Llegamos a ustedes gracias a:



Reportajes y análisis

Tercerizar la seguridad: ¿Daría las llaves a un tercero?

[30/06/2017] Hace años hubiese sido impensable ceder el control de sus activos más valiosos. Pero, para algunas compañías, el riesgo de entregar las llaves de la seguridad a una entidad externa, es menor que la idea de enfrentar un bombardeo diario de ataques.

Cuando preguntamos por qué una compañía cedería el control, muchos proveedores afirmaron que depende del nivel de personal con el que cuente la organización. Si hace falta experiencia, ¿para qué arriesgarse? O si se trata de una empresa pequeña o mediana, quizás simplemente no existe un presupuesto para la creación de un personal de seguridad que llegue al nivel necesario. Es por esto que la asociación con proveedores de servicios gestionados de seguridad (MSSP, por sus siglas en inglés) se ha convertido prácticamente en un requisito cuando se lidia con las preocupaciones relacionadas al robo de información y a la cantidad de dispositivos móviles que ingresan al centro de trabajo.

Los MSSP son especialistas en la seguridad de TI, afirmó el CEO de Alertsec, Ebba Blitz, y conforme van ofreciendo sus servicios a varios clientes, tienen la capacidad de mantenerse al ritmo de los pedidos avanzadas. "Si una compañía es lo suficientemente grande como para emplear a personal que cuente con las mismas capacidades en el área de TI, probablemente opten por eso. Sin embargo, si es un negocio pequeño o mediano y no cuenta con los recursos, un MSSP podría ser la alternativa adecuada.

Sin embargo, Pat Patterson, vicepresidente de arquitectura estratégica en Optiv, escribió recientemente que la elección de un MSSP no debería llevarse a cabo simplemente para "deshacerse de las responsabilidades de la seguridad. Esperemos que se hayan acabado los días en que los líderes de la seguridad creían que simplemente pueden entregar el monitoreo completo de seguridad, así como los programas de respuesta a incidentes, a entidades externas con la expectativa de tener éxito. Involucrarse con un MSSP no arreglará un proceso de seguridad defectuoso. De hecho, podría resaltar aquellos procesos que no se encuentran muy bien definidos o las áreas donde no existen procesos.

A la hora de debatir sobre la tercerización de la seguridad, Álvaro Hoyos, CISO de OneLogin, afirmó que se puede establecer un paralelo con el argumento respecto a elegir aplicaciones SaaS versus aplicaciones internas, o el más reciente que refiere a elegir IaaS versus su propio centro de datos. Esas dos discusiones aún se encuentran en proceso, pero el péndulo para muchas compañías se ha desplazado en la dirección de los proveedores de servicios de nube.

De acuerdo a un reciente reporte de Trustware, por segundo año consecutivo, se redujo el número de encuestados que afirmaron que su seguridad fue implementada y es mantenida totalmente por el personal interno de TI, así como por sus equipos de seguridad -este año llegó a 67%. El 26% de las organizaciones encuestadas se encuentra involucrada en una alianza entre su equipo interno y un MSSP. Otro 5% delega todo el conjunto de sus soluciones de seguridad a un MSSP, y un 2% contestó "otro.

El reporte de Trustware también declaró, en referencia a los planes de aliarse con un MSSP, que un 43% ya cuenta con una alianza, cifra superior al 39% del reporte del año pasado. Esa estadística es considerablemente más pronunciada en Estados Unidos, donde el 53% de los encuestados ya usa servicios gestionados de seguridad -un salto de 14% en comparación al año pasado. Otro 40%, en general, planea realizar una alianza con un MSSP en el futuro, y un 17% indica que no considera probable dicha alianza.

Yitzhak (Itzik) Vager, vicepresidente de gestión y desarrollo de negocios de productos cibernéticos de Verint Systems, afirmó que elegir entre los servicios gestionados de seguridad y la seguridad interna es una cuestión de estrategia previa a las tácticas. La administración necesita elegir si es que es mejor invertir en el personal interno y en las herramientas requeridas para reforzar la seguridad organizacional y asegurar un control completo de los procesos de protección, o invertir los mismos dólares en una compañía cuya única especialidad sea la seguridad, pero que no se especialice en el negocio en sí. "Cuando se invierte el dinero en un MSSP, es importante que dicho MSSP vaya a entender el riesgo de negocio asociado a los activos específicos dentro de la organización, con el fin de darle mayor prioridad a su trabajo.

