Desde algunos años, la necesidad de proteger los activos en las organizaciones ha comenzado a diseñar nuevas formas de ofrecer soluciones de seguridad, a través de modelos que resultan más dinámicos y sencillos de administrar, menos costosos y con base en las necesidades, características y condiciones de cada empresa.
Este tipo de modelo se desarrolla a partir de servicios administrados que permiten a las organizaciones enfocarse en el negocio, al tiempo que cuidan su información y otros activos. En esta publicación revisaremos los aspectos destacables de los proveedores de servicios administrados de seguridad, como una opción para las organizaciones preocupadas y ocupadas en la seguridad de su información.
¿Qué es un MSSP?
De acuerdo con Gartner, un proveedor de servicios gestionados (MSP por las siglas en inglés correspondientes a Managed Service Provider) ofrece una gama de opciones a diversos clientes; pueden ir desde servicios de redes, aplicaciones o sistemas hasta incluso de recursos humanos. Este mismo modelo se integra al ámbito de la seguridad de la información, a través de Managed Security Service Provider (MSSP).
El proveedor de servicios de seguridad administrada, o MSSP, por lo general brinda monitoreo y administración de dispositivos o sistemas de seguridad. Entre los servicios comunes se incluyen la administración de firewalls, sistemas de detección de intrusos, servicios de red privada virtual (VPN), análisis de vulnerabilidades, soluciones contra códigos maliciosos, auditoría, cumplimiento de normativas, respaldo y recuperación de datos, entre otros.
Mediante este modelo, los proveedores asumen la responsabilidad de la red y otros recursos de sus clientes, aunque esto no significa que estos últimos se desligan totalmente de la gestión de su seguridad. Además, los proveedores ofrecen a determinadas empresas un paquete completo de servicios y soluciones de TI y seguridad, mismo que depende de las necesidades específicas de cada cliente.
Funcionamiento de un MSSP
Los MSSP emplean centros de operaciones de seguridad (SOC), ya sea de instalaciones propias o centros de datos de terceros, para proporcionar servicios de alta disponibilidad. Uno de sus propósitos es reducir el número de personal operativo de seguridad que una empresa requiere y, en general, la disminución de otros recursos como el presupuesto, infraestructura e incluso tiempo, que limitan el despliegue, administración y monitoreo de la infraestructura de IT de las organizaciones.
Por el contrario, cuando una organización administra sus propios servicios de seguridad, debe invertir su presupuesto para mantener el funcionamiento de la infraestructura básica, adquirir tecnologías y recursos para administrar y actualizar hardware, software, seguridad y otras aplicaciones corporativas.
Cuando no cuenta con estos recursos, puede recurrir a empresas externas para que se ocupen de sus necesidades y así enfocarse en las tareas principales de su negocio. De esta forma, los clientes abonan una tarifa mensual a un MSSP, que provee y mantiene en funcionamiento su infraestructura de seguridad.
Otra característica de los MSSP es la facilidad para ofrecer información relevante a sus clientes en una única pantalla, con la posibilidad de gestionar múltiples equipos y aplicar configuraciones desde un panel de control unificado, que a su vez permite la administración de varios recursos de manera simultánea.
Por ello, proporcionan soluciones que combinan la seguridad con el monitoreo de IT como servicio integrado. Además, requieren flexibilidad para adaptarse a diferentes entornos, disponer de las API necesarias para la compatibilidad y de los complementos que les permitan administrar la seguridad a través de herramientas existentes, en vez de añadir nuevas para la gestión o administración, lo que contribuye a la eficiencia con la que prestan servicios a sus clientes.
Ventajas y desventajas del modelo de servicios de seguridad administrada
Sin duda existen ventajas para las organizaciones que optan por la adquisición de servicios administrados, pero del mismo modo pueden existir desventajas o condiciones que limiten la decisión.
Una de las ventajas se relaciona con la reducción en la adquisición de infraestructura tecnológica y de seguridad para la organización, lo que va de la mano con menos personal requerido, menor tiempo de implementación, configuración y administración. Para empresas pequeñas o medianas quizá resulte una opción viable, ya que el MSSP debe ofrecer el servicio con un equipo calificado y experimentado.
Además, se cuenta con opciones para atender incidentes de seguridad, mismos que deben ser mitigados en conjunto con otros aspectos, como la adopción de políticas y procedimientos. A pesar de que las empresas subcontraten algunos (o todos) sus requisitos de IT y seguridad, la protección de los activos va más allá de las tecnologías. Por esa razón, no deben quedar de lado las buenas prácticas de seguridad, la capacitación y concientización de miembros de la organización, así como el uso adecuado de las herramientas automatizadas.
En cuanto a las desventajas, es probable que se pongan de manifiesto cuestiones relacionadas con el manejo de información sensible, por lo que la confianza es un elemento fundamental entre los grupos de interés de la empresa y el MSP. Es importante conocer la infraestructura, aplicaciones y tecnologías utilizadas por el proveedor, del mismo modo que el tipo de herramientas utilizadas internamente por los clientes.
En este contexto, la transparencia y comunicación también juegan un rol básico, por lo que los acuerdos de confidencialidad y de servicio también tienen que ser muy claros, por escrito, explicando cómo responden a los diferentes tipos de solicitudes, así como las responsabilidades de una y otra parte. Como parte de la comunicación, las reuniones periódicas contribuyen a mantener la información de manera fluida y mitigar problemas potenciales con los clientes.
A partir de la confianza, la relación con el proveedor puede ser más estrecha para conocer planes estratégicos de la organización, cambios relevantes o información que pueda modificar las necesidades tecnológicas y de seguridad de la empresa; de esta forma, los MSSP deben anticiparse y adaptarse. Finalmente, las organizaciones que buscan mantener, aumentar o mejorar sus niveles de protección de la información y otros activos pueden decidirse por un modelo de servicios administrados, en función de sus recursos y necesidades.