Universidad Tecnológica de Honduras

Tarea 5
Segundo Parcial

Informática Aplicada

Catedrático;
Dra. Ana Posadas

Alumno;
Ramón Edgardo Trochez Fúnez
238103036

Santa Bárbara, Santa Bárbara 06 de Marzo del 2019

 SEGURIDAD EN SISTEMAS DE INFORMACION

Que es mejor subcontratar seguridad o mantener la función de seguridad dentro

de la firma Es mejor subcontratar seguridad

FIRMAS QUE OFRECEN SERVICIOS DE SUBCONTRATACION DE

SEGURIDAD COMPUTACIONAL NET SECURE

servicios: detección de la problemática del cliente reingeniería desarrollo de la

solución aprovisionamiento de hardware y software instalación y puesta en marcha
mantenimiento preventivo correctivo. Monitoreo administración y capacitación.

GRACIAS PORQUE SUBCONTRATAR LA SEGURIDAD DE RED

Cada vez más empresas subcontratan la seguridad de red, esta tendencia se rige
por una obviedad no existe otra manera de afrontar la escasez de expertos
especializados en seguridad informática, la mayor necesidad de que las empresas
abran sus redes y el entorno de amenazas cada vez más peligrosa, para que
internet tenga éxito, como herramienta empresarial, es necesario ampliar la
seguridad la subcontratación es la manera de lograrlo y indudablemente es más
barata y eficaz. Ventajas de subcontratación de seguridad computacional
el costo mensual es mínimo comparado con el gasto que se pudiera tener en caso
de que la empresa quisiera comprar el equipo para tener el servicio

facilidad de uso y administración, no es necesario contar con un administrador de

redes, ni de seguridad para poder dar el servicio a la empresa no se necesitan
licencias para poder usar el software, solamente pagar la cuota mensual no se
necesita contar con una infraestructura tecnológica proporciona compartición de
información OLIMPIA
servicios: diagnóstico de seguridad consultoría en clasificación de la información
sensible consultoría para la protección de datos consultoría para la prevención de
fuga de información consultoría en protección de BD consultoría para el análisis de
roles servicio de escaneo de vulnerabilidades pruebas de penetración ETHICAL
HACKING
Transcripción de Subcontratación de seguridad computacional
SERVICIOS QUE OFRECE
La tecnología ha tenido una gran importancia en el proceso histórico de la evolución
empresarial generando ventajas competitivas y permitiéndoles ahorrar grandes
cantidades de dinero mediante la subcontratación de servicios tecnológicos.

 Gestión de cumplimiento
  Evaluación de riesgos
 PCI Compílense
 Educación Security Awareness

Gestión de Vulnerabilidad
 Pruebas de Seguridad Gestionada
 Gestionado Firewall de Aplicaciones Web
 Análisis de bases y Big Data
 Escaneo de aplicaciones
 Análisis de vulnerabilidades de red

 Servicios de Gestión de Amenazas

 Análisis de Amenazas Gestionado
 Gestionado SIEM
 Gestionado Anti-Malware
 Control de Acceso a la Red Managed
 Gestionado Email Security
 UTM Gestionado
 Cifrado Gestionado

Subcontratación de seguridad computacional

Trustwave es un proveedor líder de seguridad de la información y soluciones de
administración de cumplimiento de políticas para compañías grandes o pequeñas
alrededor del mundo.

Analiza, protege y valida la infraestructura de administración de datos de las

organizaciones. Desde la capa de red hasta la de aplicación, asegura la protección
de la información y cumplimiento con los estándares de la industria y regulaciones
como PCI DSS e ISP 27002, entre otras. https://www.trustwave.com

 Gestionada autenticación de dos factores

 Gestionado Endpoint Protection
 IDS / IPS Gestionados
 Gestionado Protección DDoS
 Gestión de Firewall
 Preparación y Respuesta de Incidentes
 Gestión de certificados SSL
Justificación
La elección de este proveedor es porque proporciona una seguridad completa
integrada gracias a la gran variedad de servicios que ofrece, los cuales difícilmente
encuentras con otros proveedores.
De igual manera es una excelente opción por la gran flexibilidad que da para
adaptarse a la empresa, trayendo consigo grandes ahorros económicos.

