¿La externalización de servicios de infraestructura reduce el riesgo (y mejora la seguridad)?

2

He estado en una patada mencionando a clientes en particular para que dejen de administrar sus propios DNS, correo electrónico, plataforma de blogging, configuración de transferencia de archivos, etc. Esto se debe a observar lo pobres que son para practicar una buena defensa (por ejemplo, aplicar rápidamente parches de seguridad). y la maduración de los proveedores conscientes de la seguridad.

Mi conjetura es que para empresas inmaduras de seguridad es mejor subcontratar a usuarios como:

  

enlace para dns
enlace para la transferencia segura de archivos
enlace para blogging
enlace para aceptar pagos
  ... y muchos más

Sigo creyendo que la información confidencial se mantiene mejor dentro de la empresa (por ejemplo, el código fuente), de nuevo depende de las capacidades de la organización. Pero también digo que es mejor dejar que el servidor de los otros muchachos se haga estallar en lugar de que usted tenga que bloquear el movimiento lateral de un atacante dentro de su red.

Por lo que he visto recientemente, muchos proveedores de SaaS juegan una mejor defensa (morirán si tienen demasiados incidentes de seguridad).

    
pregunta Tate Hansen 21.11.2010 - 07:35
fuente

4 respuestas

2

Asumiendo que el título es la pregunta, entonces, como ha notado, la respuesta depende. Si la empresa no tiene los recursos o la experiencia para abordar los riesgos asociados con el alojamiento de su propia infraestructura, la subcontratación es el enfoque de menor riesgo. Por supuesto, la subcontratación conlleva sus propios riesgos, que solo pueden mitigarse financieramente a través de acuerdos de nivel de servicio.

Por cierto, en cuanto al tema del código fuente, incluso lo subcontrato para mi propio código (el cliente tiene alojado el código del cliente o lo mantiene interno). Para mí, el riesgo parece bajo, pero como pequeña empresa, la recompensa en tiempo y esfuerzo ahorrado es sustancial.

    
respondido por el user185 21.11.2010 - 10:24
fuente
3

La subcontratación, ya sea a proveedores de servicios administrados, desarrolladores u otros terceros, debe estar estructurada de tal manera que le permita acceder a la misma información de gestión e informes que habría tenido si hubiera mantenido el servicio en casa. Esto podría incluir resultados de pruebas de seguridad, alertas y estadísticas de eventos, etc.

Como se mencionó, estos requisitos DEBEN estar escritos en contratos de terceros, de lo contrario los proveedores tienen muy poca motivación para incluirlos.

ISF han estado trabajando para desarrollar un estándar en torno a la garantía de terceros y la Organización Internacional de Normalización acaba de aceptar el borrador, una vez publicado Esto le dará una guía útil.

    
respondido por el Rory Alsop 25.11.2010 - 17:37
fuente
2

Como mencionó @Graham, la subcontratación tiene sus propios riesgos. Y los riesgos existentes no se han ido, solo se han reducido.

Entonces, la pregunta es, ¿considera que transferencia de riesgos es mejor?
No te estás deshaciendo del riesgo, solo lo estás empujando a otra persona para que lo maneje.
¿Eso es bueno para ti? Se trata realmente de factores de negocio y riesgo.

Por cierto, cuestionaría su suposición de que los proveedores externos harían esto mejor que en casa, pero como ya mencionó, depende de las capacidades de la organización.

    
respondido por el AviD 21.11.2010 - 11:43
fuente
1

Desde una perspectiva empresarial, las startups siempre deben subcontratar tanto como sea posible. Incluso si pueden administrar mejor su propia infraestructura, deberían centrarse en su negocio de inicio y ahora en la infraestructura de red. Además, poseer su infraestructura es una gran inversión: el dinero se invierte mejor en su inicio. El alquiler es mucho más barato en el corto plazo.

Dicho esto, a largo plazo, las empresas tienden a atraer más funciones de TI de manera interna. Muchas empresas de subcontratación son "talleres de carrocería" con una rotación constante de empleados, pocas de las cuales duran más de un año. Después de una evaluación de prueba o seguridad, nuestros clientes encuentran muchos problemas con las empresas subcontratadas que hacen que quieran traer más cosas de manera interna.

    
respondido por el Robert David Graham 22.04.2012 - 09:23
fuente

Lea otras preguntas en las etiquetas