Amir Jerbi, CTO de la compañía de seguridad para contenedores, Aqua Security, afirmó que los MSSP se encuentran en un nivel de madurez que frecuentemente es igual o mejor que el de la seguridad interna. La decisión de recurrir a un MSSP para la tercerización de toda la seguridad, o parte de ella, debería basarse en muchos factores, incluyendo el nivel y las habilidades de su propio personal de seguridad -y si es que puede mantener un conjunto de habilidades lo suficientemente altas-, los requerimientos de cumplimiento regulatorio y la sensibilidad de sus sistemas de datos, que tan estratégica es la seguridad para su negocio (¿considera que es una competencia fundamental?).

"La vasta mayoría de las grandes empresas de las industrias reguladas, cuentan con equipos de seguridad lo suficientemente grandes y hábiles, por lo que prefieren administrar todos los aspectos de seguridad internamente. Conforme uno baja hacia el mercado mediano y al territorio de los negocios pequeños y medianos, tiene mucho más sentido usar un MSSP para todas sus necesidades de seguridad, afirmó Jerbi. "Algo que debe tenerse en cuenta cuando se piense en un MSSP es que sus habilidades probablemente se centren en campos comunes y ya bien conocidos, dejando a las tecnologías emergentes como los contenedores en manos de las propias organizaciones usuarias.

Derek Brost, director de ingeniería en Blueblock, presentó las ventajas y desventajas de ambas formas de afrontar la seguridad. Él afirmó que, para muchas compañías, invertir en la adquisición, desarrollo, integración, despliegue, operación y soporte de los controles de seguridad podría no superar el perfil de riesgo total de sus activos. Para este tipo de organización, usar servicios gestionados de seguridad es mucho más rentable; sin embargo, invertir en la gestión del riesgo de la empresa sigue siendo un gasto continuo y necesario. Las organizaciones en donde la seguridad interna puede tener sentido probablemente cuenten con una disciplina de gestión del riesgo más sólida, y pueden pronosticar efectivamente el potencial de pérdida para demostrar el valor de llevar las actividades de seguridad de forma interna. Este tipo de organización tendrá la madurez y la disciplina necesarias para cumplir o superar la propuesta de valor de un servicio de seguridad gestionada con los recursos internos.

En el reporte de seguridad anual de Cisco, el 21% de los encuestados afirmó no haber utilizado la tercerización para ningún servicio de seguridad en el 2014. En el 2015, ese porcentaje bajó a 12%. Un 53% afirmó haber recurrido a la tercerización de servicios porque fue más rentable, mientras que el 49% afirmó haber usado la tercerización de servicios para tener insights no sesgados.

Aunque una compañía querrá controlar su propio programa de seguridad, la mayoría no puede costear la operación de esos elementos por cuenta propia, puesto que requeriría de un security operation center (SOC) que opere las 24 horas del día, como un SEIM o IDS/IPS, afirmó Asher DeMetz, gerente y consultor de seguridad de Sungard Availability Services. "Es vital que las compañías -con el tamaño y el perfil de riesgo como para necesitar estos servicios- sean monitoreadas las 24 horas al día, puesto que los ataques pueden llegar en cualquier momento del día o de la noche. Un ataque a las 9 p.m. que no sea detectado hasta las 9 a.m., cuando los empleados llegan a la oficina, puede ser desastroso.

Además, los servicios gestionados de seguridad proporcionan a las compañías la experiencia y las habilidades profundas necesarias para saber qué es un "ataque real y qué es un falso positivo, afirmó DeMetz.

Carl Herberger, vicepresidente de soluciones de seguridad de Radware, concuerda diciendo que, con la velocidad con la que cambia el panorama de las amenazas y el hecho de que los negocios pequeños y medianos se han convertido en un blanco frecuente de los ataques -los negocios pequeños son el objetivo del 43% de los ataques cibernéticos- todo lo relacionado con la seguridad interna resulte problemático. "Por ejemplo, un negocio de comercio electrónico minorista podría no tener la capacidad de invertir en un personal de seguridad sólido y bien entrenado para detener a los atacantes. Los servicios gestionados de seguridad le ayudan a cerrar esta brecha y a permitir que los negocios se centren en su especialidad, indicó.

