Llegamos a ustedes gracias a:



Reportajes y análisis

6 factores de riesgo a considerar cuando contrate un MSSP

[30/08/2021] Con la maduración gradual de la adopción empresarial de los servicios de seguridad gestionados, las recompensas y los riesgos de utilizar estos servicios se han vuelto mucho más claros para los clientes actuales y potenciales. Una encuesta reciente de Forrester Research a 140 clientes de MSSP encontró que algunas organizaciones están aprovechando con éxito a los proveedores de seguridad externos, mientras que muchas otras tienen dificultades al momento de extraer valor de sus relaciones.

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

La firma de analistas descubrió que los CISO de todo el mundo están luchando por justificar su gasto en MSSP ante los ejecutivos, que no pertenecen al área de seguridad, debido a la falta de métricas adecuadas y a causa de la complejidad de la tecnología -entre otras cosas. Al mismo tiempo, los propios proveedores de servicios de seguridad gestionados están luchando por vincular los beneficios que ofrecen con las cosas que realmente les importan a las organizaciones -para sus clientes y partes interesadas y cómo soportan los requerimientos del negocio.

Usar un MSSP no es outsourcing

"El error número uno que cometen las organizaciones cuando usan un MSSP es pensar que los servicios de seguridad gestionados son outsourcing, afirma Jeff Pollard, analista de Forrester y uno de los autores del informe de la encuesta. La realidad es que la mayoría de las empresas dedican constantemente más tiempo a la seguridad después de adoptar un MSSP, no menos, afirma. A menudo, el tiempo que dedican puede estar en actividades más valiosas, como rastrear amenazas e incidentes graves, y en actividades de corrección de vulnerabilidades. "Si la empresa esperaba dedicar menos tiempo y necesitar menos recursos, rara vez es ese el caso.

Las empresas de todo tamaño aprovechan los servicios de MSSP en estos días, aunque las organizaciones más grandes tienden a hacerlo por diferentes razones que las pequeñas y medianas. Daniel Kennedy, analista de 451 Research, afirma que alrededor del 30% de las empresas con menos de mil empleados y cuatro de cada diez organizaciones con más de mil trabajadores han implementado servicios de seguridad gestionados.

Los datos de 451 Research muestran que las empresas más grandes, con organizaciones de seguridad de la información que disponen de recursos relativamente buenos, tienden a utilizar los MSSP para las operaciones de seguridad como la gestión de intrusiones y el SIEM. Muchas empresas grandes también utilizan los MSSP para los servicios de respuesta a incidentes, como la detección y la respuesta gestionadas (MDR, por sus siglas en inglés).

Las organizaciones más pequeñas, por otro lado, suelen utilizar los MSSP para las capacidades relacionadas con la infraestructura, como la seguridad de los terminales y en otras áreas donde el proveedor proporciona una capacidad de reemplazo de servicios de TI, en lugar de una función de aumento de seguridad. El objetivo de las pymes con mayor frecuencia es reducir los costos de seguridad y garantizar la cobertura adecuada de las funciones básicas de seguridad.

Forrester descubrió que cuando se utiliza correctamente, un MSSP capacitado podría ayudar a las organizaciones a mejorar la calidad general de la protección y ayudar a los clientes a aumentar el talento en el sitio y la amplitud de las habilidades, especialmente en áreas con una profunda escasez de habilidades. "A menudo, en el espacio pyme, el ROI proviene de la recuperación de la inversión asociada con no tener que financiar todos los costos asociados con la búsqueda, contratación y mantenimiento de un equipo de centro de operaciones de seguridad 24x7, afirma Marcus Bragg, vicepresidente de ventas de AT&T Cybersecurity. "En organizaciones más grandes, el uso del MSSP puede permitir que el personal de seguridad interno existente se concentre en un trabajo de seguridad más estratégico e impactante.

Sin embargo, obtener tal ROI puede ser un desafío para las organizaciones que no están preparadas para lo que se están metiendo. La encuesta de Forrester mostró que los mejores compromisos de MSSP resultan cuando los CISO tienen una idea clara de sus propias capacidades y programas, y tienen demandas específicas para su proveedor. En estas relaciones, las expectativas correctas se establecieron por adelantado y luego se gestionaron adecuadamente.

