[18/09/2019] A medida quela adopción de servicios gestionados de seguridad madura gradualmente en la industria, las recompensas y los riesgos de usar estos servicios se han vuelto mucho más claros para los clientes actuales y potenciales. Una encuesta reciente, realizada por Forrester Research a 140 clientes de MSSP, encontró que algunas organizaciones están aprovechando con éxito a los proveedores de seguridad externos, mientras que muchos otros tienen dificultades para lograr valor de sus relaciones.
La firma de analistas descubrió que, en todas partes, los CISO tienen dificultades para justificar su gasto en MSSP ante los ejecutivos que no pertenecen al área de seguridad,entre otras cosas, debido a la falta de métricas adecuadas y a la complejidad de la tecnología. Al mismo tiempo, los proveedores de servicios gestionados de seguridad están luchando por vincular los beneficios que ofrecen con las cosas que realmente les importa a las organizaciones, a sus clientes y partes interesadas, así como la manera en que soportan los requisitos comerciales.
Usar un MSSP no es outsourcing
"El error número uno que cometen las organizaciones al usar un MSSP, es pensar que los servicios gestionados de seguridad es outsourcing”, afirma Jeff Pollard, analista de Forrester y uno de los autores del informe de la encuesta. Él afirma que, en realidad, la mayoría de las empresas constantemente pasa más tiempo en seguridad después de adoptar un MSSP, no menos. A menudo, el tiempo que dedican puede ser a actividades más valiosas, como rastrear amenazas e incidentes graves, y actividades de reparación de vulnerabilidades. "Si la compañía entró esperando pasar menos tiempo y necesitar menos recursos, eso rara vez sucede”.
Actualmente, las empresas de todo tamaño aprovechan los servicios de los MSSP, aunque las organizaciones grandes, medianas y pequeñas tienden a hacerlo por diferentes razones. Daniel Kennedy, analista de 451 Research, afirma que alrededor del 30% de las empresas con menos de mil empleados, y cuatro de cada 10 organizaciones con más de mil trabajadores, han implementado servicios gestionados de seguridad.
Los datos de 451 Research muestran que las empresas más grandes, con organizaciones de seguridad de la información relativamente bien financiadas, tienden a usar a los MSSP para las funciones de operaciones de seguridad, como la gestión de las intrusiones y el SIEM. Muchas empresas grandes también usan a los MSSP en los servicios de respuesta a incidentes, como la detección y respuesta administradas (MDR, por sus siglas en inglés).
Por otro lado, las organizaciones más pequeñas suelen utilizar a los MSSP para capacidades relacionadas con la infraestructura, como la seguridad de los terminales y en otras áreas donde el proveedor proporciona una capacidad de reemplazo de los servicios de TI, en lugar de una función de aumento de la seguridad. Con mayor frecuencia, el objetivo de las PYMES es reducir los costos de seguridad y garantizar una cobertura adecuada de las funciones básicas de seguridad.
Forrester descubrió que, cuando se utiliza adecuadamente, un MSSP calificado podría ayudar a las organizaciones a mejorar la calidad general de la protección y ayudar a los clientes a aumentar el talento y la amplitud de las habilidades on site, especialmente en áreas con escasez de habilidades profundas. "A menudo, en el campo de las PYMES, el retorno sobre la inversión proviene de la recuperación de la inversión asociada a no tener que financiar todos los costos relacionados con la búsqueda, contratación y mantenimiento de un equipo para el centro de operaciones de seguridad, que trabaje las 24 horas todos los días de la semana”, afirma Marcus Bragg, vicepresidente de ventas de AT&T AlienVault. "En las organizaciones más grandes, el uso del MSSP puede permitir que el personal de seguridad in house existente se centre en un trabajo de seguridad más estratégico e impactante”.
Sin embargo, obtener ese ROI puede ser un desafío para las organizaciones que no están preparadas para lo que están emprendiendo. La encuesta de Forrester mostró que las mejores relaciones con los MSSP se producen cuando los CISO tienen una idea clara de sus propias capacidades y programas, así como de las demandas específicas para su proveedor. En estas relaciones, se establecieron por adelantado las expectativas correctas y luego se gestionaron adecuadamente.
Los mayores riesgos de los MSSP
Los que esperan alcanzar un éxito similar deben considerar estos seis riesgos potenciales al implementar un programa MSSP.
1. No evaluar sus propias fortalezas y debilidades de seguridad: "El mayor riesgo al trabajar con un MSSP es elegir un proveedor que no complemente o aumente bien a sus equipos”, afirma Pollard. Las organizaciones tienen que comprender primero sus propias capacidades para poder seleccionar un MSSP que realmente pueda ayudar a abordar las brechas. También necesitan evaluar las fortalezas y debilidades de los MSSP para asegurarse de que coincidan con sus requisitos.
Seleccionar un MSSP que sea excelente para la administración de dispositivos y tecnología es de poca utilidad cuando lo que realmente necesita es ayuda con la respuesta ante incidentes y analítica forense, afirma Pollard.
2. Suponer que el proveedor sepa cómo funcionan sus sistemas internos: A veces las empresas cometen el error de confiar demasiado en que su MSSP comprende el ambiente interno de TI y cómo funciona, afirma Pete Lindstrom, analista de IDC. Eso incluye la cultura de la oficina y la comprensión de los riesgos asociados con los diferentes tipos de sistemas. "Si las empresas no administran el proceso, realizan evaluaciones de riesgos y revisan activamente el trabajo que se está realizando, entonces existe la posibilidad de que las cosas pasen desapercibidas”.
