Gestión estratégica de seguridad en la empresa - Anetcom
Gestión estratégica de seguridad en la empresa - Anetcom
Gestión estratégica de seguridad en la empresa - Anetcom
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
90<br />
Otro caso especialm<strong>en</strong>te relevante y que habitualm<strong>en</strong>te lleva a confusiones, es<br />
el re<strong>la</strong>tivo a <strong>la</strong>s organizaciones que dispon<strong>en</strong> <strong>de</strong> un SGSI certificado y que <strong>de</strong>sean<br />
externalizar servicios incluidos <strong>en</strong> el alcance <strong>de</strong> dicho SGSI. El mo<strong>de</strong>lo también<br />
resulta perfectam<strong>en</strong>te válido para organizaciones que, aunque no dispon<strong>en</strong><br />
<strong>de</strong> un SGSI, quier<strong>en</strong> contro<strong>la</strong>r apropiadam<strong>en</strong>te <strong>la</strong> <strong>seguridad</strong> <strong>de</strong> sus servicios:<br />
¿Se confía por completo <strong>en</strong> el prestador <strong>de</strong> servicios o se le obliga y contro<strong>la</strong><br />
que disponga <strong>de</strong> todos los controles que <strong>de</strong>be?<br />
En esta <strong>en</strong>crucijada <strong>la</strong> propia norma ofrece pistas sobre cómo gestionar <strong>la</strong><br />
situación:<br />
• La “frontera” <strong>de</strong> <strong>seguridad</strong>, que separará los servicios externalizados <strong>de</strong><br />
los propios, y don<strong>de</strong> ser reflejarán todos los requisitos <strong>de</strong> <strong>seguridad</strong> a<br />
cumplir por el proveedor será el Contrato <strong>de</strong> prestación <strong>de</strong> servicios. Éste<br />
<strong>de</strong>berá recoger <strong>de</strong> forma c<strong>la</strong>ra y específica todos los controles que <strong>la</strong><br />
<strong>empresa</strong> prestataria <strong>de</strong>berá cumplir. Por ejemplo, <strong>en</strong> el caso <strong>de</strong> que los<br />
servidores <strong>de</strong> <strong>la</strong> organización se <strong>en</strong>cu<strong>en</strong>tr<strong>en</strong> alojados <strong>en</strong> un datac<strong>en</strong>ter<br />
externo, <strong>la</strong> <strong>empresa</strong> que lo gestione <strong>de</strong>berá acordar los mismos controles<br />
que <strong>de</strong>biera cumplir <strong>la</strong> organización <strong>en</strong> el contrato que regule <strong>la</strong> prestación<br />
<strong>de</strong> servicios.<br />
• El contrato también <strong>de</strong>berá incluir otro requisito: <strong>la</strong> capacidad <strong>de</strong> auditoría.<br />
A través <strong>de</strong> esta cláusu<strong>la</strong>, <strong>la</strong> organización podrá, <strong>en</strong> caso <strong>de</strong> consi<strong>de</strong>rarlo<br />
necesario, verificar que los controles incluidos <strong>en</strong> el contrato están<br />
efectivam<strong>en</strong>te imp<strong>la</strong>ntados y funcionando.<br />
• Por último, se <strong>de</strong>berá t<strong>en</strong>er <strong>en</strong> cu<strong>en</strong>ta también <strong>la</strong> formación y conci<strong>en</strong>ciación<br />
<strong>de</strong>l proveedor. El prestador <strong>de</strong> servicios y sus técnicos <strong>de</strong>berán<br />
conocer y cumplir <strong>la</strong>s políticas y normas <strong>de</strong> <strong>seguridad</strong> establecidas por <strong>la</strong><br />
organización, por lo que se <strong>de</strong>berán suministrar como parte <strong>de</strong>l contrato<br />
y verificar que dichos técnicos lo conoc<strong>en</strong> y cumpl<strong>en</strong>.<br />
Fuera <strong>de</strong>l ámbito <strong>de</strong> los SGSI, pero sin duda parte integral <strong>de</strong> <strong>la</strong>s bu<strong>en</strong>as prácticas<br />
<strong>de</strong> externalización, exist<strong>en</strong> consi<strong>de</strong>raciones adicionales que <strong>de</strong>b<strong>en</strong> ser at<strong>en</strong>didas:<br />
• Cumplimi<strong>en</strong>to legal: El caso más conocido y universal es el que ti<strong>en</strong>e<br />
que ver con <strong>la</strong> protección <strong>de</strong> datos. En este s<strong>en</strong>tido, será necesario con-