La sofisticación del ambiente de la tecnología de la información, los tipos de dispositivos o controles establecidos, la localización y el tipo de centros de datos, así como la extensión del alcance geográfico/huella global, el costo, el personal entrenado, y la cobertura necesaria durante la semana/año deberían ser tomados en cuenta cuando se está decidiendo optar por una compañía externa, afirmó el CSO de Viewpost, Chris Pierson.

"Es crítico resaltar que las personas que mejor conocen el diseño y las operaciones de los flujos de datos de su compañía, son aquellas personas que crearon la arquitectura (se trate de red o seguridad) y que entienden los procesos de negocio y el producto. Este control se logra mejor mediante al menos un equipo central dentro de la compañía, afirmó.

Hacer que la gestión de la seguridad sea parte de los dispositivos especializados que se centran en los Indicadores de Compromiso, o análisis forense del comportamiento, es una acción fiscal y operativa inteligente, añadió Pierson.

Kennet Westby, presidente y cofundador de Coalfire, afirmó que la tercerización está ocurriendo en otras facetas de la tecnología como en el alojamiento, los servicios de nube y los proveedores de servicios de aplicaciones. "Realmente se trata más de entender el alcance de la seguridad de la red por la cual está buscando un proveedor externo. Los activos más valiosos de una organización podrían ya no encontrarse detrás de su firewall corporativo con una red administrada por sus empleados.

Añadió que tomar la decisión de administrar internamente la seguridad de la red corporativa, o hacerlo a través de proveedores externos, debería basarse en una serie de criterios importantes:

* Competencia/costo: Como muchas funciones en una organización, evalúe si es que un servicio puede ser proporcionado a un nivel de competencia más alto y a un costo menor que el que puede lograrse internamente.

* Compatibilidad organizacional: Asegura que cuenta con un socio que trabajará junto a sus equipos de TI, seguridad y gestión, y que no solo proporcionará servicios de proveedor detrás de una pared opaca de "servicios de seguridad.

* Confianza: Este es un elemento crucial de cualquier proveedor externo que maneje funciones confidenciales, pero es un factor crítico para un MSSP. Necesita asegurarse de que haya un programa de controles de seguridad que opere con estándares aún más altos que los requeridos por sus controles internos.

La confianza es un tema importante, afirmó Richard Henderson, estratega de seguridad global en Absolute. "Moverse a ese modelo puede requerir de mucha confianza y convencimiento, pero el simple hecho de haber visto una explosión increíble en el campo de los MSSP es prueba de que este servicio agrada a sus usuarios. Cualquier organización de seguridad dentro de una compañía pequeña o mediana debería, por lo menos, evaluar las posibilidades de integrar alguna oferta de MSSP en su mundo.

[Outsourcing de la seguridad: Por qué (y cuándo) tiene sentido]

También añadió que existe una realidad en la que los recursos humanos del campo de la seguridad frecuentemente son difíciles de encontrar, mantener y satisfacer. "Muchos puestos de seguridad son trabajos ingratos y cuando las cosas salen mal, la cantidad de estrés sobre estos empleados puede ser asombrosa. Y si es una compañía localizada en una ciudad "poco popular, puede ser difícil o imposible conseguir talento de alta calidad.

El Security Capabilities Benchmark Study 2017 de Cisco encontró que la mayoría de las organizaciones depende de proveedores externos para al menos 20% de su seguridad, y que aquellos que dependen más de estos recursos son los más propensos a ampliar su uso en el futuro.

Rod Murchison, vicepresidente de gestión de producto de CrowdStrike, afirmó que, con el incremento en el volumen y sofisticación de las amenazas cibernéticas con las que tienen que lidiar las organizaciones, existe una propuesta de valor en trabajar con un MSSP, sea para todas o parte de sus operaciones de seguridad. "Algunos MSSP pueden trabajar con proveedores de soluciones de seguridad por medio de APIs, creando ofertas verdaderamente únicas que ofrecen valor real y al mismo tiempo minimizan la complejidad para el usuario. Este nivel de sofisticación e integración puede proporcionar a los clientes del MSSP las capacidades para proteger su red particular.

