Es necesario identificar los beneficios de cada proveedor, es decir, más allá de las clásicas presentaciones comerciales donde todos son buenos para todo, debemos identificar en lo que realmente es experto cada uno.
Los servicios de ciberseguridad y seguridad de la información han evolucionado de manera significativa en los últimos 10 años, de la misma forma las empresas y fabricantes en el sector han ampliado su abanico de productos y servicios, intentando hacerlos más sencillos de adquirir y brindando los mejores beneficios para sus clientes.
Sin embargo, esta creciente demanda de servicios y productos ha convertido al sector de ciberseguridad y seguridad de la información en México, en un lugar donde es difícil encontrar proveedores con verdaderos diferenciadores.
Durante esta evolución, los proveedores de ciberseguridad han pasado de ofrecer algunas marcas dentro de su portafolio, a incluir servicios administrados, consultivos, de monitoreo, ciberinteligencia e incluso especializados, como implementación de sistemas de gestión de seguridad de la información, pruebas de penetración y análisis de vulnerabilidades o incluso análisis forense y por si no fuera poco, han agregado más marcas de ciberseguridad a su conjunto de soluciones; lo cual pareciera algo benéfico para sus clientes, debido a la posibilidad de ofrecer soluciones.
Otro ejemplo se encuentra cuando una empre- sa adquiere una solución de seguridad y le pide al mismo proveedor que realice PenTesting a esa infraestructura para verificar que hayan sido correctamente implementados. Obviamente, al no existir una correcta segregación de funciones, los resultados estarán viciados y carecerán de la neutralidad necesaria para este tipo de servicios.
Por último, es necesario considerar que, si bien los proveedores de ciberseguridad “todo en uno” pueden brindar costos más asequibles para sus clientes, a la larga este tipo de prácticas derivará en riesgos mayores que fácilmente pueden convertirse en la frase “lo barato sale caro”. Esto sin considerar la cantidad de información sensible y/o accesos privilegiados que puede tener un solo proveedor.
Por: Ing. Jorge Osorio, Co fundador y Director de Servicios de Consultoría en CSI Consultores en Seguridad de la Información, Presidente
del Capítulo (ISC)2 México.