04 Sep 2018

La Ciberseguridad en el Sector Outsourcing

Sintámonos orgullosos de nuestros departamentos de Ciberseguridad porque, en un futuro no muy lejano, marcarán una diferencia significativa con nuestra competencia a la hora de aportar valor a nuestros clientes.

Pongámonos en situación

Actualmente la ciberseguridad es la gran asignatura pendiente de las empresas españolas.

¿Por qué? Porque el cambio cuesta, máxime si se rige por una clara relación entre a mayor Seguridad, mayor Inversión y porque la mayoría de los ataques a veces pasan desapercibidos, por lo que se suele tener una falsa sensación de seguridad.

Para dejarlo claro, y aunque la analogía sea algo extraña y desagradable, los ataques a nuestros sistemas, son como las cucarachas, por cada cuatro que ves, hay doscientas que no ves.

En un sector como el del Outsourcing en el que se manejan gran cantidad de datos de diversos clientes, es muy importante focalizarnos en mantenerlos protegidos.

 

¿Cómo podemos hacer esto?

Nuestro sector, al igual que otros muchos, está en constante cambio.

Las tendencias tecnológicas marcan el uso de Alojamiento y hosting Cloud, SaaS, en resumen, un pago por uso en multitud de proveedores lo cual dificulta mantener la seguridad con el enfoque tradicional.

Ya no podemos concebir nuestras infraestructuras y nuestra seguridad como algo físico, localizado y estático, por lo que nuestra visión debe ampliarse para cubrir multitud de puntos de fallo, accesos y vulnerabilidades que muchas veces no dependen de nuestros propios departamentos.

El control de los proveedores, eligiendo correctamente un compañero de viaje tecnológico, que nos asegure que mantiene un control exhaustivo de su infraestructura es vital, amén de la firma/revisión de toda la documentación (NDA, cláusulas de confidencialidad, contratos específicos, penalizaciones, revisión de sus políticas de Seguridad) que sea necesaria.

Debemos exigir el mismo nivel de Seguridad en nuestros proveedores que el que nos exigimos a nosotros mismos, y como el “ver para creer” sigue siendo lo más efectivo, las auditorías de seguridad se convierten en nuestro mayor aliado.

 

¿Entonces, nos olvidamos de la seguridad perimetral?

No, por supuesto que no.

La seguridad perimetral está y seguirá estando, ya que continuamos con la necesidad de tener  nuestros sistemas más críticos On-premises. Tan solo tenemos que hacer un ejercicio mental, para entender que el perímetro ahora, abarca unas fronteras virtuales que no controlamos ni vemos.

Hemos pasado de defender una isla, a ser los gestores de seguridad de un archipiélago de islas que no controlamos, por lo que de nuevo lo más importante es el CONTROL de los proveedores.

 

¿Cuál es el futuro de los Firewall?

Los Firewall van a seguir evolucionando hasta poder gestionar tráfico que ni siquiera pasa por ellos, se convertirán en equipos de monitorización y control, con los tradicionales IDS, IPS, WAF, etc.. o con integraciones de proveedores de seguridad de la nube que actúan de intermediarios entre nuestro tráfico e internet, estarán On-premise o en Cloud, pero estarán, aunque dejarán de ser la piedra angular de nuestra protección frente a ataques.

 

¿Cómo nos posicionamos en nuestro sector?

Sinceridad y honestidad ante todo, nuestros clientes deben tener visibilidad absoluta de nuestro nivel de seguridad,  permitiéndoles auditorías sobre nuestros sistemas, y mostrando evidencias.

Se deben establecer planes de respuesta a incidentes de seguridad (y ponerlos a disposición de nuestros clientes), claros, concisos y completos, que cubran desde la categorización del incidente hasta las acciones a realizar para mitigarlo, así como el personal asociado al departamento de Ciberseguridad, ya que es importante disponer de especialistas en hardening, pentesting y uso de herramientas de explotación o forense, entre otras muchas especializaciones que tiene que tener un profesional de ciberseguridad, que seguramente daría para otro artículo.

Otra opción es certificar nuestros procesos en normas como UNE-ISO 27001, estas certificaciones son un prueba empírica de nuestro compromiso con la seguridad de la información.

Por otro lado , la encriptación de los datos que poseemos se ha convertido ya no en un requisito de algunos clientes, sino en una buena práctica que todos deberían tener, encripta, encripta otra vez, y cuando ya estén encriptados, vuelve a encriptar.

Y por supuesto, mejora constante, formación y laboratorios, no solo técnicos sino también de cumplimiento normativo, todos los departamentos IT sean de Ciberseguridad o no deberían estar en reciclaje continuo.

 

¿Estamos solos en esto?

A veces podemos sentirnos solos en los departamentos de Ciberseguridad, pero los usuarios cada vez están más concienciados de la importancia de hacer un uso responsable de las herramientas corporativas.