Ventajas de subcontratar servicios de ciberseguridad.

Especialización y calidad.
Al externalizar los servicios TIC, en general, y los relativos a la ciberseguridad, en
particular, se persigue obtener unos servicios de calidad superior a la que seríamos
capaces de ofrecer valiéndonos de los recursos propios. El incremento en la calidad
se debe principalmente a que en la provisión del servicio intervienen profesionales
expertos en una materia determinada y, a su vez, el proveedor dispone de recursos
específicos y adecuados para proporcionar el servicio. Esto es especialmente
importante cuando se trata de servicios de ciberseguridad ya que es fundamental
conocer las tendencias de las amenazas y riesgos de la seguridad para actuar en
consecuencia.
Reducción de costes.
Uno de los argumentos más frecuentes a la hora de subcontratar servicios de
ciberseguridad tiene que ver con la reducción de costes. Por norma general, resulta
más económico obtener un servicio experto por parte de terceros que adquirir los
recursos necesarios para proveer internamente dicho servicio. Por ejemplo,
imaginemos que vamos a potenciar nuestro negocio a través de la creación de un
portal para la venta online y nos encontramos en la necesidad de llevar a cabo una
auditoría técnica de seguridad sobre dicho portal. En este caso, nos resulta más
conveniente subcontratar dicha auditoría que preparar todo lo necesario para que
sea un miembro de nuestra organización quien lleve a cabo los trabajos descritos.
Menor impacto por la obsolescencia.
Los servicios de ciberseguridad guardan una fuerte y estrecha relación con la
tecnología. En los últimos tiempos ésta avanza y evoluciona a un ritmo vertiginoso
lo que hace que las infraestructuras queden obsoletas rápidamente. Al externalizar
los servicios de ciberseguridad se reduce considerablemente el impacto derivado
de la obsolescencia. Por ejemplo, imaginemos que en el desarrollo de nuestro plan
de continuidad de negocio optamos una solución de alta disponibilidad que requiera
la existencia de un Centro de Proceso de Datos (CPD) de respaldo. Para ello, puede
ser recomendable externalizar el servicio de respaldo en lugar de adquirir los
equipos y construir un segundo CPD en nuestras instalaciones. No entramos a
valorar otras cuestiones igualmente importantes como la conveniencia de que un
CPD de respaldo no esté físicamente próximo al CPD principal.
Atención a los procesos de negocio.
Por norma general, los servicios TIC son servicios que soportan los procesos de
negocio de la organización, pero no son en sí mismos el objetivo de esta. Esto es
igualmente aplicable a los servicios de ciberseguridad, a los que podemos
considerar servicios transversales. Por ejemplo, un servicio para la detección,
atención y respuesta ante ciberataques dirigidos contra nuestra página web
corporativa puede aportar gran valor para nuestra organización evitando
interrupciones en nuestros procesos de comercio online. Sin embargo, aunque este
servicio sea importante, nuestros procesos clave serán de otra naturaleza, como,
por ejemplo, la fabricación de electrodomésticos, servicios de hostelería, etc. La
externalización de estos servicios permite a una organización prestar mayor
atención a sus procesos de negocio.
Flexibilidad.
Es más sencillo adaptar un servicio externalizado ampliando su alcance,
funcionalidad, incrementando la capacidad, etc. que reorganizar la propia empresa.
Por ejemplo, imaginemos que disponemos de un servicio externo para el análisis
del tráfico que circula desde nuestra red corporativa a Internet y, tras una fusión de
compañías, estamos interesados en ampliar el alcance para que incluya las
comunicaciones de la nueva infraestructura. Ante esta situación, únicamente cabría
solicitar una ampliación del servicio al proveedor externo. Si por el contrario
fuéramos nosotros quienes llevaran a cabo el servicio descrito con recursos propios,
necesitaríamos adquirir nuevos sistemas, herramientas, etc. siendo más
complicado adaptarnos a los cambios de nuestra compañía.