En algunos casos, como el de las compañías en apuros o startups, Trish Tobin, directora de marketing de producto de FireEye, afirmó que los MSSP pueden asistir a los líderes de la seguridad en el diseño del programa general, en la construcción del SOC, en el entrenamiento del personal y en la provisión de respuestas a incidentes. "Conforme sus programas de seguridad evolucionan, las organizaciones se esfuerzan por mejorar sus capacidades de detección de amenazas y de respuesta a incidentes. Con mayor frecuencia, se encuentran limitadas por la falta de expertos en seguridad, así como por la falta de visibilidad de las nuevas técnicas que se están se están utilizando por parte de los perpetradores de las amenazas.

Scottie Cole, administrador de seguridad y red en AppRiver, está a favor de un equipo interno de seguridad bien entrenado, en comparación a un servicio gestionado de seguridad. Los equipos de seguridad internos entienden los requisitos de seguridad tanto para las necesidades como para los objetivos de una compañía. "La desventaja de un equipo de seguridad interno para muchas compañías es el costo de mantener a ese equipo. Contratar talento de calidad y bien entrenado puede ser costoso. Otro costo añadido es la educación continua del equipo, que podría resultar de entrenamientos, seminarios o certificaciones recurrentes.

Si el costo es un problema, un servicio gestionado de seguridad es su segunda mejor opción, añade Cole. "Existen muchas compañías que ofrecen individuos de calidad y bien entrenados que pueden llegar a las oficinas de un cliente y asistirlo inmediatamente con sus necesidades de seguridad. El lado positivo de usar un servicio gestionado de seguridad es que el servicio cuenta con una agrupación mayor de talento de la cual puede elegir. Dependiendo de los requisitos del cliente o los regulatorios, el servicio gestionado de seguridad puede encontrar a un experto o equipo de expertos para dar soporte a las necesidades del cliente.

Boaz Shunami, CEO de Komodo Security Consulting, afirmó que un área en donde los MSSP pueden ser una ventaja, es en la de ejercicios de equipo rojo (situaciones de ataques reales), ejercicios de equipo rojo versus equipo azul, pruebas de penetración, centros de inteligencia de amenazas, respuesta a incidentes y capacidades forenses."Reemplazar esto con empleados internos usualmente ha demostrado ser menos efectivo, con curvas de aprendizaje más grandes y, generalmente, menor valor después de periodos más largos de tiempo.

Tom Bain, vicepresidente de marketing en CounterTack, piensa que las organizaciones desean concentrar sus operaciones y dirigirse a un número menor de proveedores y ofertas de plataforma. Ellos desean menos agentes y, por último, no tantos proveedores a su cargo. "Llevar las tecnologías hacia un despliegue gestionado ofrece una ventaja enorme a los MSSP, que pueden aliviar la carga a los operadores, representándolos en el monitoreo y respuesta a las amenazas, afirmó.

No tan rápido

Aunque aquellos que fueron entrevistados ven las ventajas de los MSSP, también tienen algunos problemas a la hora de delegar ciegamente la seguridad.

Westby afirmó que, igual que con la mayoría de servicios, "en lo que refiere a un verdadero servicio de seguridad, existen muchos que se promocionan excesivamente y se desempeñan a un menor nivel. Es importante a la hora de elegir a un proveedor, tomarse el tiempo de investigar cómo se proporciona el servicio y validar cómo protegerán a su compañía. También es muy importante mantener el liderazgo de la seguridad y vigilar internamente el programa/proveedor.

Es importante considerar los requisitos y necesidades de la organización, afirmó Javvad Malik, defensor de la seguridad en AlienVault. Por ejemplo, si una compañía tiene muchas aplicaciones personalizadas que necesitan un monitoreo personalizado, un equipo de seguridad interno podría ser más apropiado que un MSSP. Otras consideraciones pueden incluir determinar si existe una preferencia para personal dedicado o regulaciones que requieran que los datos sean almacenados localmente.

