Subcontratación de ciberseguridad para empresas: ventajas e inconvenientes

Ante el aumento de ciberataques y brechas de seguridad registrado en 2020, cada vez más empresas apuestan por reforzar su ciberseguridad. Una vez tomada la decisión, una de las primeras preguntas que surgen es si apostar por mejorar las defensas con recursos internos y la adquisición de nuevo talento o inclinarse por subcontratar la ciberseguridad por completo o parcialmente.

Cada una de estas opciones tiene sus ventajas y sus inconvenientes. Lo único que está claro es que descuidar la ciberseguridad de la organización no es una posibilidad. Los ciberriesgos son cada vez más y más complejos. Solo durante los tres primeros meses de 2020, IBM detectó un detectado un incremento global del 40% en la cantidad de ciberataques. Y un informe posterior de la Interpol señala que, durante el mismo periodo de tiempo, los ataques por registros malicioso, incluyendo malware y phishing, habían aumentado un 569%.

Tipos subcontratación de ciberseguridad

Aunque el término ciberseguridad nos lleve directamente a pensar en un antivirus, el concepto engloba, en realidad, una gran multitud de barreras y medidas encaminadas a proteger las infraestructuras informáticas de una organización, la información que almacenan y, sobre todo, la continuidad del negocio.

A nivel físico, hablamos de seguridad de hardware (la protección más robusta, que ofrecen, por ejemplo, cortafuegos o proxys), seguridad de software (que implica tanto los programas de protección como el diseño y la actualización del software de la empresa) y la seguridad de red. Además, tal como recoge el informe Panorama actual de la Ciberseguridad en España del observatorio OSPI, también son importantes las medidas encaminadas a reforzar la cultura de ciberseguridad entre los empleados y aquellas dirigidas a contar con sistemas de respaldo o backup que protejan la continuidad del negocio.

A la hora de subcontratar la ciberseguridad de la empresa no se trata de elegir entre todo o nada. De acuerdo con el Instituto Nacional de Ciberseguridad (INCIBE), podemos optar por diferentes tipos de servicios:

• Seguridad gestionada. Subcontratación total o parcial de la ciberseguridad, incluyendo la infraestructura y su gestión.
• Subcontratación de personal. Se contrata con una empresa especializada la adquisición temporal de profesionales técnicos especializados.
• Subcontratación de centros de respaldo. Instalaciones que permiten recuperar los datos o reemplazar a las infraestructuras propias en caso de ataque.

Además, se pueden subcontratar diferentes servicios para analizar el grado de protección de la organización. Algunos de los más habituales son las pruebas de penetración (mediante las cuales se simula un ataque para descubrir vulnerabilidades) o las auditorías externas, encaminadas a identificar riesgos y amenazas y a desarrollar medidas para mitigarlos.

Ventajas y desventajas de subcontratar la ciberseguridad en la empresa

Ninguna estrategia está exenta de riesgos y la subcontratación de los servicios de ciberseguridad no es una excepción. En este caso, los riesgos están relacionados con la dependencia de terceros (mayores tiempos de respuesta, horarios del servicio), la confidencialidad de los datos y el cumplimiento de la normativa en materia y la dificultad para adquirir experiencia y conocimiento técnico en la empresa.

En cuanto a las ventajas, según el INCIBE, existen cinco claros puntos fuertes para subcontratar la ciberseguridad de una organización:

• Especialización y calidad. En la mayoría de los casos, es posible acceder a niveles de experticia y calidad mucho mayores de lo que la empresa sería capaz de proporcionar con recursos internos. Los profesionales de las compañías de ciberseguridad no solo cuentan con el conocimiento técnico, sino que están al día en cuanto a tendencias emergentes.
• Reducción de costes. Es el gran argumento para apostar por la subcontratación. Los costes son siempre más bajos que si tenemos que hacer frente a una inversión en infraestructura y talento propio, sobre todo, porque nos permite acceder a servicios adaptados a las necesidades reales de la organización.
• Actualización y menor impacto por la obsolescencia. La relación entre tecnología y ciberseguridad es muy estrecha. Mantener las infraestructuras actualizadas es clave para minimizar los riesgos en un panorama complejo en constante cambio.
• Atención a los procesos de negocio. Los servicios de ciberseguridad son transversales y afectan a todas las operaciones de la organización. Externalizarlos y dejarlos en manos de una empresa especializada permite a la organización dirigir todos sus recursos hacia los procesos de negocio.
• Ampliar o reducir la capacidad y las funciones de la estrategia de ciberseguridad es complicado si se depende de infraestructura y talento interno. Sin embargo, la externalización permite adaptar los servicios sobre la marcha a medida que cambien las necesidades de la compañía.

Cada organización debe analizar la conveniencia de subcontratar los servicios de ciberseguridad en función de sus capacidades internas y los riesgos de su actividad. A la hora de afrontar un cambio de estrategia o incluso construir una desde cero, el primer paso siempre debe ser empezar por una auditoría (externa o interna) que nos lleve a identificar las vulnerabilidades y las necesidades de la organización, y a partir de la cual tomar decisiones basadas en información objetiva.