportar gran valor para nuestra organización
evitando interrupciones en nuestros procesos de comercio online. Sin embargo, aunque este
servicio sea importante, nuestros procesos clave serán de otra naturaleza, como por
ejemplo, la fabricación de electrodomésticos, servicios de hostelería, etc. La externalización
de estos servicios permite a una organización prestar mayor atención a sus procesos de
negocio.

5. Flexibilidad.

Es más sencillo adaptar un servicio externalizado ampliando su alcance, funcionalidad,

incrementando la capacidad, etc. que reorganizar la propia empresa. Por ejemplo,
imaginemos que disponemos de un servicio externo para el análisis del tráfico que circula
desde nuestra red corporativa a Internet y, tras una fusión de compañías, estamos
interesados en ampliar el alcance para que incluya las comunicaciones de la nueva
infraestructura. Ante esta situación, únicamente cabría solicitar una ampliación del servicio
al proveedor externo. Si por el contrario fuéramos nosotros quienes llevaran a cabo el
servicio descrito con recursos propios, necesitaríamos adquirir nuevos sistemas,
herramientas, etc. siendo más complicado adaptarnos a los cambios de nuestra compañía.

Inconvenientes de subcontratar servicios de

ciberseguridad.

1. Dependencia de terceros.

Al externalizar servicios estamos generando dependencias con proveedores. Esto puede

tener implicaciones negativas desde el punto de vista de la seguridad de la información en
cuestiones tan importantes como la continuidad de negocio. En este sentido, la interrupción
del servicio podría tener graves implicaciones para la actividad de nuestra empresa.
También en esta línea, será necesario adaptar nuestros planes de recuperación para que
contemplen el papel que jugará nuestro proveedor y se establezcan los protocolos de
comunicación para coordinar la recuperación de los servicios en caso de que fuera
necesario.
2. Contacto con el cliente final.

Si se externaliza un servicio dirigido al cliente, se pierde la comunicación directa con estos.

Esto puede suponer un problema ya que corremos el riesgo de no recibir el feedback,
opiniones, quejas y sugerencias que son de gran valor para poder mantener los clientes,
mejorar la provisión del servicio e incrementar la seguridad en nuestra empresa. Por
ejemplo, imaginemos que nuestra empresa dispone de un servicio consistente en una
herramienta online para la administración de fincas. Si externalizamos un servicio cuyo
objetivo es atender a los incidentes de seguridad que tengan los clientes de nuestra
plataforma online, podemos perder información de gran valor relativa a la usabilidad de
nuestra herramienta, propuesta de nuevas funcionalidades o simplemente información
acerca del grado de satisfacción del cliente.

3. Acceso a la información corporativa.

Es probable que el proveedor tenga acceso (o potencial acceso) a información de nuestra

empresa, incluso que maneje nuestra información corporativa con sus sistemas propios
sistemas ubicados en instalaciones externas. En esta situación, la seguridad de nuestra
información dependerá de las medidas de seguridad que haya implantado nuestro
proveedor. Derivado de esta situación, existe un riesgo potencial de que se produzcan fugas
de información cuyo origen sea nuestro proveedor.

4. Potencial pérdida de control sobre el servicio.

Al delegar la provisión de un servicio de ciberseguridad en un proveedor, perdemos el control

directo sobre dicho servicio. Es posible pensar que no han ocurrido incidentes cuando en
realidad lo que ocurre es que no hemos sido informados de ello. Esto puede ocasionar que
tengamos una percepción errónea sobre el estado del mismo.

5. Know-how en manos del proveedor.

Durante la provisión del servicio se genera conocimiento que es de gran valor tanto para
quien realiza la provisión del servicio como para quien lo recibe. Dentro de este conocimiento
se incluye información relativa a la resolución de incidencias, problemas, oportunidades de
mejora, cuestiones para la optimización del rendimiento, etc. por norma general, es el
proveedor del servicio quien tiene acceso directo a esta información y, por lo tanto, si
externalizamos la prestación del servicio de ciberseguridad corremos el riesgo de perder
dicho conocimiento. Tal y como cabe esperar, la información sobre el estado de seguridad
de nuestra empresa tiene una gran importancia para la continuidad de las operaciones.
Pensemos sobre qué ocurriría si salieran a la luz vulnerabilidades de nuestros sistemas de
información que pudieran ser aprovechadas por la competencia y/o simplemente explotados
con fines delictivos.

Externalizar o no externalizar, esa es la cuestión.

Tal y como hemos podido comprobar, son muchos beneficios que podemos obtener a través
de la externalización de servicios de ciberseguridad, pero a su vez, esta práctica conlleva
una serie de riesgos que pueden acarrear graves consecuencias para nuestra organización,
sino somos capaces de gestionarlos de manera adecuada.
La conveniencia de externalizar un servicio de ciberseguridad es una cuestión que se debe
analizar individualmente en cada organización ya que depende de múltiples factores. Por lo
tanto, os recomendamos que valoréis cada caso particular y, si optáis por externalizar, sigáis
las buenas prácticas para la contratación de servicios TIC (Enlace al artículo “Política de
contratación segura de servicios TIC”).