"Si una compañía llega a optar por un MSSP, es importante evaluarlos según su efectividad y habilidad para ejecutar su metodología. Encontrar el tipo correcto de MSSP que se amolde bien a la cultura de su organización es tan importante como encontrar uno con las habilidades técnicas apropiadas.

Malik afirmó que no existe una respuesta fácil o correcta a esto -ambos enfoques tienen sus propios desafíos y beneficios. Pero es mejor tomar una decisión informada que se base en el presupuesto, la experiencia y los resultados deseados.

Salim Hafid, gerente de producto en Bitglass, piensa que, para muchas de las industrias y organizaciones preocupadas por la seguridad, la seguridad interna es un deber. Puede ser muy efectivo tener un equipo interno de seguridad con un conocimiento especializado de las capacidades necesarias de seguridad para lograr el cumplimiento regulatorio, y que pueda evaluar múltiples soluciones de seguridad en relación a sus necesidades.

Tener seguridad interna le permite crear en base a los secretos del oficio que no son fáciles de transmitir a un proveedor externo, afirmó Hoyos. "Su equipo interno entenderá mejor los riesgos que enfrenta, incluyendo los riesgos internos de su propio personal, que es algo que un MSSP simplemente no puede hacer sin estar ahí.

Él sugirió tener una mezcla de personal interno y un MSSP; el MSSP puede cubrir aspectos básicos, mientras que el equipo de seguridad interno puede centrarse en los problemas más complejos o matizados que un MSSP no puede entender al no contar con suficientes antecedentes. "Hacer que un MSSP cubra esos aspectos básicos también proporciona desafíos significativos para su equipo, reduciendo así la rotación del personal, y aumentando orgánicamente su programa de seguridad con personal más capacitado.

Las compañías podrían no querer usar un MSSP si es que ya cuentan con contratos establecidos con algún proveedor y un equipo interno que conoce los detalles de su ambiente particular. "Los MSSP son más genéricos, así que tiene que tener en cuenta eso cuando planee una migración a un MSSP. También tiene que estar consciente de que todos sus datos irán a través de un MSSP, así que también tendrá que tomar en cuenta los acuerdos de confidencialidad y los temas de importancia respecto a los datos propietarios o de sus clientes, afirmó Hoyos.

Neal Bradbury, director senior de desarrollo de negocios de Intronis MSP Solutions by Barracuda, también ofreció la opción de "como servicio que permite a las compañías elegir y seleccionar lo que deseen implementar.

Stu Sjouwerman, CEO de KnowBe4, afirmó que un factor que debe considerarse es la complejidad de su ambiente a la hora de determinar si es que desea mantener la seguridad dentro de su empresa. Ambientes muy complicados pueden ser un desafío para los MSSP, especialmente si es que cuentan con una tasa alta de rotación de empleados. Sin embargo, éstos también podrían tener la ventaja de contar un conjunto de habilidades más diverso.

"Toma tiempo llegar a conocer los ambientes complejos, así que querrá minimizar las curvas repetidas de aprendizaje, afirmó.

Otro factor es la localización geográfica de la compañía. ¿Existe un grupo local de profesionales de seguridad o hay escasez de talento? Si los salarios, beneficios y ventajas de su organización se centran en posiciones de un nivel más bajo, podría ser un desafío retener a un individuo de seguridad que está siendo atraído por otras organizaciones, afirmó Sjouwerman.

Las ventajas de una seguridad interna son que usted cuenta con un recurso dedicado que conoce los detalles de su ambiente mejor que la mayoría de los MSSP, porque está inmerso diariamente en él."Es libre de sacar provecho de su recurso de seguridad interno para varios proyectos o recomendar que preferiría no involucrar a una organización externa, afirmó Sjouwerman.

"Finalmente, también tiene que investigar a cualquier MSSP, o a un candidato de contratación directa, antes de tomar la decisión de adoptar cualquiera de las dos opciones. Estos individuos serán los guardianes de su información y probablemente tendrán bastante acceso a los datos de sus clientes. Una compañía o persona con un historial sólido y una confiabilidad comprobada son de extrema importancia, añadió.