Las ventajas de elegir un MSSP fiable (Parte 1 de 2)
Los últimos años han llevado a las pymes a una situación precaria, y no parece que la situación vaya a mejorar pronto. Las actuales tasas de inflación y la inminente recesión han obligado a muchos a apretarse el cinturón y a replantearse la manera de distribuir su presupuesto entre los distintos departamentos.
Tras varios años de ciberataques e intrusiones sin precedentes -años en los que casi la mitad de todos los ataques se produjeron contra empresas de menos de 1.000 empleados-, resulta un tanto sorprendente escuchar que el 44% de los responsables de TI de las pymes esperan que se recorten sus presupuestos de seguridad, según el último informe de JumpCloud.
Conscientes de que los presupuestos de seguridad reducidos aumentan drásticamente el riesgo operativo, pero constituyen una realidad que hay que afrontar, los responsables de tomar decisiones se plantean qué hacer.
¿Qué opciones tienen las pymes?
Los especialistas en ciberseguridad con experiencia y cualificación están muy solicitados y escasean, por lo que contratar a uno internamente resulta prohibitivo desde el punto de vista de los costes. Podría contratar a especialistas de menor coste y con menos experiencia. Aunque eso le aportaría más recursos, su falta de experiencia y de práctica en el mundo real podría no ser lo más adecuado.
Otra opción es reorganizar la estructura tecnológica y buscar herramientas más económicas, pero esto también conlleva riesgos. A menos que esté muy familiarizado con las soluciones de seguridad, el gran número de opciones del mercado le resultará abrumador y confuso. Las posibilidades de elegir herramientas inadecuadas son altas, y el equipo interno podría carecer de las habilidades necesarias para configurarlas correctamente o trabajar con ellas de manera eficaz, exponiendo a la empresa a un número aún mayor de vulnerabilidades.
Otra opción es asociarse con un proveedor de servicios gestionados de seguridad (MSSP). Los MSSP pueden llenar muchos vacíos proporcionando a su empresa la experiencia en seguridad que necesita y una serie de herramientas de seguridad de eficacia probada.
¿Qué hay que tener en cuenta a la hora de elegir un MSSP?
Elegir al MSSP adecuado para su empresa no es una decisión que deba tomar a la ligera. Confiará a ese MSSP su negocio, sus datos y su reputación. Si éste no hace bien su trabajo, su empresa podría ser víctima de un ciberataque o algo peor, ya que el 75% de las pymes tendrían que cerrar sus puertas tras un ataque de ransomware. Es mucho lo que está en juego.
Así pues, ¿qué criterios debería tener en cuenta a la hora de considerar una posible asociación? En este artículo, analizaremos dos criterios importantes a la hora de elegir un MSSP; no olvide consultar el segundo artículo del blog la semana que viene para conocer otros dos criterios que no debería pasar por alto.
¿Tienen los conocimientos y la experiencia adecuados?
No conviene ignorar ni menospreciar los conocimientos y la experiencia. Debería estar seguro de que el MSSP que elija tiene las habilidades y los conocimientos necesarios para proteger su negocio. Conviene asegurarse de que tenga una amplia experiencia trabajando con otras empresas del sector y de que conozca las leyes y normativas específicas de su sector o de su zona geográfica.
El MSSP debería ser capaz de explicarle qué medidas adopta para proteger los datos y la infraestructura informática de su empresa. Pregúnteles por sus métodos de selección de las soluciones que utilizan y no dude en indagar para averiguar hasta qué punto conocen los productos que venden. Pregúnteles cómo resisten sus soluciones a las amenazas conocidas y qué estrategias siguen para hacer frente a las amenazas emergentes. Del mismo modo que usted hace lo propio investigándoles, ellos deberían haber hecho lo mismo a la hora de seleccionar su infraestructura tecnológica, y usted debe asegurarse de que lo han hecho.
¿Cuáles son las responsabilidades compartidas entre el MSSP y sus clientes?
No todos los MSSP ofrecen los mismos servicios. Debe saber qué tipo de implicación y apoyo necesita de un MSSP y buscar uno que se adapte a tus necesidades. Algunos ofrecen gestión integral de todo lo relacionado con las TI, mientras que otros le ayudarán a elegir las herramientas adecuadas, pero le dejarán a usted la gestión y supervisión del día a día. Si tiene un equipo pequeño que puede encargarse de parte del trabajo de seguridad, pero no de todo, busque un MSSP que pueda cubrir las carencias y complementar a su equipo, en lugar de uno con un enfoque de todo o nada.
Cuando se asocies con un MSSP, sea honesto y franco sobre las capacidades de su equipo y asegúrese de que tanto usted como el MSSP entienden claramente cómo se dividen las responsabilidades. De lo contrario, podría estar ante un desastre de seguridad si cree que el MSSP se encarga de un aspecto concreto y ellos actúan pensando lo contrario.
Verificar las capacidades internas del MSSP
Los MSSP consolidados se preocupan por su reputación, por lo que no le mentirán sobre sus credenciales ni su infraestructura. Sin embargo, verificar sus afirmaciones redunda en su propio beneficio.
Certificaciones: Como mínimo, un MSSP debe tener las certificaciones ISO27001 y SOC 2. Aunque el personal de un MSSP no está obligado a tener acreditaciones específicas, los más prestigiosos contarán con empleados que posean certificaciones de seguridad informática reconocidas por el sector, como:
- Profesional Certificado en Seguridad de Sistemas de Información (CISSP)
- Gestor Certificado de Seguridad de la Información (CISM)
- Certificado SANS GIAC Security Essentials (GSEC)
- Hacker Ético Certificado (CEH)
- CompTIA Security+
- Auditor Certificado de Sistemas de Información (CISA)
- Certificado GIAC en Gestión de Incidentes (GCIH).
Disponibilidad, alcance global y redundancia
El tiempo de inactividad puede causar daños irreparables a su negocio, por lo que debe asegurarse de que el MSSP que elija ofrezca una alta disponibilidad conforme a los estándares del sector (99,9% o 99,99%). Incluso con los mejores planes, un MSSP no puede evitar un acontecimiento catastrófico como un desastre natural, pero debería contar con otras estrategias para garantizar la continuidad de su negocio. Infórmese sobre la redundancia geográfica del MSSP y confirme que cuenta con servidores distribuidos por todo el mundo, de modo que si se produce una emergencia o falla una ubicación, otra pueda mantener su negocio en funcionamiento sin interrupciones.
¿Qué otros factores deben evaluarse?
Nos gustaría poder decirle que estos son los únicos aspectos de un MSSP que debería tener en cuenta, pero le estaríamos haciendo un flaco favor. Hay varias consideraciones adicionales, aunque vitales, que hay que tener en cuenta antes de comprometerse con un MSSP, y son tan importantes que merecen un análisis en profundidad.
No se pierda la segunda parte de este artículo, en la que profundizaremos en ello.