Co-sourcing es como denomina la firma de análisis Forrester a la nueva colaboración que tendrán los departamentos IT de las organizaciones con proveedores de servicios de seguridad.

Sin embargo, aunque no es un concepto muy distinto al de tercerización u outsourcing, en la firma creen que debería ser repensado, para integrar la idea de la colaboración entre las áreas IT y los proveedores.

Ya muchas organizaciones tercerizan sus procesos de seguridad, sobre todo, para que sea otra compañía la que lleve a cabo el cumplimiento de regulaciones que podrían significarles una pesada carga operativa y administrativa.

El reporte de Forrester, sin embargo, aclara que la organización que terceriza aún es responsable de la protección de la información que es manejada por un proveedor de servicios. Esto ocurre, indica el documento, porque las organizaciones esperan ‘lavarse las manos’ cuando surja un problema, esperando que el proveedor lo arregle.

En la investigación titulada “Doce recomendaciones para su estrategia de seguridad de la información 2010” el analista Khalid Kark asegura que, si la organización tiene un desastre en su ambiente, no existirá un incentivo para arreglarlo y que incluir a un tercero en ello solo empeoraría las cosas.

No obstante, Forrester sugiere que las empresas que contraten outsourcing de seguridad deben hacerlo con una compañía que esté dispuesta a compartir la responsabilidad en caso de que ocurra una brecha de información.

Compartir información con un tercero es el área de mayor riesgo que las compañías tendrán que manejar en 2010, según el reporte.

1. Cada empresa replantearse la noción de perímetro de seguridad a la hora de diseñar sus arquitecturas de seguridad.
2. Cada empresa debe reconsiderar la noción de ‘riesgo para el socio de negocios’ cuando se trata de tercerización de servicios de seguridad, ya que el riesgo es similar que con otros socios.
3. Los profesionales de la seguridad deben dejar de asumir que construirán un fuete perímetro para tener control sobre la infraestructura y el flujo de información.
4. Hay que tener muy claro qué funciones de seguridad pueden ser tercerizadas, en función de es conveniente en términos de costo y de si este modelo ayudará a tener mejor calidad en los controles de seguridad.
5. Entender los retos de propiedad que significa tercerizar y que la protección de la propiedad intelectual de la empresa no puede descansar únicamente en la tecnología.