MSP versus MSSP

Los proveedores de servicios gestionados (MSP) tradicionalmente han ofrecido principalmente servicios de TI gestionados. Dado el aumento del ransomware y otras amenazas, casi todos los MSP (99%) ofrecen algún tipo de servicios de seguridad, según el Global State of the MSP Report de Datto.

Tenga cuidado al considerar un MSP, ya que sus capacidades de seguridad pueden ser limitadas. El informe de Datto muestra que, si bien la mayoría ofrece protecciones básicas como seguridad para terminales, solo el 66% ofrece la capacidad básica de firewall y el 68% puede proporcionar autenticación de dos factores. Las tecnologías de acceso remoto y la gestión de dispositivos móviles son incluso más bajas con un 63% cada una.

Considere también cómo un MSP ha adquirido sus capacidades de seguridad. La mayoría es outsourcing. La encuesta de Datto muestra que el 67% usa herramientas de seguridad gestionadas conjuntamente, y el 61% se asocia con un MSSP. Solo el 51% utiliza talento interno de seguridad.

Los mayores riesgos de MSSP

Otros que esperan lograr un éxito similar deben considerar estos seis riesgos potenciales al implementar un programa MSSP.

1. No evaluar sus propias fortalezas y debilidades de seguridad: "El mayor riesgo cuando se trabaja con un MSSP es elegir un proveedor que no complemente ni sume bien a sus equipos, afirma Pollard. Las organizaciones deben comprender primero sus propias capacidades para poder seleccionar un MSSP que realmente pueda ayudar a abordar las brechas. También deben evaluar las fortalezas y debilidades de los MSSP para asegurarse de que coincidan con sus requisitos.

Seleccionar un MSSP que sea excelente en la gestión de dispositivos y tecnología es de poca utilidad cuando lo que realmente necesita es ayuda con la respuesta a incidentes y análisis forense, afirma Pollard.

2. Suponer que el proveedor sabe cómo funcionan sus sistemas internos: A veces, las empresas cometen el error de depender demasiado de su MSSP para comprender el ambiente de TI interno y cómo funciona, afirma Pete Lindstrom, analista de IDC. Eso incluye la cultura de la oficina y la comprensión de los riesgos asociados con los diferentes tipos de sistemas. "Si las empresas no gestionan el proceso, realizan evaluaciones de riesgos y revisan activamente el trabajo que se está realizando, existe la posibilidad de que las cosas se pierdan.

Por ejemplo, es poco probable que los MSSP conozcan nuevos sistemas o arquitecturas que podrían implementarse para soportar proyectos de TI. "Depende del personal de seguridad informarles completamente e integrar cualquier requerimiento de monitoreo en el contrato, afirma Lindstrom.

No incluir al equipo de TI al traer un MSSP también es un error, agrega Bragg de AT&T Cybersecurity. A menudo, no tener acceso o información sobre los sistemas o personas clave evita que la incorporación del MSSP se realice rápidamente y puede reducir drásticamente la visibilidad del MSSP durante la vida útil del servicio, señala.

3. No prepararse para la asimetría de la información: Las empresas a menudo contratan un MSSP para realizar una tarea para la que no tienen ninguna habilidad onsite. Eso también significa que probablemente no tengan la capacidad para determinar si el proveedor que han contratado está brindando los servicios para los que fueron contratados, afirma Kennedy de 451 Research. Señala un incidente en el que un cliente estaba pagando por un servicio de monitoreo de seguridad cuando en realidad el MSSP no estaba monitoreando nada en absoluto.

El cliente tenía la sensación de que algo andaba mal, pero no tenía la capacidad de averiguar de forma independiente qué estaba sucediendo o hasta qué punto estaba sucediendo. "Cuando uno contrata expertos, hay asimetría en la información y es un problema con algunos proveedores de servicios gestionados, afirma Kennedy.

