Outsourcing

Cada vez es más habitual que las empresas contraten los servicios de seguridad de una compañía externa, especializada en la materia, y que permita olvidarse - relativamente, como veremos después - al personal de esa empresa de los aspectos técnicos y organizativos de la seguridad, para poder centrarse así en su línea de negocio correspondiente; esta política es lo que se conoce como outsourcing y se intenta traducir por `externalización', aplicado en nuestro caso a la seguridad corporativa. A los que somos puramente técnicos muchas veces se nos olvida que la seguridad en sí misma no es ningún fin, sino una herramienta al servicio de los negocios, y por tanto nuestros esfuerzos han de ir orientados a proteger el `patrimonio' (humano, tecnológico, económico...) de quien contrata nuestros servicios: al director de una gran firma probablemente le importe muy poco que hayamos implantado en sus instalaciones el mejor cortafuegos del mercado junto a un fabuloso sistema distribuido de detección de intrusos si después un atacante puede entrar con toda facilidad en la sala de máquinas y robar varias cintas de backup con toda la información crítica de esa compañía; y si esto sucede, simplemente hemos hecho mal nuestro trabajo.

>Por qué va a querer una empresa determinada que personas ajenas a la misma gestionen su seguridad? Al fin y al cabo, estamos hablando de la protección de muchos activos de la compañía, y encomendar esa tarea tan crítica a un tercero, de quien en principio - ni en final - no tenemos porqué confiar, no parece a primera vista una buena idea...Existen diferentes motivos para llegar a externalizar nuestra seguridad; por un lado, como hemos comentado, un outsourcing permite a la empresa que lo contrata despreocuparse relativamente de su seguridad para centrarse en sus líneas de negocio. Además, al contratar a personal especializado - al menos en principio - en la seguridad se consigue - también en principio - un nivel mayor de protección, tanto por el factor humano (el contratado ha de tener gente con un alto nivel en diferentes materias de seguridad para poder ofrecer correctamente sus servicios) como técnico (dispondrá también de productos y sistemas más específicos, algo de lo que probablemente el contratante no puede disponer tan fácilmente). Teóricamente, estamos reduciendo riesgos a la vez que reducimos costes, por lo que parece que nos encontramos ante la panacea de la seguridad.

Desgraciadamente, el mundo real no es tan bonito como lo se puede escribir sobre un papel; el outsourcing presenta a priori graves inconvenientes, y quizás el más importante sea el que ya hemos adelantado: dejar toda nuestra seguridad en manos de desconocidos, por muy buenas referencias que podamos tener de ellos. Muchas empresas dedicadas a ofrecer servicios de gestión externa de seguridad están formadas por ex-piratas (<incluso existen algunas de ellas que se jactan de esto!), lo cual no deja de ser contradictorio: estamos dejando al cuidado de nuestro rebaño a lobos, o cuanto menos ex-lobos, algo que plantea, o debe plantear, ciertas cuestiones éticas. No voy a expresar de nuevo mi punto de vista (que no deja de ser una mera opinión) acerca de los piratas, porque creo que ya ha quedado suficientemente claro en diferentes puntos de este documento, así que cada cual actúe como su conciencia o sus directivos le indiquen. Por supuesto, tampoco quiero meter a todo este tipo de compañías en un mismo saco, porque por lógica habrá de todo, ni entrar ahora a discutir acerca de si para saber defender un entorno hay que saber atacarlo, porque una cosa es saber atacar (algo que se puede aprender en sistemas autorizados, o en nuestro propio laboratorio, sin afectar a ningún tercero) y otra defender que sólo un antiguo pirata es capaz de proteger correctamente un sistema.

Aparte de este `ligero' inconveniente del outsourcing, tenemos otros tipos de problemas a tener también en cuenta; uno de ellos es justamente el límite de uno de los beneficios de esta política: ya que la externalización permite a una empresa `despreocuparse' de su seguridad, podemos encontrar el caso - nada extraño - de un excesivo `despreocupamiento'. Actualmente, el abanico de servicios que ofrece cualquier consultora de seguridad suele abarcar desde auditorías puntuales hasta una delegación total del servicio pasando por todo tipo de soluciones intermedias, y lo que justifica la elección de un modelo u otro es un simple análisis de riesgos: el riesgo de la solución externalizada ha de ser menor que el nivel de riesgo existente si se gestiona la seguridad de forma interna. En cualquier caso, al externalizar se suele introducir una cierta pérdida de control directo sobre algunos recursos de la compañía, y cuando esa pérdida supera un umbral nos encontramos ante un grave problema; en ningún caso es recomendable un desentendimiento total de los servicios externalizados, y el contacto e intercambio de información entre las dos organizaciones (la contratante y la contratada) han de ser contínuos y fluidos.

Cuanto más alejada de las nuevas tecnologías se encuentre la línea de negocio de una determinada empresa, más recomendable suele ser para la misma adoptar una solución de outsourcing ([LU02]); esto es evidente: una empresa frutera, independientemente de lo grande o pequeña que sea, pero perteneciente a un área no relacionada con nuevas tecnologías, rara vez va a disponer de los mismos recursos humanos y técnicos para destinar exclusivamente a seguridad que una empresa de telecomunicaciones o informática. Es habitual - y así debe ser - que el nivel de externalización sea mayor conforme la empresa contratante se aleje del mundo de las nuevas tecnologías, contemplando un amplio abanico que abarca desde la gestión de elementos concretos de protección (como un firewall corporativo) o auditorías y tests de penetración puntuales hasta soluciones de externalización total; en cualquier caso, es necesario insistir de nuevo en el error de `despreocuparse' demasiado de la gestión de nuestra seguridad: incluso a esa empresa frutera que acabamos de comentar le interesará, o al menos así debería ser, recibir como poco un informe mensual donde en unas pocas hojas, y sin entrar en aspectos demasiado técnicos, se le mantenga al día de cualquier aspecto relevante que afecte a su seguridad.

>Qué areas de nuestra seguridad conviene externalizar? Evidentemente, no existe una respuesta universal a esta pregunta. Existen áreas que por su delicadez o criticidad no conviene casi nunca dejar en manos de terceros, como es el caso de la realización y verificación de backups: todos hemos escuchado historias graciosas - o terribles, según en que lado estemos - relacionadas con errores en las copias de seguridad, como ejecutar la simulación de copia en lugar de una copia real para finalizar más rápidamente el proceso de backup. No obstante, elementos importantes pero no críticos a priori, como los tests de penetración, de visibilidad o las auditorías de vulnerabilidades, que habitualmente se suelen externalizar, ya que incluso existen empresas de seguridad especializadas en este tipo de acciones. Otro ejemplo de área a externalizar puede ser la gestión de los cortafuegos corporativos, trabajo que en demasiadas ocasiones recae sobre el área de Seguridad propia y que como veremos en el próximo punto no debería ser así. En definitiva, no podemos dar un listado donde se indiquen por orden las prioridades de externalización, ya que es algo que depende completamente de cada compañía y entorno; ha de ser el personal de la propia compañía, asesorado por consultores de seguridad y por abogados (recordemos que la LOPD está ahí), quien decida qué y de qué forma gestionar en outsourcing.