MSSP - Proveedor de Servicios de Seguridad Gestionados

Introducción

Qué duda cabe que la seguridad de la información se ha convertido en uno de los quebraderos de cabeza para los gestores de las organizaciones. En los días que vivimos sólo es cuestión de tiempo que los sistemas de información de cualquier organización sean comprometidos con cierta frecuencia. Desde un punto de vista denominado seguridad adaptativa, los sistemas de información deben ser monitorizados permanentemente para dar una respuesta al primer indicio de amenaza. Conjuntamente, se deberán minimizar los riesgos a través de reducir su impacto y la probabilidad de ocurrencia.

Con el objetivo de ayudarte un poco en este asunto he decidido redactar una serie de artículos para aportar un poco de luz sobre algunos términos. En este, hablaré de los MSSP y a continuación te presento el guión con el objetivo de que puedas acceder directamente a la sección que desees:

• ¿Qué es un MSSP?
• Reticencias a la contratación de un MSSP.
• Demanda de profesionales en el sector.
• ¿Por qué contratar los servicios de un MSSP?
• ¿Qué debes analizar antes de contratar?

¿Qué es un MSSP?

MSSP es el acrónimo en inglés de Managed Security Service Provider, que en castellano sería Proveedor de Servicios de Seguridad Gestionados. Se utiliza para referirse a aquellas organizaciones especializadas que ofrecen soluciones de seguridad como un servicio gestionado y ejecutado por técnicos muy cualificados.

Estos servicios pueden abarcar desde soluciones técnicas, como aquellas relacionadas con la ciberseguridad, a soluciones organizativas como las relacionadas con políticas y procedimientos asociados a uno o varios sistemas de gestión.

En las medidas técnicas caben las soluciones tecnológicas que pueden precisar, en muchos casos, atención 24x7 para la monitorización permanente de los sistemas. Los servicios SOC, por tanto, también se contemplan aquí.

Con las medidas organizativas se ejecutan análisis de riesgos y se establecen controles, políticas, procedimientos, planes de contingencia, etc., orientados a fortalecer la respuesta de las organizaciones ante las crecientes amenazas para la seguridad de su información.

Reticencias a la contratación de un MSSP.

Las organizaciones suelen externalizar aquellas actividades diferentes a la propia en la que se centra su negocio, contratando para ello otras empresas que las liberan de esos trabajos y los exime de contratar personal especializado para ello. Ejemplos habituales son la actividad relacionada con los contratos laborales, nóminas, asuntos fiscales, contables, legales, etc.

Sin embargo, cuando hablamos de la seguridad de la información, las organizaciones presentan un variado abanico de reticencias a cederla para que sea gestionada por terceros. Entre las principales, sin que el orden expuesto indique ninguna prevalencia, cabe destacar las siguientes:

• Una de las más habituales, tristemente, es la ausencia de concienciación por parte de la propiedad o alta dirección de la organización. Aun hoy existen empresarios y directivos que opinan que esto no es más que un gasto innecesario y que ellos no necesitan tomar más medidas de las que ya han realizado y además "...¿para que? ¿Quién va a querer atacarnos a nosotros?”. La falta de concienciación es algo sobre lo que de forma global se está mejorando. Los empresarios cada vez son más conscientes de la necesidad imperiosa de protegerse ante los cibercriminales y hacer las cosas bien para cumplir con el marco regulatorio existente. No obstante, el avance es lento.
• El celo extremo de poner información confidencial y extremadamente importante en manos de externos a la organización pensando que, de esta forma, se está poniendo en riesgo su éxito empresarial. El miedo a revelar la "fórmula de la Coca-Cola" de tu organización es comprensible, pero el empresario debe saber que un MSSP no te va a pedir que le reveles esto. Sólo quiere, debe, saber cómo trabajas con los datos. Ni siquiera precisa conocer los datos. Además, deberás aceptar sólo aquellas ofertas que te ofrezcan las suficientes garantías de confidencialidad apostando por las empresas que cumplan, a su vez, con medidas técnicas y organizativas para refrendar esas garantías.
• La falsa seguridad de depositar en personal leal de la organización tareas de seguridad para las que no están capacitados. Esta es una causa muy habitual y se caracteriza por un desconocimiento profundo de las necesidades y exigencias que para el personal, y la propia organización, supone desarrollar e implantar soluciones de seguridad eficientes. Pensar que tu informático es un "superhéroe" que lo tiene todo controlado es vivir en un mundo de fantasía que solo pronostica algún desastre importante en tu negocio.
• El factor económico. Sin duda, éste es un factor importante. En gran medida, la toma de conciencia de necesidades de adoptar medidas para proteger su organización choca con la inexistencia de presupuestación específica para ello. No obstante, habría que poner en una balanza este presupuesto frente a potenciales pérdidas generadas por la caída de credibilidad, reputación y confianza por parte de tus clientes, o la pérdida de negocio en favor de la competencia, o las sanciones económicas que se pueden derivar de una brecha de seguridad para la que no estabas preparado. No es cuestión de "meter miedo", es cuestión de introducir luz y sensatez sobre este asunto. Los riesgos son reales y las consecuencias de no tenerlos controlados pueden ser muy graves significando, en los casos más extremos, el fin de la actividad para muchas organizaciones.

Demanda de profesionales en el sector.

Las necesidades son reales en todas las organizaciones y se traducen en la exigencia de que cuenten con personal cualificado en esta actividad. No obstante, todas las organizaciones no pueden constituir un departamento con el tamaño suficiente para contener la diversidad de conocimiento suficiente como para controlar todas las posibles amenazas.

