¿Pensando en externalizar la ciberseguridad? Ventajas e inconvenientes
El factor que habitualmente tiene más peso para las empresas, y en particular para las pymes, a la hora de decidirse por servicios de seguridad gestionada, es la carencia de personal cualificado, con experiencia en protección de datos, sistemas y aplicaciones, dada la creciente sofisticación de las amenazas existentes. El segundo factor es la reducción de costes según revela una reciente encuesta realizada por Alienvault.
Como podemos ver en la siguiente imagen, los proveedores de servicios gestionados de seguridad (MSSP, Managed Security Service Providers) se encuentran en el último escalón de Servicios dentro de la Cadena de Valor de la Ciberseguridad, antes de llegar a los clientes, en este caso pymes, consumidoras de sus servicios.
Top Ten servicios gestionados
Volviendo a los datos de la encuesta a la que nos hemos referido al comienzo del artículo, esta revela además que los servicios más solicitados son:
- Monitorización de eventos e información de seguridad o SIEM, de sus siglas en inglés Security Information and Event Management y;
- Sistemas de detección y prevención de intrusiones o IDS/IPS, de sus siglas en inglés Intrusion Detection/Prevention Systems
Otros servicios de seguridad ofrecidos por un proveedor MSSP y que en principio no son tan demandados serían:
- asesoría y planificación de servicios de seguridad;
- copias de respaldo;
- operación y monitorización de las soluciones de seguridad implantadas;
- auditoría y actualización (parches y cambios de versión) de productos;
- monitorización y resolución de incidentes de seguridad;
- migraciones y sitios de respaldo;
- escalado de soluciones para adaptarse a los cambios;
- actualizaciones tecnológicas para la incorporación de nuevas tecnologías, etc.
Es conveniente conocer que este tipo de servicios, por norma general, se coordinan y gestionan a través de una comunicación directa con los operadores de la «plataforma» de seguridad para realizar solicitudes u otras acciones, mediante herramientas de ticketing, teléfono o email.
Pros & Cons
Lo primero que debemos considerar como pyme es, ¿realmente necesitamos a un MSSP? En las siguientes líneas comentaremos pros y contras de externalizar la ciberseguridad y qué valorar a la hora de tomar una decisión al respecto.
Comencemos por las ventajas. Por un lado, disponer de servicios de ciberseguridad externalizados, nos hará contar con la experiencia de nuestro proveedor aprovechándonos de su especialización y calidad de servicio, es decir, tendremos a nuestro alcance profesionales expertos en cada campo. Así mismo, también hemos de valorar la posible reducción en los costes. En general, para una pyme no tecnológica en un entorno tecnológico que cambia con tanta rapidez, realizar un gasto en un servicio especializado de seguridad suele resultar más económico que invertir en los recursos humanos y materiales específicos necesarios (personal especializado, formación, dispositivos de seguridad y red, etc.).
En el aspecto técnico también se obtienen ventajas como un menor impacto por obsolescencia, tanto en el hardware, como en el software o la agilidad en la implantación de políticas de copia de seguridad o la de actualización y parcheo de aplicaciones, como ejemplos.
Otros beneficios que podremos disfrutar son los derivados de que nuestro proveedor tenga garantías de seguridad en sus propias instalaciones, y por tanto, para el servicio que nos ofrece. Esto es importante sobre todo si trata con datos de nuestros registros de acceso (logs) o si contratamos copias de seguridad o sitios de respaldo. Los proveedores pueden demostrarlo mediante certificados de seguridad como ISO 27002 o con sellos de confianza. Si el ANS que nos ofrecen fuera negociable, esta es una garantía que sería recomendable solicitar.
Por otro lado, puede que existan algunos inconvenientes a la hora de contratar los servicios de un proveedor de seguridad gestionada. Vamos a tener que adaptarnos a la dependencia de terceros en cuanto a tiempos de respuesta, horarios del servicio, etc. Todo esto puede contrarrestarse adaptando nuestros planes de seguridad y contingencia a la nueva situación y estableciendo claramente en los ANS los protocolos de comunicación (horario, idioma, medios, tiempo de respuesta,…) con nuestro proveedor en caso de tener que coordinarnos para recuperar la normalidad de servicios que hayan sufrido algún tipo de incidente. También deberemos suscribir un acuerdo de confidencialidad en caso de que se trate nuestra información, la de los clientes o cualquier otra.
Igualmente, podríamos pensar en que existe el riesgo de fuga de datos cuyo origen sea el tratamiento realizado por el proveedor si le confiamos nuestros datos. Para ello, el proveedor debe cumplir nuestras necesidades de protección, en particular si se trata de datos personales sujetos al Reglamento General de Protección de Datos, RGPD. En este caso, al firmar el contrato, deberemos conocer las medidas de seguridad implementadas por el proveedor o si el servicio ha obtenido algún sello de seguridad o alguna certificación como la ISO 27001. Si se tratara del caso de que nuestro proveedor sea además nuestro ISP (Internet Service Provider) y el ANS del servicio es negociable, tendremos que verificar que sus instalaciones (centro de datos) tengan, por ejemplo, alguna de las certificaciones Tier del Uptime Institute. De esta forma, podremos asumir con mayor conocimiento un nivel de riesgo específico derivado de nuestro proveedor.
Otro aspecto que habrá que valorar será la dificultad para adquirir know-how y experiencia relativa a los servicios TIC debido a la falta de visibilidad en los procesos de despliegue, operación, resolución de incidencias, etc. de las soluciones de seguridad implicadas en los servicios contratados.
En resumen
Hemos visto las ventajas e inconvenientes de contratar algunos de los servicios de seguridad gestionada que nos podría ofrecer un proveedor. Entre otras, en positivo: la reducción de los costes o la despreocupación por el despliegue y gestión de servicios TIC, para enfocarnos en los procesos propios de nuestro negocio. En negativo: la dependencia de terceros o el riesgo de fuga de datos. En cualquier caso, habrá que realizar un análisis para conocer a qué se enfrenta nuestra empresa en el caso de sufrir un incidente (pérdidas financieras, de imagen, multas,…) o los riesgos que a priori vamos a reducir si contamos con la experiencia en ciberseguridad que nos ofrece una empresa externa.