4. No entender a qué se inscribió: La forma en que algunos MSSP estructuran sus ofertas puede dificultar la comprensión de cómo será su experiencia de servicio real y cómo se fijará su precio, afirma Bragg. "¿Cómo supervisarán su uso de servicios en la nube como AWS o Azure o aplicaciones SaaS como G-Suite u Office 365?. ¿Cómo ha evolucionado su enfoque en los últimos años y cuál es su hoja de ruta a corto plazo para permitir una visibilidad adicional o para las nuevas capacidades en las que están trabajando?, pregunta Bragg.

Si tiene iniciativas de cumplimiento existentes o futuras, es especialmente importante involucrar al equipo de cumplimiento al evaluar un MSSP para que se puedan hacer las preguntas correctas, afirma Bragg.

5. Integraciones y análisis limitados: La encuesta de Forrester mostró que los MSSP a menudo se niegan a colaborar con tecnologías no contratadas, lo que resulta en una integración limitada con todos los demás controles de seguridad que una organización pueda tener. "La mayoría de los clientes hablan de la complejidad de tener que microgestionar la interacción de su MSSP con el ecosistema de proveedores de TI cuando se trata de solucionar problemas de seguridad, señaló el informe de Forrester.

Además, muchas alertas de MSSP también pueden carecer de contexto y criticidad, forzando a las organizaciones a trabajar horas extras verificando y revisando cada alerta que recibida. "Los falsos positivos exacerban aún más las frustraciones de las integraciones fallidas, señala la firma de investigación.

6. No verificar las prácticas de seguridad de su MSSP: Recientemente, los atacantes se han dirigido a los sistemas y redes MSSP para luego acceder a los sistemas de sus clientes. En varios de estos incidentes, los actores de las amenazas se han aprovechado de las debilidades en las herramientas de administración remota que utilizan los MSSP para obtener acceso a los sistemas de sus clientes. Uno de los ejemplos más conocidos es la campaña Operation Cloud Hopper del grupo de amenazas APT10, con sede en China, dirigida a cientos de proveedores de servicios gestionados en todo el mundo.

Los atacantes saben que comprometer a un proveedor de servicios gestionados es todo lo que se necesita para obtener acceso a muchas redes de clientes, afirma Brian Downey, vicepresidente de administración de productos para seguridad en Continuum, una compañía que ayuda a otros MSP a brindar servicios de seguridad a los clientes. "Los MSP son un punto de entrada para los atacantes y deben ajustarse a los más altos estándares de seguridad, afirma Downey.

Las organizaciones deben asegurarse de que cualquier proveedor de servicios gestionados con el que se registren pueda explicar cómo reducirá el riesgo. "Trataría de comprender su cartera de opciones, cómo se mantienen al día con su experiencia, cómo se mantienen al día con los riesgos más recientes y cómo brindan respuesta las 24 horas del día, afirma Downey. "Los MSP deben tener una estrategia en torno a la seguridad.

Muchos de estos riesgos se pueden abordar durante la etapa de evaluación del proveedor, pero para hacerlo correctamente, las organizaciones deben saber qué investigar. Las mejores preguntas para hacer son las herramientas y los procesos que utiliza el proveedor, y el nivel de calificación de las personas de operaciones que emplea el proveedor, afirma Kennedy. La opacidad del proveedor no es algo bueno en este sentido, y tampoco lo son las certificaciones y declaraciones por sí solas. "Si bien los proveedores de certificaciones y similares afirman que son un proxy para determinar la calificación... en seguridad son, en el mejor de los casos, un indicador.

Las empresas deben profundizar en el modelo de prestación de servicios del proveedor. Averigüe cómo funcionan sus procesos de implementación e incorporación, y cómo se mantendrán en contacto e interactuarán con su equipo de forma diaria, semanal y mensual, afirma Bragg.

Asegúrese de comprender la plataforma tecnológica de los MSSP y los controles que tienen para la respuesta a incidentes. "Al principio del ciclo de evaluación, las empresas deben asegurarse de comprender qué servicios se venden como módulos o paquetes separados y asignarlos a sus necesidades de seguridad, afirma Bragg.