.jpg)
Dos termes o conceptes que, aparentment semblen ser i significar el mateix, però que tenen matisacions que allotgen les seves subtils diferències, depenent del punt de vista i del model de gestió per l'empresa hagi apostat.
La gestió de la ciberseguretat consisteix en un model de protecció determinat per l'estratègia integral d'una organització, amb la finalitat de protegir tots els seus sistemes, infraestructura, dades i actius d'informació contra riscos i amenaces (contra ciberriscos i ciberamenaces).
Això implica un procés complet i reiteratiu de revisió, recollida de necessitats, determinació dabast, definició, planificació, implementació, test, supervisió i millora contínua de polítiques, procediments, eines, serveis, solucions i tecnologies de ciberseguretat.
La seguretat gestionada, efectivament, sembla que és el mateix, entesa com un model de maneig de la ciberseguretat, centrat a oferir també protecció integral als sistemes i dades de l'organització.
Aleshores, són el mateix, o només ho sembla? A priori, sí, són el mateix, pel fet que comparteixen els mateixos objectius. Tot i això, quan parlem de “seguretat gestionada” com a tal, entenem alguna cosa més que no forma part de la gestió de la seguretat: la < b>subcontractació d'algunes, o totes, les tasques de ciberseguretat, a proveïdors externs experts (en general a ciberseguretat i/ o en particular especialitzats en determinats aspectes).
És a dir, el matís diferencial rau que quan parlem de ciberseguretat gestionada parlem que l'organització no s'encarrega de la seva pròpia ciberseguretat, sinó que ho fa un tercer , mentre que, quan parlem de la gestió de la ciberseguretat, en la immensa majoria dels casos, l'organització és la que s'encarrega de la seva pròpia ciberseguretat , parcialment o íntegrament i amb suport parcial, o no, de tercers.
Potser això es pot entendre millor posant-nos en la situació en què preguntem a una empresa coses com: “I, vosaltres, quin model de gestió de la ciberseguretat seguiu?”, o “Qui s'encarrega de la gestió de la vostra ciberseguretat?”. Potser aquesta és la clau diferencial, el Model de Gestió de la Ciberseguretat que es duu a terme, intern (Departament d'IT i especialistes en la matèria que són plantilla de l'empresa), o extern (contractació de col·laboradors, subcontractació, outsourcing).
La gestió de la ciberseguretat per part de l'organització posa a les mans el control directe sobre les polítiques i processos de ciberseguretat, adaptant-los a les necessitats específiques, encara que suposi un major esforç i cost en termes de recursos interns especialitzats i formació contínua.
La ciberseguretat gestionada delega aquesta responsabilitat i control en l'experiència especialitzada de proveïdors externs, reduint la càrrega de treball de l'equip intern i sent més rendible, encara que generi dependència i limiti la capacitat de personalització. Els proveïdors de serveis de ciberseguretat gestionada ofereixen a més monitorització en temps real, detecció d'amenaces, resposta a incidents i assessorament expert, entre altres "pluses” addicionals.
Per descomptat, és perfectament viable (i fins i tot apropiat i sa moltes vegades si és viable) la convivència dels dos models en un Model Mixt o Model Híbrid, on l'organització decideix vincular determinats aspectes de la seva ciberseguretat a un tercer (o diversos), mentre que altres es tracten internament per les raons que sigui.
Quina és millor? Quin dels tres models de gestió és el més apropiat, eficient i rendible? Dependrà de cada cas, de cada empresa, de les seves necessitats, de la seva sensibilitat cap a la delegació, del seu core business, del seu sector, de la seva dimensió, dels seus recursos, dels seus objectius, dels clients o tipus de clients, de si es tracta d'una empresa amb productes, serveis o activitats crítiques o no, de les finances, dels inversors, del consell.
Internalitzar brinda més control i adaptabilitat, però pot ser costós i requerir una inversió significativa en talent especialitzat.
Externalitzar pot ser més ràpid, eficient i rendible i proporcionar accés a coneixements especialitzats, però implica una dependència externa i una possible manca d'adaptabilitat.
Per aquest motiu, en la majoria de les ocasions, la millor opció generalment és un enfocament mixt que mantingui la gestió de ciberseguretat internament, comptant alhora amb serveis gestionats de ciberseguretat externs.