El aumento permanente de las amenazas, junto con la creciente concienciación por parte de las propias organizaciones, ha llevado a un incremento importante de la demanda de talento en este sector. El mercado laboral no ha podido cubrir esta demanda puesto que la formación específica en estas actividades, muy complejas y diversas, no va al mismo ritmo que las necesidades reales de las empresas.

¿Por qué contratar los servicios de un MSSP?

El mundo actual de la seguridad de la información es una “batalla” permanente en múltiples frentes que evolucionan constantemente y en el que se precisan “soldados” especializados acostumbrados a este tipo de lucha.

Las organizaciones que ofrecen servicios de seguridad tienen los medios y el personal adecuado para librar estas batallas por tu organización y se constituyen como la alternativa perfecta. Trabajarán con el objetivo de garantizar la seguridad de los sistemas, redes, servicios, aplicaciones imprescindibles para tu actividad, fortalecerán los procesos en los que intervenga información sensible de la organización o datos de carácter personal de tus clientes, proveedores y empleados, desarrollarán políticas y procedimientos destinados a ofrecer una respuesta más segura en la interacción con los datos, formarán a tus empleados para prepararlos ante los potenciales engaños a los que tendrán que enfrentarse en el día a día de su trabajo y desarrollarán los planes de contingencia necesarios para aminorar los riesgos y las consecuencias derivadas de una potencial brecha de seguridad.

Estos servicios se desarrollan en una relación de estricta confidencialidad y seguridad protegidas por las propias medidas implantadas por el MSSP en todos sus procesos. Sus profesionales, además de contar con una base de conocimiento extensa derivada de una permanente actuación en sus respectivos campos especializados, realizan tareas de investigación e innovación en el sector.

Un MSSP será capaz de cubrir todos los aspectos fundamentales de la seguridad. A saber:

• Ciberseguridad. Hardware y software. Sistemas, servicios, aplicaciones, redes, etc. Desde su fase de diseño hasta la de producción en la búsqueda del sostenimiento de un nivel de seguridad máximo que permita que los recursos tecnológicos utilizados diariamente para la producción de la actividad se encuentren actualizados y protegidos ante las últimas vulnerabilidades descubiertas.
• Entrenamiento del personal. Sin duda uno de los pilares de la seguridad. Los empleados de la organización, desde la alta dirección hasta el último de los becarios, debe estar adecuadamente capacitado y concienciado para ofrecer una respuesta robusta ante potenciales ataques de suplantación de identidad, ransomware, APT, etc.
• Sistema de gestión de seguridad de la información. Otra baza fundamental a desarrollar y potenciar en cualquier organización. El adecuado análisis de riesgos, establecimiento de controles, desarrollo de políticas y procedimientos con el único objetivo de asegurar la información en cualquier proceso en el que se trabaje con la misma.
• Sistema de gestión de continuidad de negocio. Uno de los grandes olvidados. Hay que prepararse para lo peor. Cuando se produzca un incidente de seguridad hay que conocer cuál es plan de contingencia que se va a aplicar y cuál es la sucesión de acciones que se deben realizar con el objetivo de minimizar el impacto que el incidente pueda provocar.
• Cumplimiento normativo. Todas las organizaciones deben cumplir con el RGPD y la LOPDGDD que exigen la adopción de medidas técnicas y organizativas orientadas a proteger los datos de carácter personal. Otras organizaciones, en función de su actividad, o por su propia filosofía de existencia, tienen necesidades específicas de seguridad como pueden ser las infraestructuras críticas. Existen normativas específicas por actividades, sectores, etc.
• Un MSSP posee la experiencia acumulativa, de la que puedes aprovecharte, puesto que en su lucha diaria ya han desarrollado y perfeccionado los procesos idóneos para las necesidades que precisa tu organización en materia de seguridad de la información.

¿Qué debes analizar antes de contratar?

Si ya te has decidido a contratar un MSSP para encargarle la seguridad de tus sistemas de información, es recomendable que tengas en cuenta una serie de indicadores de contratación:

• Capacidad.- Investiga. Pide información sobre su personal. Cualificaciones del mismo, certificaciones obtenidas, experiencia acumulada, dimensión de la plantilla, etc. ¿Posee recursos suficientes con las acreditaciones necesarias en todas las disciplinas que necesitas cubrir en tu organización? Adelante.
• Seguridad.- Crucial. A la hora de contratar una organización para algo tan delicado asegúrate que a su vez ha desarrollado e implantado sus propias medidas de seguridad tanto a nivel interno, como en la relación con sus clientes. Pregunta sobre ello. Certificaciones en sistemas de gestión pueden darte pistas que te permitan hacerte una idea sobre su seriedad (ISO 27001, ISO 22301, ISO 20000, ISO 9001…)
• Solvencia.- No tiene por qué ser determinante, pero una organización que ha sobrevivido durante años en el mercado, es porque ha demostrado una solvencia técnica y una capacidad económica que se ha traducido en el respaldo y fidelización de sus clientes. Una empresa que lleva muchos años en el sector, con profesionales de dilatada trayectoria y experiencia, suele ser garantía de éxito.
• Experiencia.- La filosofía de la propia actividad suele llevar asociada la confidencialidad pero intenta descubrir quiénes son sus clientes y en qué sectores operan. Importante que ya tengan referencias en el mismo o parecido sector en el que opera tu organización.

Te invito a participar en el desarrollo de este artículo.

Confío en haber arrojado suficiente luz sobre el concepto de MSSP. ¿Se me ha quedado algo en el tintero? ¿Tienes dudas sobre algún aspecto? Haz tu comentarios sobre ello y te contestaré a la mayor brevedad posible.

Un cordial saludo.