Inconvenientes de subcontratar servicios de ciberseguridad.

Dependencia de terceros.
Al externalizar servicios estamos generando dependencias con proveedores. Esto
puede tener implicaciones negativas desde el punto de vista de la seguridad de la
información en cuestiones tan importantes como la continuidad de negocio. En este
sentido, la interrupción del servicio podría tener graves implicaciones para la
actividad de nuestra empresa. También en esta línea, será necesario adaptar
nuestros planes de recuperación para que contemplen el papel que jugará nuestro
proveedor y se establezcan los protocolos de comunicación para coordinar la
recuperación de los servicios en caso de que fuera necesario.
Contacto con el cliente final.
Si se externaliza un servicio dirigido al cliente, se pierde la comunicación directa con
estos. Esto puede suponer un problema ya que corremos el riesgo de no recibir el
feedback, opiniones, quejas y sugerencias que son de gran valor para poder
mantener los clientes, mejorar la provisión del servicio e incrementar la seguridad
en nuestra empresa. Por ejemplo, imaginemos que nuestra empresa dispone de un
servicio consistente en una herramienta online para la administración de fincas. Si
externalizamos un servicio cuyo objetivo es atender a los incidentes de seguridad
que tengan los clientes de nuestra plataforma online, podemos perder información
de gran valor relativa a la usabilidad de nuestra herramienta, propuesta de nuevas
funcionalidades o simplemente información acerca del grado de satisfacción del
cliente.
Acceso a la información corporativa.
Es probable que el proveedor tenga acceso (o potencial acceso) a información de
nuestra empresa, incluso que maneje nuestra información corporativa con sus
sistemas propios sistemas ubicados en instalaciones externas. En esta situación, la
seguridad de nuestra información dependerá de las medidas de seguridad que haya
implantado nuestro proveedor. Derivado de esta situación, existe un riesgo potencial
de que se produzcan fugas de información cuyo origen sea nuestro proveedor.
Potencial pérdida de control sobre el servicio.
Al delegar la provisión de un servicio de ciberseguridad en un proveedor, perdemos
el control directo sobre dicho servicio. Es posible pensar que no han ocurrido
incidentes cuando en realidad lo que ocurre es que no hemos sido informados de
ello. Esto puede ocasionar que tengamos una percepción errónea sobre el estado
del mismo.
Know-how en manos del proveedor.
Durante la provisión del servicio se genera conocimiento que es de gran valor tanto
para quien realiza la provisión del servicio como para quien lo recibe. Dentro de este
conocimiento se incluye información relativa a la resolución de incidencias,
problemas, oportunidades de mejora, cuestiones para la optimización del
rendimiento, etc. por norma general, es el proveedor del servicio quien tiene acceso
directo a esta información y, por lo tanto, si externalizamos la prestación del servicio
de ciberseguridad corremos el riesgo de perder dicho conocimiento. Tal y como
cabe esperar, la información sobre el estado de seguridad de nuestra empresa tiene
una gran importancia para la continuidad de las operaciones. Pensemos sobre qué
ocurriría si salieran a la luz vulnerabilidades de nuestros sistemas de información
que pudieran ser aprovechadas por la competencia y/o simplemente explotados con
fines delictivos.
Externalizar o no externalizar, esa es la cuestión.
Tal y como hemos podido comprobar, son muchos beneficios que podemos obtener
a través de la externalización de servicios de ciberseguridad, pero a su vez, esta
práctica conlleva una serie de riesgos que pueden acarrear graves consecuencias
para nuestra organización, sino somos capaces de gestionarlos de manera
adecuada.
La conveniencia de externalizar un servicio de ciberseguridad es una cuestión que
se debe analizar individualmente en cada organización ya que depende de múltiples
factores. Por lo tanto, os recomendamos que valoréis cada caso particular y, si
optáis por externalizar, sigáis las buenas prácticas para la contratación de servicios
TIC (Enlace al artículo “Política de contratación segura de servicios TIC”).