Gestión de ciberseguridad en servicios tercerizados (Outsourcing TI)

Abstract

El enfoque orientado a la adopción de modelos de outsourcing en tecnologías de la información (TI) ha crecido considerablemente en empresas que buscan las ventajas que este tipo de modelo les ofrece para optimizar costes, mejorar la eficiencia de los procesos, y acceder a capacidades especializadas, etc. No obstante, la externalización también lleva implícitos unos riesgos considerables en el ámbito de la seguridad de la información, especialmente en cuanto a la protección de los datos, la gestión de los accesos y el cumplimiento normativo. El presente informe tiene como objetivo un análisis de los riesgos que derivan de la gestión de la ciberseguridad en el contexto del outsourcing, así como la evaluación de controles, modelos de responsabilidad compartida, y estándares internacionales aplicables a ello. También se abordarán las estrategias de mitigación en el outsourcing desde el punto de vista de las buenas prácticas: acuerdos de nivel de servicio (SLA), auditorías de seguridad, legislación como la norma ISO/IEC 27001. Por último, se mostrarán los resultados de una aplicación práctica del conocimiento en el marco del outsourcing, mostrado en un entorno simulado donde quedará demostrado cómo se llevarían a cabo la gestión de incidentes, la gestión de accesos o el trabajo de monitoreo de seguridad, y donde se demostrará la apertura de la vía de validación de los modelos propuestos.