¿La externalización de servicios de infraestructura reduce el riesgo (y mejora la seguridad)?

Asumiendo que el título es la pregunta, entonces, como ha notado, la respuesta depende. Si la empresa no tiene los recursos o la experiencia para abordar los riesgos asociados con el alojamiento de su propia infraestructura, la subcontratación es el enfoque de menor riesgo. Por supuesto, la subcontratación conlleva sus propios riesgos, que solo pueden mitigarse financieramente a través de acuerdos de nivel de servicio.

Por cierto, en cuanto al tema del código fuente, incluso lo subcontrato para mi propio código (el cliente tiene alojado el código del cliente o lo mantiene interno). Para mí, el riesgo parece bajo, pero como pequeña empresa, la recompensa en tiempo y esfuerzo ahorrado es sustancial.

La subcontratación, ya sea a proveedores de servicios administrados, desarrolladores u otros terceros, debe estar estructurada de tal manera que le permita acceder a la misma información de gestión e informes que habría tenido si hubiera mantenido el servicio en casa. Esto podría incluir resultados de pruebas de seguridad, alertas y estadísticas de eventos, etc.

Como se mencionó, estos requisitos DEBEN estar escritos en contratos de terceros, de lo contrario los proveedores tienen muy poca motivación para incluirlos.

ISF han estado trabajando para desarrollar un estándar en torno a la garantía de terceros y la Organización Internacional de Normalización acaba de aceptar el borrador, una vez publicado Esto le dará una guía útil.

Como mencionó @Graham, la subcontratación tiene sus propios riesgos. Y los riesgos existentes no se han ido, solo se han reducido.

Entonces, la pregunta es, ¿considera que transferencia de riesgos es mejor?
No te estás deshaciendo del riesgo, solo lo estás empujando a otra persona para que lo maneje.
¿Eso es bueno para ti? Se trata realmente de factores de negocio y riesgo.

Por cierto, cuestionaría su suposición de que los proveedores externos harían esto mejor que en casa, pero como ya mencionó, depende de las capacidades de la organización.

Desde una perspectiva empresarial, las startups siempre deben subcontratar tanto como sea posible. Incluso si pueden administrar mejor su propia infraestructura, deberían centrarse en su negocio de inicio y ahora en la infraestructura de red. Además, poseer su infraestructura es una gran inversión: el dinero se invierte mejor en su inicio. El alquiler es mucho más barato en el corto plazo.

Dicho esto, a largo plazo, las empresas tienden a atraer más funciones de TI de manera interna. Muchas empresas de subcontratación son "talleres de carrocería" con una rotación constante de empleados, pocas de las cuales duran más de un año. Después de una evaluación de prueba o seguridad, nuestros clientes encuentran muchos problemas con las empresas subcontratadas que hacen que quieran traer más cosas de manera interna.