Ante el incremento de las necesidades de seguridad TI, cada vez más empresas apuestan por contar con un MSSP, o proveedor de servicios de seguridad gestionada. Sin embargo, antes de su contratación, hay una serie de consideraciones a tener muy en cuenta.
La incesante y creciente expansión de las ciberamenazas, unido a la paulatina incorporación de nuevas tecnologías en las organizaciones, está llevando a cada vez más organizaciones a apostar por los servicios de los MSSP.
Con la paulatina madurez en la adopción empresarial de servicios de seguridad gestionada, las recompensas y los riesgos de utilizar dichos servicios se han vuelto mucho más claros para los clientes actuales y potenciales. Evaluar a los MSSP debe ser un ejercicio importante a llevar a cabo antes de su elección.
Tal y como apuntan desde Forrester, el primer error que cometen las organizaciones cuando trabajan con un MSSP es pensar que los servicios de seguridad gestionada son una subcontratación. En realidad, la mayoría de las empresas dedican constantemente más tiempo a la seguridad después de incorporar los servicios de un MSSP.
Esto les lleva a menudo a dedicar tiempo a actividades más valiosas, como rastrear amenazas e incidentes graves, y a actividades de corrección de vulnerabilidades. No obstante, las grandes organizaciones aprovechan los servicios de los MSSP de diferente forma a la que lo hacen las pymes.
El 30% de las organizaciones con menos de mil empleados ha implantado servicios de seguridad gestionada
Según Daniel Kennedy, analista de 451 Research, alrededor del 30%de las empresas con menos de 1.000 empleados, y cuatro de cada diez organizaciones con más de 1.000 trabajadores, han implementado servicios de seguridad gestionada.
En este sentido, la firma destaca que las empresas más grandes con recursos relativamente buenos tienden a utilizar los MSSP para funciones de operaciones de seguridad como la gestión de intrusiones y SIEM (Security Information and Event Management), es decir, como como sistema de información y gestión de eventos para dar una respuesta rápida a la hora de detectar y responder ante cualquier amenaza sobre sus sistemas.
Asimismo, muchas grandes empresas también trabajan con los MSSP para servicios de respuesta a incidentes como detección y respuesta gestionadas (MDR).
Por su parte, las organizaciones más pequeñas trabajan con los MSSP para temas relacionados con la infraestructura, como la seguridad del punto final y otras áreas en las que el proveedor proporciona una capacidad de reemplazo de servicios de TI en lugar de una función de aumento de seguridad. El objetivo de las pymes, por lo general, es reducir los costes de seguridad y garantizar la cobertura adecuada de las funciones básicas de seguridad.
Según Forrester, un MSSP puede ayudar a las organizaciones a mejorar la calidad general de la protección y ayudar a los clientes a incrementar el talento del que disponen y las habilidades, especialmente en áreas con donde existe una profunda escasez.
Sin embargo, en el caso de las pymes, éstas suelen tener muy en cuenta el retorno de la inversión (ROI) realizada al contar con los servicio de un MSSP. Según el estudio realizado, los mejores resultados provienen cuando los CISO tienen una idea clara de sus propias capacidades y programas y tienen demandas específicas para su proveedor.
MSP versus MSSP
Los proveedores de servicios gestionados (MSP) tradicionalmente han ofrecido servicios de TI gestionados. Dado el aumento del ransomware y otras amenazas, casi todos los MSP ofrecen algún tipo de servicios de seguridad, según el Informe sobre el estado global del MSP de Datto.
Pero hay que tener cuidado al sopesar la contratación de un MSP para estas tareas ya que sus capacidades de seguridad pueden ser limitadas. El informe de Datto apunta que, si bien la mayoría ofrece protecciones básicas como seguridad en el punto final, solo el 66% ofrece capacidad básica de firewall y el 68% puede proporcionar autenticación de doble factor.
El 67% de los MSP usa herramientas de seguridad gestionadas conjuntamente con un MSSP
Es más, el 67% de los MSP usa herramientas de seguridad gestionadas conjuntamente con un MSSP, y el 61% se asocia con un MSSP. Solo el 51% usa talentos de seguridad interna.
No obstante, también hay que tener en cuenta una serie de factores que pueden incurrir en riesgos potenciales al implementar un MSSP.
Por ejemplo, no evaluar las fortalezas y debilidades de la propia seguridad interna. El mayor riesgo para los clientes cuando se trabaja con un MSSP es elegir un proveedor que no se complemente o no se acople bien a los equipos de la empresa.
Además, a veces, las empresas cometen el error de depender demasiado de su MSSP para comprender el entorno de TI interno y cómo funciona. Si las empresas no gestionan el proceso, realizan evaluaciones de riesgos y revisan activamente el trabajo que se está realizando, existe la posibilidad de que las cosas se pierdan.
Otro aspecto a tener muy en cuenta es que, a menudo, las empresas contratan a los MSSP para realizar una tarea para la que no tienen ninguna habilidad, lo que implica que, probablemente, tampoco tengan capacidad para determinar si el proveedor que han contratado está brindando los servicios para los que fueron contratados. Conocer bien estas tareas es crucial.
Además, la forma en que algunos MSSP estructuran sus ofertas puede dificultar la comprensión de cómo será la experiencia de servicio real y cómo se fijará su precio. Si un cliente tiene iniciativas de cumplimiento existentes o futuras, es especialmente importante involucrar al equipo de cumplimiento al evaluar un MSSP para que se puedan hacer las preguntas correctas.
Junto a esto, es especialmente importante conocer los sistemas y prácticas de seguridad del propio proveedor de servicios. Recientemente hemos visto ataques dirigidos a los sistemas y redes de los MSSP para luego acceder a los sistemas de sus clientes.
Las empresas deben tener esto también en cuenta que los proveedores de servicios son un punto de entrada para los atacantes y deben elegir a aquellos que se ajustan a los más altos estándares de seguridad.
Imagen inicial | Mohammad Rahmani
