Ante el aumento de ciberataques y brechas de seguridad registrado en 2020, cada vez más empresas apuestan por reforzar su ciberseguridad. Una vez tomada la decisión, una de las primeras preguntas que surgen es si apostar por mejorar las defensas con recursos internos y la adquisición de nuevo talento o inclinarse por subcontratar la ciberseguridad por completo o parcialmente.
Cada una de estas opciones tiene sus ventajas y sus inconvenientes. Lo único que está claro es que descuidar la ciberseguridad de la organización no es una posibilidad. Los ciberriesgos son cada vez más y más complejos. Solo durante los tres primeros meses de 2020, IBM detectó un detectado un incremento global del 40% en la cantidad de ciberataques. Y un informe posterior de la Interpol señala que, durante el mismo periodo de tiempo, los ataques por registros malicioso, incluyendo malware y phishing, habían aumentado un 569%.
Aunque el término ciberseguridad nos lleve directamente a pensar en un antivirus, el concepto engloba, en realidad, una gran multitud de barreras y medidas encaminadas a proteger las infraestructuras informáticas de una organización, la información que almacenan y, sobre todo, la continuidad del negocio.
A nivel físico, hablamos de seguridad de hardware (la protección más robusta, que ofrecen, por ejemplo, cortafuegos o proxys), seguridad de software (que implica tanto los programas de protección como el diseño y la actualización del software de la empresa) y la seguridad de red. Además, tal como recoge el informe Panorama actual de la Ciberseguridad en España del observatorio OSPI, también son importantes las medidas encaminadas a reforzar la cultura de ciberseguridad entre los empleados y aquellas dirigidas a contar con sistemas de respaldo o backup que protejan la continuidad del negocio.
A la hora de subcontratar la ciberseguridad de la empresa no se trata de elegir entre todo o nada. De acuerdo con el Instituto Nacional de Ciberseguridad (INCIBE), podemos optar por diferentes tipos de servicios:
Además, se pueden subcontratar diferentes servicios para analizar el grado de protección de la organización. Algunos de los más habituales son las pruebas de penetración (mediante las cuales se simula un ataque para descubrir vulnerabilidades) o las auditorías externas, encaminadas a identificar riesgos y amenazas y a desarrollar medidas para mitigarlos.
Ninguna estrategia está exenta de riesgos y la subcontratación de los servicios de ciberseguridad no es una excepción. En este caso, los riesgos están relacionados con la dependencia de terceros (mayores tiempos de respuesta, horarios del servicio), la confidencialidad de los datos y el cumplimiento de la normativa en materia y la dificultad para adquirir experiencia y conocimiento técnico en la empresa.
En cuanto a las ventajas, según el INCIBE, existen cinco claros puntos fuertes para subcontratar la ciberseguridad de una organización:
Cada organización debe analizar la conveniencia de subcontratar los servicios de ciberseguridad en función de sus capacidades internas y los riesgos de su actividad. A la hora de afrontar un cambio de estrategia o incluso construir una desde cero, el primer paso siempre debe ser empezar por una auditoría (externa o interna) que nos lleve a identificar las vulnerabilidades y las necesidades de la organización, y a partir de la cual tomar decisiones basadas en información objetiva.