Estandarización de métricas e indicadores en servicios gestionados de seguridad TIC

Seguridad y red

El mundo avanza hacia la expansión de todas las formas posibles de interconectar personas (físicas y jurídicas) y cosas/objetos mediante TIC. Las relaciones en red son, además, multidimensionales: trabajo, negocios, consumo, diversión, ocio…, y esta realidad marca la forma en la que las organizaciones (públicas y privadas) pueden gestionar sus riesgos, particularmente los asociados con la seguridad de la información que tratan, ya sea esta de naturaleza corporativa y de negocio o actividad, ya tenga además la catalogación de dato personal.

La seguridad de la información, por tanto, tiene una relación muy intensa con el devenir de las comunicaciones, hecho que ha marcado el nacimiento y evolución desde hace años de los Proveedores de Servicios de Seguridad Gestionada (MSSPs), que actualmente vehiculan en creciente medida el sector de oferta del mercado de seguridad técnica orientado a las grandes entidades, las cuales observan positivamente la externalización de una parte significativa de sus funciones.

Proveedores de servicios de seguridad gestionada

En la actualidad existen diversos tipos de MSSP, ya sea por la mayor o menor cantidad de servicios que incluyen en sus catálogos, ya por su especialización (por ejemplo en prevención de fraude-e), alcance geográfico (en esto –y en teoría– la nube todo lo acerca) u origen: operadores de telecomunicaciones, integradores, consultoras, big-fours, fabricantes de herramientas tecnológicas… Algunos de estos jugadores, incluso, ofrecen servicios en distintos niveles a los MSSP para que estos puedan, a su vez, diseñar servicios orientados al cliente final en base a un contrato.

Oferta y demanda: medir lo mismo y medirlo igual

Los conocimientos sobre seguridad TIC en la gran organización es ya elevado. Y por ello, su demanda de servicios generales y específicos debe ser cada vez tenida más en cuenta. A esto se vienen a sumar los requisitos de cumplimiento legal, la tendencia a la sectorización y, en ocasiones, el interés en la contratación de seguros y ciberseguros. Y para eso, una de las condiciones que quizá han de cumplirse es que todos midan lo mismo (indicadores) y lo midan igual (métricas). Y además que ello sea un acicate para que cada MSSP pueda distinguirse de los otros ante los clientes y aportar valor.

En el presente Espacio tiSec se tratará este asunto de la mano de cuatro actores: una compañía de servicios globales de consultoría, dos MSSP que son, además, operadores de telecomunicaciones, y un prestigioso experto en la metodología Magerit, desarrollador de la herramienta PILAR (a instancias del CCN) y estudioso de las métricas e indicadores en seguridad TIC para las Administraciones Públicas (hoy en periodo de adecuación al ENS) y empresas.