68
Seguridad de la Información en Defensa
Externalización en Defensa
MÁS ALLÁ DE BUSCAR EL ENCAJE EN UN MODELO PREDEFINIDO, LA ORGANIZACIÓN DEBE CONSTRUIR SU MOLDE Y EXIGIR EN EL MERCADO LA PERSONALIZACIÓN QUE LE CORRESPONDE
Natalie Dahan
RESPONSABLE DE DESARROLLO DE NEGOCIO DE SEGURIDAD GMV
En el caso del Ministerio de Defensa podría ser sensato pensar que la actividad de “negocio” principal va embebida en el propio nombre de la organización: defensa. Y en este punto sería interesante preguntarse: ¿puede haber defensa sin seguridad? Choca contra el sentido común que un concepto exista sin el otro. Tampoco parece muy apropiado
Sin embargo, no es todo como parece, y a menudo un mal resultado es consecuencia de un mal principio. Cuando se trata de “negocio” entre el blanco y el negro existe una amplia gama de grises con los que la organización puede trabajar para combinar lo mejor de “dentro” con lo mejor de “fuera”. En este sentido cada organización debe analizar y estudiar los procesos que tenga sentido externalizar. Más allá de buscar el encaje en un modelo predefinido, la organización debe construir su molde y exigir en el mercado la personalización que le corresponde. En el caso del Ministerio de Defensa la externalización de servicios de seguridad (ahora sí hablando en términos de sistemas de información) puede ser una vía para optimizar la estructura de la organización consiguiendo que sea más ágil y flexible. Aunando ventajas genéricas de la estrategia de externalización,
E
xternalizar, subcontratar o hacer outsourcing son tres maneras de definir el proceso
distinguir entre defender a otros y
por el que una organización cede, a través de una relación contractual, una porción o área de su negocio a otra empresa. El objetivo, mucho antes de que la externalización de los sistemas de información se planteara como una realidad más a partir de los 90, consistía en subcontratar áreas no estratégicas de negocio: limpieza, transporte, servicio de comedores, etc., sectores, generalmente, de poco valor para el negocio. Adoptar una estrategia de externalización era y todavía es en muchas organizaciones sinónimo de optar por aquello de “zapatero a tus zapatos” y dejar que otros se ocupen de lo que no se considere de “valor” para la actividad principal de la organización. Este enfoque requiere por lo tanto de un ejercicio crucial antes de realizar la inmersión en un proceso de externalización que consiste en definir hasta dónde alcanza el “negocio” y qué actividades se consideran de valor o de no valor para el mismo.
Este enfoque requiere por lo tanto de un ejercicio crucial antes de realizar la inmersión en un proceso de externalización
defenderse uno mismo pues poca defensa podría proporcionar aquél que no puede defenderse a sí mismo. Al final, el objetivo de este jeroglífico no es si no reflexionar sobre si el enfoque de externalización tradicional es el adecuado para el Ministerio de Defensa porque de ser así, muy posiblemente, no tendría sentido que esta organización externalizara servicios de seguridad ya siendo en lo relativo a seguridad física o seguridad de la información. Habríamos llegado a un camino sin salida.
con aspectos más específicos, los motivos que pueden llevar al Ministerio de Defensa a adoptar esta decisión podrían estar entre los siguientes. Desde el punto de vista económico se busca externalizar para reducir costes o bien para eliminar elementos del coste fijo transformándolos en variable. En cuanto a aspectos más del área de operaciones la externalización de los servicios de seguridad se busca, para ganar eficiencia, disponer de conocimiento experto y de mercado sin necesidad de desarrollarlo “en
nº 22
mayo 2008
�70
Seguridad de la Información en Defensa
casa”, exigir responsabilidades o garantizar la resolución de incidentes. En definitiva, se trata de aumentar la calidad del servicio de seguridad contando con la metodología y los recursos humanos adecuados (sin necesidad de “gastar” en ello) evolucionando las soluciones de acuerdo con la transformación y el conocimiento del mercado, maximizando los tiempos de respuesta y reduciendo costes. Sin embargo, la externalización también tiene riesgos que deben conocerse y tratarse para resolverse o bien mitigarse. Los más comunes resultan de las falsas expectativas por parte del contratante y del “mal gobierno” del contrato de externalización. De este modo puede ocurrir que se cree una dependencia excesiva del ente externo que facilita el servicio, que se pierda la capacidad de gestionar la función contratada, que el contrato de servicio sea ambiguo y no se definan adecuadamente los niveles de servicio llegando, incluso, a producirse una pérdida de control sobre el proveedor. Para mitigar estos riesgos, una vez tomada la decisión de externalización de los servicios de seguridad, existen dos elementos básicos del proceso que deben tratarse con especial cautela. En primer lugar resulta fundamental la selección del proveedor. Dado que el servicio que se desea externalizar es de alta criticidad, el proveedor debe estar bien cualificado. En este sentido puede ser interesante exigir elementos objetivos como son las certificaciones de calidad y de seguridad que si bien no son determinantes para el proceso, constituyen señales externas que indican que el proveedor al menos se preocupa por dar un buen servicio. En general, la solvencia técnica del proveedor (además de la económica), su reputación, su grado de especialización y el conocimiento del herramienta colaborativa y nunca constituir un freno o una vía de amenaza. Debe ser completo y claro permitiendo formalizar los servicios prestados (descripción, alcance, entregables, etc.), incluir elementos de control y seguimiento, acuerdos de confidencialidad, procedimientos de resolución de conflictos, penalizaciones e incumplimientos, llegando incluso a definir la salida programada. mercado de la seguridad serían aspectos a tener en cuenta en pro de una buena decisión de selección. El segundo elemento, clave para el éxito de la externalización, es el contrato de servicio: un documento que debe ser contemplado como una Volviendo a los riesgos enumerados anteriormente, en el caso del Ministerio de Defensa, puede preocupar de manera específica la dependencia del proveedor para recuperar la función de seguridad externalizada o incluso desarrollarla con buen criterio durante el periodo de externalización. En este sentido, además de las medidas destacadas hasta ahora, resulta interesante concebir el contrato a medio plazo (dos o tres años) con vistas a forzar la revisión del servicio más allá de los mecanismos de seguimiento propios de la vigencia del contrato, añadiendo o suprimiendo elementos (o incluso nuevos servicios) de acuerdo con la experiencia y circunstancias de la organización. Otra medida a considerar, una vez hecho el análisis de la organización y definido el mapa de servicios de seguridad, puede ser externalizar de manera gradual. En este caso se definirían una serie de “servicios piloto” que más tarde podrían extenderse a otras áreas del Ministerio de Defensa. Volviendo al refranero como fuente de sabiduría, una buena garantía de éxito sería aquella de “vísteme despacio, que tengo prisa”.
En este sentido puede ser interesante exigir elementos objetivos como son las certificaciones de calidad y de seguridad
nº 22
mayo 2008