Esto no va a suceder de la noche a la mañana, es importante hacer una campaña informativa, y explicar cuáles son esas buenas prácticas. Como técnicos, no podemos dar por hecho que todo el mundo conoce lo que es un correo de phishing, un spyware, un malware, o usar siempre de ejemplo a Cryptolocker/Wannacry (esto último tristemente famoso por los eventos del año pasado), así que hablemos el idioma del negocio que no está para nada reñido con hablar el de los 0’s y los 1’s.

 

Y por último, sintámonos orgullosos de nuestros departamentos de Ciberseguridad, porque en un futuro no muy lejano, marcarán una diferencia significativa con nuestra competencia a la hora de aportar valor a nuestros clientes.

 

Ana Castillo López  

Responsable de Ingeniería IT (Ciberseguridad, Sistemas, Redes, Voz)

Avanza Externalización de Servicios

Compartir
16 Jul 2018

¿Externalizar mi logística? Pero… ¿Por qué?

Ventajas que supone centrarse en su Core Business

Cada vez son más las empresas que deciden centrar sus esfuerzos en “lo que saben hacer mejor y  les diferencia del resto”, su core business, y confiar sus procesos logísticos a empresas especializadas en ello… pero,
¿qué es externalizar un servicio?

Una externalización es un acuerdo contractual entre una empresa y un prestador de servicios por el cual ésta adquiere y asume la responsabilidad de proporcionar el nivel de servicio realizando aquellos procesos incluidos en el mismo, igualando como mínimo o mejorando los términos de calidad y productividad de la actividad durante el tiempo estimado en el contrato.

El outsourcing es un acuerdo mercantil por el cual una parte llamada contratista, asume a través de la organización de los medios necesarios (humanos y técnicos), la realización de una obra o servicio determinado a favor de un empresario principal que asume a su vez la obligación de pagar un precio cierto a cambio del servicio recibido y  según los estándares de calidad pactados.

 

Y ahora te preguntarás… ¿qué ventajas me supone llevar a cabo una externalización?

 

Inicialmente, la mayoría de empresas decidían externalizar por motivos puramente económicos, es decir, una aparente reducción de costes.

A cambio de esta aparente reducción, se han  obviado conceptos tan importantes como la calidad y productividad del servicio, solicitando una mera administración de recursos humanos  de “menor coste” sin medir, a veces, el riesgo legal de la operación con posibles consecuencias nefastas para la empresa cliente. El outsourcing en esos casos ha estado mal gestionado como un contrato de personas, alejándose de su auténtica naturaleza: un contrato de resultados.

 

De este modo, no se han tenido en cuenta los gastos derivados de:

  •  Un alto grado de rotación, sobre todo en determinados sectores donde la actividad requiere especialización o simplemente es compleja y de duras condiciones.
  •  La inversión en formación, que unido con el alto grado de rotación supone elevados costes y en  este sentido contar con partners en el ámbito de la formación y certificación te diferencia del resto.
  •  Gestión de volúmenes de actividad, vacaciones o absentismo, apoyados por una extensa red de profesionales formados y con  potentes sistemas  reclutamiento.
  •  Departamentos  de tecnología, compras, y mantenimiento de equipos para la disposición  de los mejores medios materiales necesarios en el desarrollo de la actividad.
  •  Y sobre todo de asociarse con empresas especializadas que compartan el riesgo de la operación y persigan  la eficiencia de costes y la calidad del resultado a través de la mejora continua y la reingeniería de procesos.

 

 

 

 

De este modo cada vez son más las empresas que buscan no sólo un ahorro de costes sino un incremento de la competitividad que les proporcione contar con plantillas formadas, flexibles y autogestionadas que sobre todo en el sector logístico e industrial, les permita disponer de herramientas de flexibilidad y competitividad adaptadas a las necesidades del mercado y de sus clientes.

Yendo un paso más allá, las verdaderas soluciones de externalización conviven en un mercado competitivo que les obliga a especializarse continuamente para diferenciarse del resto.

Es por ello que cada vez son más las empresas del sector que incorporan departamentos de Ingeniería  como aporte de valor. Éstos se enfocan en llevar a cabo una labor de mejora continua de los procesos para conseguir aumentar los ratios productivos y en buscar las mejores soluciones tecnológicas del mercado adaptadas a las circunstancias de cada cliente, mejorando las condiciones de los trabajadores.

Sin embargo, el gran reto para estas empresas es encontrar y formar profesionales específicos adecuados para desarrollar estas actividades, debido al grado de especialización y polivalencia de tareas y sectores en los que se mueve el outsourcing.

Esto supone una gran oportunidad para todas aquellas personas que buscan desarrollarse dentro de los diferentes eslabones de la cadena de suministro; pero este es un tema del que os hablaremos en el próximo post…

 

Santos Ladra Laguna   

Ingeniero de procesos Avanza Externalización de Servicios

Compartir