La gestió interna de la ciberseguretat (internalitzar) té els seus avantatges:
- Control intern on l'empresa té directament les regnes de les estratègies i mesures de ciberseguretat implementades.
- Adaptabilitat, ja que permet una major flexibilitat i personalització a les necessitats i característiques especials de l'empresa a causa del know-how o coneixement intern de l'organització.
- Know-how o coneixement intern, que permet desenvolupar coneixements especialitzats (knowledge) dins de l'organització.
Però, la gestió interna de la ciberseguretat (internalitzar), també té els seus desavantatges:
- Major esforç per a l'empresa, en termes de organització, capacitat, processos, temps > i recursos (amb el seu dimensionament, gestió i formació).
- Cost i inversió elevada en comparació del model alternatiu, ja que requereix de la cerca contractació de talent especialitzat, la incentivació que eviti fuita de talent , les tecnologies i solucions adoptades i el reciclatge, capacitació o formació contínua especialitzada del personal esmentat.
- Limitacions en l'accés a recursos especialitzats que poden interferir en la captació d'experts i especialistes per part d'empreses de recursos mitjanes, petites, o amb poc pressupost.
- Complexitat per mantenir-se al dia com per ser capaços de protegir eficientment a causa de l'aclaparador volum diari de noves amenaces emergents, noves tècniques, la infinitat de vectors d'atac, tendències, noves vulnerabilitats, pegats i actualitzacions de seguretat que aplicar, etc.
Per la seva banda, la ciberseguretat gestionada compta amb els següents avantatges:
- Pot ser més ràpid, eficient i rendible.
- Capacitat de delegació d'activitat i responsabilitat que redueix la càrrega de treball de l'equip intern d'IT, o el allibera de tasques, permetent focalitzar-se en les que sí que han d'atendre.
- Reducció de costos en comparació del manteniment d'un equip intern d'experts i especialistes o l'assumpció de part d'aquestes tasques per l'equip IT sense capacitat ni coneixements específics.
- Accés a experts i especialistes que no sempre es pot arribar a assolir amb la gestió interna.
- Accés a coneixements especialitzats que provenen de l'acompanyament, el servei i el suport de veritables experts.
- Proactivitat que ve de la mà del coneixement expert i de consistir en un servei monitoritzat, gairebé sempre en 24x7.
Tot i que, la ciberseguretat gestionada, també té els seus desavantatges:
- Dependència externa, deguda al grau de delegació i confiança en un tercer per a la seva ciberseguretat.
- Pèrdua de control per part de l'empresa en deixar-ho tot, o part, en mans d'un tercer.
- Possible perill, afeccions o atacs focalitzats a la cadena de subministrament (terceres parts) que poden arribar a suposar i derivar en problemes de ciberseguretat, privadesa i confidencialitat a l'organització.
- Incompliment normatiu o legal que afecti l'organització i es tradueixi en problemes de reputació, sancions, o multes, quan el proveïdor no compta amb una determinada certificació, o fins i tot quan compta amb ella pitjor es produeix algun incompliment puntual.
- Possible manca de flexibilitat, adaptabilitat i limitació en les personalitzacions en tractar-se de personal extern qui gestiona, sense el 100% del coneixement de l'organització, accessos, permisos i aspectes inherents a serveis gestionats concrets de tercers, els seus característiques i les eines que aquests emprin.
- Possible manca de coordinació i alineació, en no conèixer o comprendre perfectament el proveïdor els processos o operacions internes.
En resum, la gestió de la ciberseguretat ofereix control intern i adaptabilitat, però sovint amb més costos i desafiaments quant a recursos, mentre que la ciberseguretat gestionada ofereix accés a experts i enfocament proactiu, però podria implicar dependència externa i limitacions de personalització.
L'elecció entre tots dos models dependrà de les necessitats, els recursos i la tolerància al risc de cada empresa.
I, tu, per quina et decantes per a la teva empresa?
Potser necessiteu l'ajuda de serveis professionals de ciberseguretat com els que oferim a Zerolynx: Serveis de Ciberseguretat.
Si ho prefereixes, contacta'ns i parlem.
Íñigo Ladrón Morales, Redactor de contenidos para Zerolynx.
