Hoy en día es muy difícil pensar en una corporación, empresa o pyme que no externalice algunos de sus servicios que necesita para crear el valor añadido que proporciona a sus clientes y al mercado en general. El límite entre la externalización y una provisión de un servicio por parte de un tercero es tan difusa que, para evitar confusiones, en este post los dos conceptos los trato como sinónimos. Además, estos dos conceptos tienen una base en común para su buen funcionamiento, y lo vamos a ver a continuación: la confianza entre las partes.

Lo primero que debemos hacer es pensar en cómo afectan la externalización de la ciberseguridad en esas corporaciones, empresas o pymes. Responder a esta cuestión tiene muchas respuestas, voy a intentar dar luz a algunas de ellas, siempre desde nuestro punto de vista como directores de seguridad TI e ingenieros telemáticos que trabajamos dando servicio externo de ciberseguridad a varias pymes y varias grandes empresas desde el año 2005.

Debemos tener claro que la empresa que contrata a un tercero para que proporcione un servicio en concreto es la responsable final de la calidad final del servicio y su control continúa estando en la compañía que externaliza.

Si ampliamos este principio a la ciberseguridad, la pyme que contrata a un tercero tiene que ser capaz de valorar, primero, el riesgo que conlleva esa externalización y, segundo, la seguridad, tanto la inicialmente diseñada como la realmente implementada por el proveedor del servicio. Es más, desde el punto de vista de la seguridad TI o ciberseguridad, los requisitos son idénticos o, incluso, mayores a los que se implementan internamente.

O sea, hablando más claro, el riesgo que introduce la externalización de un servicio como la ciberseguridad, tiene que estar en sintonía con el riesgo que quiera asumir la compañía que lo adquiere, y evidentemente esto depende totalmente de la confianza que proporcione la empresa al responsable externo de ciberseguridad. Como en todo, depende muchísimo de las personas, ya que nunca sabes si será mejor un trabajador por cuenta de la empresa o un trabajador por cuenta propia trabajando en la empresa como un externo. Como ejemplo de confianza, un responsable de ciberseguridad puede incluso tener tan grado de confianza, incluso siendo externo, que tenga a trabajadores de la propia empresa a su cargo.

Aspectos tan clave como el poder de decisión en la empresa del tercero en los temas de ciberseguridad, la sincronización de sus planes de continuidad de negocio con los de la empresa que utiliza esos servicios, la posibilidad real de auditar dicho servicio y cualquier otra subcontratación que se produzca, así como la necesidad de establecer un plan realizable y realista de una posible salida de tal externalización, no pueden olvidarse hoy en día en ninguna industria o empresa que funcione con servicios aportados por terceras partes. El tema de una posible salida es un punto muy importante a tener en cuenta, porque por mucha confianza que exista entre las partes, el responsable de seguridad no puede ser un riesgo en sí mismo.

Finalmente, quien quiera seguir estudiando o profundizando sobre este tema, os aconsejamos estudiar las directrices sobre el “outsorcing” publicadas en 2019 por la Autoridad Europea Bancaria (EBA), tan aplicables en la industria financiera como cualquier otra industria con necesidad de gestionar sus niveles de riesgo de forma eficiente:

https://eba.europa.eu/documents/10180/2761380/EBA+revised+Guidelines+on+outsourcing_ES.pdf/9ce29347-20e1-41d0-a8d7-6019bc6b1bf8


Si eres empresario y necesitas un servicio externo de ciberseguridad, no dejes de contactar con nosotros en el Instituto Valenciano de Ciberseguridad y telemática https://invaci.es