Por ejemplo, es poco probable que los MSSP conozcan los nuevos sistemas o arquitecturas que podrían implementarse para los soportar proyectos de TI. "Depende del personal de seguridad informarles completamente e integrar cualquier requisito de monitoreo en el contrato”, afirma Lindstrom.
No incluir al equipo de TI cuando se integra un MSSP también es un error, agrega Bragg de AT&T AlienVault. Él afirma que, a menudo, no tener acceso o información sobre sistemas o individuos claves, impide que la incorporación del MSSP suceda rápidamente, y puede reducir drásticamente la visibilidad del MSSP durante la vida útil del servicio.
3. No estar preparado para la asimetría de la información: Frecuentemente, las empresas contratan un MSSP con el fin de realizar una tarea para la cual carecen de habilidades on site. Eso también significa que es probable que no tengan la capacidad de determinar si el proveedor que contrataron está prestando los servicios para los que fueron contratados, afirma Kennedy de 451 Research. Él hace referencia a un incidente en el que un cliente estaba pagando por un servicio de monitoreo de seguridad cuando, de hecho, el MSSP no estaba monitoreando nada en absoluto.
El cliente tenía la sensación de que algo andaba mal, pero no tenía la capacidad de averiguar de forma independiente lo que estaba sucediendo o en qué medida estaba sucediendo. "Donde uno está contratando a expertos, existe asimetría de información y es un problema con algunos proveedores de servicios gestionados”, afirma Kennedy.
4. No entender a qué se ha comprometido: La manera en que algunos MSSP estructuran sus ofertas puede dificultar la comprensión de cómo será su experiencia de servicio real y cómo se le aplicará un precio, afirma Bragg. "¿Cómo monitorearán su uso de servicios en la nube, como AWS o Azure, o aplicaciones SaaS como GSuite u Office 365?”, pregunta. ¿Cómo ha evolucionado su enfoque en los últimos años y cuál es su hoja de ruta a corto plazo para permitir una visibilidad adicional, o las nuevas capacidades en las que están trabajando?
Si tiene iniciativas de cumplimiento existentes o futuras, para que se puedan hacer las preguntas correctas, es especialmente importante involucrar al equipo de cumplimiento al evaluar un MSSP, afirma Bragg.
5. Contar con integraciones y analítica limitados: La encuesta de Forrester mostró que, con frecuencia, los MSSP se niegan a colaborar con tecnologías no contratadas, lo que resulta en una integración limitada con todos los demás controles de seguridad que una organización podría tener implementada. "A la hora de solucionar problemas de seguridad, la mayoría de los clientes hablan de la complejidad de tener que microgestionar la interacción de su MSSP con el ecosistema de proveedores de TI”, señaló el informe de Forrester.
Además, muchas alertas de MSSP también pueden carecer de contexto y criticidad, lo que obliga a las organizaciones a trabajar horas extras para supervisar y verificar doblemente cada alerta recibida. "Los falsos positivos exacerban aún más las frustraciones de las integraciones fallidas”, señala la firma de investigación.
6. No verificar las prácticas de seguridad de su MSSP: Recientemente, los atacantes han apuntado a los sistemas y redes MSSP para luego acceder a los sistemas de sus clientes. En varios de estos incidentes, los actores de las amenazas han explotado las debilidades en las herramientas de administración remota que los MSSP usan para obtener acceso a los sistemas de sus clientes. Uno de los ejemplos más conocidos es la campaña Operation Cloud Hopper del grupo de amenazas APT10, con sede en China, dirigida a cientos de proveedores de servicios gestionados en todo el mundo.
Los atacantes saben que comprometer a un proveedor de servicios gestionados es todo lo que se necesita para obtener acceso a muchas redes de clientes, afirma Brian Downey, vicepresidente de gestión de productos para seguridad de Continuum, una compañía que ayuda a otros MSSP a brindar servicios de seguridad a los clientes. "Los MSSP son un punto de entrada para los atacantes y deben cumplir con los más altos estándares de seguridad”, afirma Downey.
Las organizaciones deben asegurarse de que cualquier proveedor de servicios gestionados con el que se inscriban pueda hablar sobre cómo reducirán el riesgo. "Yo trataría de comprender su cartera de opciones, cómo se mantienen al día con su experiencia, cómo se mantienen al día con los últimos riesgos y cómo brindan respuesta las 24 horas del día”, afirma Downey. "Los MSSP necesitan tener una estrategia en torno a la seguridad”.
Muchos de estos riesgos pueden abordarse durante la etapa de evaluación del proveedor, pero, para hacerlo correctamente, las organizaciones tienen que saber qué investigar. Las mejores preguntas giran en torno a las herramientas y procesos que utiliza el proveedor, y el nivel de calificación de las personas de operaciones empleadas por el proveedor, afirma Kennedy.A este respecto, la opacidad del proveedor no es algo bueno, tampoco lo son las certificaciones y los certificados. "Si bien los proveedores de certificaciones y similares afirman que son un proxy para determinar la calificación... en seguridad son, en el mejor de los casos, un indicador”.
Las empresas deben profundizar en el modelo de prestación de servicios del proveedor. Descubra cómo funcionan sus procesos de implementación e incorporación, y cómo se mantendrán en contacto e interactuarán con su equipo a diario, semanal y mensualmente, afirma Bragg.
Asegúrese de comprender la plataforma de tecnología de los MSSP y los controles que tienen para la respuesta a incidentes. "Al principio del ciclo de evaluación, las compañías deben asegurarse de comprender qué servicios se venden como módulos, o paquetes separados, y asignarlos a sus necesidades de seguridad”, afirma Bragg.
Jaikumar Vijayan, CSO (EE.UU.)