miércoles, 29 de junio de 2005

Seguridad de la información y subcontratación


Aunque siempre las cosas salen a la luz cuando ocurre un incidente, se viene detectando una importante preocupación por parte de los responsables de seguridad con la subcontratación.

Estas ultimas semanas además han sucedido incidentes relacionados con este tipo de hechos que ponen de manifiesto lo mal que se puede entender la seguridad de la información y el outsourcing de servicios cuando no hay un marco de operaciones claro.

La semana pasada un importante banco sufrió un incidente con sus cintas de backup, al perder la empresa de mensajería el paquete que las contenía. Bruce Schneier comenta en su blog como un call center indio estaba vendiendo datos de los clientes del cliente que los contrató (Indian Call Center Sells Personal Information) y en un blog español aparecen comentarios de un teleoperador sobre la facilidad y accesibilidad de la que ha disfrutado durante el desarrollo de su trabajo para hurgar en la intimidad de medio mundo del famoseo (Blog El teleoperador).

La subcontratación es necesaria pero deben establecerse marcos de actividad y sobre todo, acuerdos de nivel de servicio que tengan en cuenta la seguridad y los riesgos que se transfieren del cliente principal al servicio subcontratado.

Cuando los objetivos de negocio son tan distintos (Banco y empresa de transporte, Compañia de seguros y servicios de teleoperadores) es importante que se defina cuanto riesgo en materia de seguridad se transfiere y sobre todo, qué pasa si la empresa subcontratada viola alguno de los acuerdos de confidencialidad firmados o es la causa de un incidente de seguridad para el cliente que le contrata.

Mientras las penalizaciones por estos hechos no sean altas, las empresas que prestan servicios no se preocuparán lo más minimo por garantizar la seguridad de sus clientes.

Para todas ellas también existe una buena salida amparandose en la excelencia. La certificación de sus servicios entorno a la norma UNE 71502 o BS 7799-2 que garantice la adecuada gestión de la información que sus clientes le confían.
 
;