Llegamos a ustedes gracias a:



Noticias

Ousourcing de seguridad TI en declive

[28/10/2009] La peor recesión económica en décadas ha empujado a más compañías a gastar menos en servicios de seguridad outsourceados y hacer más in house, de acuerdo a la séptima encuesta anual Global Information Security, que las revistas CSO y CIO realizan junto con PricewaterhouseCoopers.

Uno 7.200 ejecutivos de negocios y tecnologías a nivel mundial de una variedad de industrias -incluyendo gobierno, cuidados de la salud, servicios financieros y retail- respondieron a las preguntas.
Hace unos cuantos años, los analistas de tecnología predecían un crecimiento ilimitado para los proveedores de servicios de seguridad (MSSP, por sus siglas en inglés). Muchas compañías veían entonces la seguridad como un concepto externo, pero las leyes tales como la Sarbanes-Oxley, la Health Insurance Portability and Accountability Act (HIPAA) y la Gramm-Leach-Bliley Act (que afecta los servicios financieros) las forzaron a abordar los temas de defensa ante intrusiones, administración de parches, y administración del encriptamiento y los logs. Convencidas de que no podían hacerlo solas, las compañías escogieron outsourcers que lo hicieran por ellas. Gartner estimó que solo el mercado de MSSP en Norteamérica alcanzaría los 900 millones de dólares en el 2004 y que esa cifra crecería un 18% para el 2008.
Luego llegó el tsunami económico, que parece haber puesto una sombra sobre los planes de outsourcing, a pesar de que los presupuestos de seguridad se mantenían firmes. Aunque el 31% de los encuestados este año se basan en outsiders para ayudarlos a administrar las funciones de seguridad del día a día, solo el 18% afirmó que planeaba hacer del outsourcing una prioridad en los siguientes 12 meses.
Cuando se trata de funciones específicas, este cambio ya ha comenzado. El año pasado, el 30% de los encuestado señaló que estaban haciendo outsourcing de la administración de los firewalls de aplicaciones, en comparación con el 16% de hoy. Los encuestados citaron reducciones similares en el outsourcing de la red y de los firewalls de usuario final. Las compañías también han recortado en temas como en el outsourcing de la administración del encriptamiento y la administración de parches.
Al mismo tiempo, más compañías están gastando dinero en éstas y otras funciones de seguridad. El 69% afirmó que estaban presupuestando para firewalls para aplicaciones, un poco más en comparación con los pasados dos años. Mientras tanto, más de la mitad de los encuestados sostuvieron que estaban invirtiendo en encriptamiento para laptops y otros dispositivos de computación.
Los resultados sorprendieron a Mark Lobel, socio de prácticas de seguridad de PricewaterhouseCoopers. Cuando uno piensa lógicamente en esto, algunas organizaciones TI tienen los recursos y madurez para administrar sus sistemas operativos y parches, pero muchas no los tienen, observa. Afortunadamente, los números simplemente significan que los compradores de TI han madurado más en su entendimiento de la seguridad.
Miguel López, profesional de la seguridad TI en Los Ángeles, que ha trabajado para compañías como MSC Software y Stamps.com, observó una tendencia marcada hacia menos outsourcing en MSC (dejó la compañía durante este año).
La empresa está haciendo cada menos outsourcing. Se debe mayormente a las condiciones económicas más que cualquier cosa, afirma. Estaban viendo donde se podían reducir o eliminar costos. También escuché de algunos amigos en otras compañías que la tendencia es hacia hacer más con el personal interno.
Peter Hillier, director de seguridad TI e CMA Holdings de Ottawa, considera que hay tres factores que están liderando el camino hacia la seguridad in house:
1. Las organizaciones se han hecho más adeptas al hágalo usted mismo en seguridad, incluso antes de hacer outsourcing, señala Hillier, lo han hecho antes que el outsourcing de seguridad en primer lugar.
2. El crecimiento de SIM/SIEM ha sido tan bueno para el insourcer como para el outsourcer. Si puedes hacer más con menos, entonces ¿por qué pagar a alguien más por hacerlo?, se pregunta.
3. La economía es un factor, como otros han señalado.
Charles Beard, vicepresidente senior y chief information officer de Science Applications International Corp. (SAIC), señala que sin importar los factores de las decisiones de gasto, las compañías deberían entender sus estrategias específicas de seguridad y dónde es que los proveedores de seguridad administrada pueden ofrecer un valor único. Los buenos ejecutivos de negocios entienden que deben mantener el control del panorama en todo momento, incluso si un tercero está administrando varias de las palancas. Es esencial mantener un ojo abierto sobre los proveedores de servicios de seguridad y sobre los riesgos que están encontrando. Los CIO y los ejecutivos de seguridad deben hacer outsourcing de ciertas funciones en varios grados, pero nunca deben hacer outsourcing de su responsabilidad, aconseja Beard.
Bill Brenner, CSO (US