Aspectos para la contratación externa de seguridad
Introducción
Como lo demostraron claramente los recientes ataques de virus, las compañías de cualquier tamaño se han visto obligadas a suministrar seguridad a la red durante las 24 horas. En agosto 2003, los gusanos Blaster, Welchia y Sobig.F invadieron cientos de miles de equipos corporativos ocasionando miles de millones de dólares de pérdidas en productividad.
En este nuevo entorno, donde los abogiantes ataques se producen casi inmediatamente después de que se anuncian las vulnerabilidades, ¿cómo pueden las empresas maximizar sus inversiones en TI y administrar la seguridad con éxito? Pueden hacerlo obviamente con el personal interno de TI o pueden contratar la seguridad externamente con un Proveedor de Servicios de Seguridad Administrados (MSSP).
La lucha por conseguir los recursos
Los virus anteriormente mencionados dejó claro que la naturaleza imprevisible de los ataques cibernéticos ha convertido la seguridad en una especie de blanco móvil de las operaciones empresariales. Las amenazas en constante evolución aprovechan despiadadamente los agujeros de los sistemas de seguridad de las compañías, lo que ha generado un dilema excepcional.
Según la firma de investigación y asesoría, Gartner Inc., en la mayoría de compañías, el personal que está encargado de funciones de seguridad de la TI, también está a cargo de otras actividades y dedica mucho tiempo a proyectos que no están relacionados con la seguridad.
Gartner piensa que los equipos internos luchan por entender y protegerse de las amenazas recientes a la seguridad puesto que ello implica monitoreo constante de los sistemas – algo que pocas corporaciones están dispuestas a realizar.
Para el personal de TI que desarrolla esta función, los desafíos son de enormes proporciones puesto que ello implica formular una política de seguridad e implementar firewalls, detecciones de intrusos y virus además de otras tecnologías de seguridad.
Es importante mantenerse en alerta en esta época de ataques de “día cero”, lo cual requiere inversiones significativas en personal, sistemas de TI y formación..
Cómo seleccionar un MSSP
La alternativa es que las empresas contraten externamente la administración y monitoreo de la seguridad de sus redes con un MSSP. Un MSSP puede combinar tecnología avanzada con análisis experto que permitirá a la empresa fortalecer de manera rentable su infraestructura en relación con la seguridad. Un MSSP puede también proporcionar un nivel de tecnología y experiencia que garantice una respuesta rápida a las amenazas reales.
Un MSSP competente debe específicamente emplear capacidades avanzadas de correlación de sucesos de seguridad y análisis de la información para correlacionar, analizar e interpretar con precisión los extensos volúmenes de información sobre la seguridad de la red en tiempo real.
Las oportunidades ciertamente aumentan. Gartner, en sus predicciones recientemente publicadas para el año 2004, afirma que las empresas escogerán los proveedores de servicio, basándose no en la habilidad del proveedor para reconocer intrusos y alertar a la empresa, sino en su habilidad para reconocer las vulnerabilidades importantes y bloquear los intentos de aprovechar dichas vulnerabilidades.
Toda noción de que la seguridad es cuestión de simplemente proteger el perímetro de la red se espera que esté desactualizada. ¿Por qué? Porque cada vez más las empresas están reconociendo la importancia de “la protección total”, que implica adoptar un enfoque completo para proteger los recursos valiosos, las redes y los sistemas de información, así como para implementar protecciones robustas contra los hackers, virus y otras amenazas en línea.
La protección total reconoce que el entorno actual está cada vez más rodeado de las llamadas amenazas combinadas que tienen como blanco las vulnerabilidades de productos aislados de seguridad. Como consecuencia, las compañías deben adoptar una estrategia completa e integrada que se encargue de la seguridad en todos los niveles: gateway, servidor y estación de trabajo. Éste es precisamente el tipo de estrategia que pueden desarrollar las empresas gracias a un MSSP.
¿Cómo debe decidir una empresa la selección de un MSSP?
Por lo tanto, se deben tener en cuenta los siguientes criterios:
– Longevidad: confiar información corporativa sensible a un tercero no es una decisión que se debe tomar a la ligera. Cuando se contrata un MSSP, se invierten tiempo y recursos para garantizar que el servicio satisface las necesidades más urgentes de la empresa.
– Análisis y respuesta en tiempo real: un MSSP debe tener la habilidad de correlacionar, analizar e interpretar con precisión grandes volúmenes de seguridad de la red en tiempo real. Este dispositivo debe ser capaz de separar las amenazas reales de la seguridad entre una gran cantidad de “falsos positivos”.
– Instalaciones de última tecnología: un MSSP debe tener múltiples centros de operaciones de seguridad o SOC, que operen permanentemente 24 horas al día, 7 días a la semana.
– Inteligencia global: un MSSP debe tener expertos en seguridad con capacidad para monitorear y analizar la información de los clientes a lo largo y ancho del mundo. Esta inteligencia global permite a un MSSP emitir alertas en tiempo real y recomendar las medidas oportunas que se deben tomar.
– Ingresos anuales: ¿cuál es el eventual estado financiero de un MSSP? Para las compañías que cotizan en bolsa, Gartner estima que las tasas anuales superiores a 10 millones de dólares al año en contratos de servicios de seguridad administrados son una fuente más que suficiente de ingresos para respaldar el crecimiento y mejoras de los servicios.
– Experiencia en administración: los MSSP líderes deben tener experiencia en administración en los siguientes sectores: industria, gobierno y militar.
– Alcance de los servicios: esta consideración clave se refiere a la habilidad de un MSSP para satisfacer las necesidades de administración de la seguridad de una gran variedad de compañías, así como el monitoreo en tiempo real y la administración de firewalls, sistemas de detección de intrusos, redes privadas virtuales y otros productos de seguridad.
– Procesos de administración de la seguridad: un MSSP debe suministrar normas y políticas documentadas para el correcto control de las operaciones y amenazas típicas y atípicas. Un MSSP debe ofrecer una variedad de métodos de notificación de alertas de ataques que permita al personal de los clientes controlar los riesgos en tiempo real.
– Neutralidad del proveedor: n MSSP debe emplear especialistas en seguridad con experiencia certificada en una gran gama de productos de seguridad entre una variedad de proveedores de seguridad con el fin de que la compañía tenga la libertad de seleccionar las mejores soluciones.
– Auditoría: Mientras que la confianza es uno de los factores más importantes en la selección de un MSSP, un proveedor debe estar familiarizado con las instalaciones, procesos y procedimientos que estén validados y certificados por un auditor externo.
– Informes: los informes presentados por los MSSP deben ser lo suficientemente detallados para sustentar las decisiones derivadas de las iniciativas de seguridad que determinen la rentabilidad de los servicios administrados. Dichos informes incluirán información extraída de los dispositivos administrados, las respuestas sugeridas, y cualquier cambio llevado a cabo por el MSSP en los dispositivos y la información sobre las últimas amenazas.
Todas las organizaciones se pueden beneficiar de la administración y monitoreo continuo de sus operaciones en materia de seguridad. A este respecto, un MSSP puede ayudar a desarrollar una política de seguridad en toda la empresa que establezca reglas adecuadas de control al acceso que incluyan a todos los empleados.
Esto es esencial porque un MSSP reconoce que la mayoría de las violaciones a la seguridad proviene de las propias empresas. Antes de suscribirse a un MSSP, asegúrese de que todos los empleados conocen las políticas de seguridad corporativa y el fin con que se contrata un MSSP.
Fuente: Aspectos clave para la contratación externa de seguridad / Autor Thomas Schmidt