Gestión estratégica de seguridad en la empresa - Anetcom
Gestión estratégica de seguridad en la empresa - Anetcom
Gestión estratégica de seguridad en la empresa - Anetcom
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
La externalización es verda<strong>de</strong>ram<strong>en</strong>te uno <strong>de</strong> los principales aliados <strong>de</strong> <strong>la</strong><br />
Seguridad <strong>de</strong> <strong>la</strong> Información, pero su uso <strong>de</strong>be ser cautelosam<strong>en</strong>te p<strong>la</strong>nteado<br />
y sus requisitos compr<strong>en</strong>didos y sopesados. A pesar <strong>de</strong> que <strong>la</strong> teoría dice que,<br />
cuando se externaliza, se <strong>de</strong>be preocupar <strong>de</strong>l QUÉ y no <strong>de</strong>l CÓMO, este<br />
p<strong>la</strong>nteami<strong>en</strong>to <strong>de</strong>be matizarse: los procesos que <strong>de</strong>b<strong>en</strong> externalizarse son<br />
aquellos que aport<strong>en</strong> valor pero que permitan a <strong>la</strong> organización mant<strong>en</strong>er el<br />
conocimi<strong>en</strong>to <strong>de</strong> negocio <strong>de</strong> cada área. La externalización feroz <strong>en</strong> muchos<br />
casos ha finalizado con organizaciones con una <strong>de</strong>p<strong>en</strong><strong>de</strong>ncia total <strong>de</strong> un proveedor<br />
que ha pasado a conocer mejor el negocio que <strong>la</strong> propia <strong>en</strong>tidad.<br />
Asimismo, externalizar <strong>de</strong>be ser sinónimo <strong>de</strong> medir y supervisar: dado que se<br />
p<strong>la</strong>ntea el tras<strong>la</strong>do <strong>de</strong> <strong>de</strong>terminados procesos a manos aj<strong>en</strong>as a <strong>la</strong> <strong>en</strong>tidad, su<br />
r<strong>en</strong>dimi<strong>en</strong>to y calidad <strong>en</strong> <strong>la</strong> ejecución <strong>de</strong>b<strong>en</strong> ser contro<strong>la</strong>dos con especial<br />
at<strong>en</strong>ción. En auxilio <strong>de</strong> <strong>la</strong>s organizaciones que <strong>de</strong>cidan abordar <strong>la</strong> externalización<br />
parcial o total <strong>de</strong> sus servicios TIC, surg<strong>en</strong> diversas bu<strong>en</strong>as prácticas<br />
<strong>de</strong> <strong>Gestión</strong> <strong>de</strong> Servicios. Sin duda el principal expon<strong>en</strong>te es ITIL, corazón <strong>de</strong><br />
<strong>la</strong> norma ISO 20000 y a <strong>la</strong> que se <strong>de</strong>dicará un breve capítulo más a<strong>de</strong><strong>la</strong>nte.<br />
Las bu<strong>en</strong>as prácticas <strong>de</strong> <strong>Gestión</strong> <strong>de</strong> Servicios establec<strong>en</strong> diversos mecanismos<br />
que facilitarán <strong>de</strong> forma importante el control <strong>de</strong> servicios externalizados,<br />
si<strong>en</strong>do el más relevante para este caso el <strong>de</strong>l SLA (Service Level Agreem<strong>en</strong>t, o<br />
Acuerdo <strong>de</strong> Nivel <strong>de</strong> Servicios). Su objetivo es fijar, mediante un contrato o<br />
acuerdo, los valores mínimos y el objetivo <strong>de</strong> r<strong>en</strong>dimi<strong>en</strong>to <strong>de</strong> cada servicio y<br />
establecer p<strong>en</strong>alizaciones por su incumplimi<strong>en</strong>to. Estos SLA se convertirán <strong>en</strong><br />
parte integral <strong>de</strong>l contrato <strong>de</strong> prestación <strong>de</strong> servicios establecido con el tercero<br />
y permitirán a <strong>la</strong> organización supervisar que <strong>la</strong> prestación se realiza <strong>de</strong><br />
acuerdo a los parámetros <strong>de</strong> calidad establecidos.<br />
Aunque todo lo com<strong>en</strong>tado previam<strong>en</strong>te es válido para <strong>la</strong> externalización <strong>de</strong><br />
diversos servicios TIC, los re<strong>la</strong>cionados con <strong>la</strong> <strong>seguridad</strong> ti<strong>en</strong><strong>en</strong> ciertas peculiarida<strong>de</strong>s<br />
que <strong>de</strong>b<strong>en</strong> ser completam<strong>en</strong>te compr<strong>en</strong>didas y contemp<strong>la</strong>das antes<br />
<strong>de</strong> p<strong>la</strong>nificar su externalización. El primer punto, base <strong>de</strong> una externalización<br />
satisfactoria, fue i<strong>de</strong>ntificado ya <strong>en</strong> <strong>la</strong> antigua Grecia con <strong>la</strong> inscripción que<br />
figuraba <strong>en</strong> <strong>la</strong> puerta <strong>de</strong>l Oráculo <strong>de</strong> Delfos: “Conócete a ti mismo”. Es altam<strong>en</strong>te<br />
<strong>de</strong>saconsejable sacar <strong>de</strong> <strong>la</strong> organización cualquier proceso que sea<br />
crítico para el negocio, al m<strong>en</strong>os <strong>de</strong> forma completa y sin garantías. Para ello,<br />
<strong>la</strong> <strong>en</strong>tidad previam<strong>en</strong>te <strong>de</strong>berá compr<strong>en</strong><strong>de</strong>r <strong>de</strong> forma completa cuáles son sus<br />
procesos críticos y hasta qué grado pue<strong>de</strong>n ser externalizados.<br />
89