Phenix Energy Group, una compañía operadora de oleoductos y de la construcción, se está preparando para llevar su infraestructura de TI de cero a 60 en cuestión de meses. Para sacar años de proyectos de construcción de oleoductos, la empresa se prepara para pasar de un entorno de oficina relativamente pequeño a un entorno de centro de datos de 75 servidores y 250TB de almacenamiento. Como resultado, la seguridad, que no ha sido una prioridad, se ha vuelto de pronto un gran problema, de acuerdo con el CIO y COO, Bruce Perrin.
Dadas las altas apuestas -un sistema apagado podría costar alrededor de un millón de dólares por hora- Perrin ha pasado los últimos cinco años investigando opciones. Si bien preferiría ejecutar la seguridad en casa como parte de un centro de datos en las instalaciones, Perrin se está inclinando hacia la externalización de la función, al menos al principio, porque no tiene tiempo de implementar un departamento de seguridad de la información especializado en los escasos meses que quedan para que esté en línea.
“Este proyecto es enorme. Una sola persona no es capaz de gestionar este tipo de implementación de TI en 90 días”, anotó Perrin, que ha evaluado a los revendedores de valor añadido de seguridad de TI y a los proveedores de servicios gestionados de seguridad (MSSP, por sus siglas en inglés). “No tengo una alternativa para el outsourcing, o externalización -tengo que traer a alguien que pueda proporcionar el nivel de seguridad que necesitamos y nos ayude con el despliegue, con el objetivo final de mover todo lo que está en las instalaciones”.
¿Por qué tiene sentido externalizar la seguridad?
Al igual que Phenix Energy Group, muchas pequeñas y medianas empresas están gravitando hacia un modelo de contratación externa para las operaciones de seguridad y del día a día, dado el creciente número de violaciones de los datos y el mayor enfoque en el riesgo. En una reciente encuesta a 287 profesionales de empresas y TI con sede en EE.UU. realizada por CIO, CSO y Computerworld, 56% de los encuestados dijeron que sus organizaciones están reclutando consultores externos para ayudar con la estrategia de seguridad de la información, y el 40% dijo que se están pasando a MSSP.
De acuerdo con la encuesta, las principales funciones que se externalizan son las evaluaciones de las pruebas/amenazas de penetración (citadas por el 70% de los 190 encuestados que dijeron que están recurriendo a consultores y proveedores de servicios gestionados MSSPs), filtrado de correo no deseado (46%), la información sobre amenazas (40%) , monitoreo del registro (34%), protecciones de firewall para aplicaciones anti-DDoS/web (27%), continuidad de negocio y recuperación de desastres (26%) y prevención (22%).
El outsourcing de las funciones de seguridad apela a las pequeñas y medianas empresas, en particular, debido a que sus recursos, a menudo, ya se han estirado bastante y la mayoría carecen de la anchura de banda para realizar adecuadamente las funciones de seguridad, según los expertos. Las organizaciones más pequeñas también son menos propensas a tener personas con habilidades especializadas en seguridad que puedan centrarse en mantenerse en la cima de un paisaje continuamente cambiante.
Otras circunstancias que empujan a las empresas hacia la externalización de seguridad incluyen el aumento en el número de usuarios malintencionados y la proliferación de productos diseñados para la seguridad de la empresa, de acuerdo con Garret Bekker, un analista de seguridad senior de 451 Research. Ambas tendencias hacen que la seguridad sea difícil de manejar para las organizaciones más pequeñas, añadió el analista. “La conclusión inevitable es que cada vez más empresas tienen que confiar en la seguridad manejada por un MSSP, porque no pueden mantenerse al día -simplemente no tienen el ancho de banda”, afirmó Bekker, quien sostuvo que el ahorro de tiempo es el principal beneficio del outsourcing, lejos del ahorro de costos en la lista de ventajas.
Outsourcing: No es una proposición
Brendan O’Malley, CIO en una serie en medianas empresas y ahora consultor, señaló que el modelo de servicios externalizados o gestionados funciona porque a menudo no hay otra persona, aparte del CIO, dedicada a la seguridad, lo que crea un riesgo a la empresa. “La seguridad termina siendo recortada y repartida al 10% en los puestos de trabajo de varias personas, pero ya que nadie más allá del CIO es responsable, es muy difícil avanzar o estar al día en el camino por el que hay que ir”, explicó. “Es absolutamente necesario tener algún tipo de apoyo externo”.
Para Blackhawk Community Credit Union, tener apoyo de los proveedores externos, incluyendo MSSP, no solo ayuda a descargar parte del trabajo de seguridad, sino que también significa que la organización tiene una cobertura 24/7, 365 días al año por parte de personal altamente calificado. Richard Borden, vicepresidente de TI de Blackhawk, señaló que su personal de ocho personas no sería capaz de proporcionar ese tipo de servicio, porque tienen que manejar todo tipo de problemas de TI, incluyendo la seguridad, de más de 150 usuarios.
Sin embargo, en lugar de descargar todo a MSSP, Credit Union tiene un enfoque de tres vertientes, haciendo la estrategia de seguridad y planificación de políticas por su cuenta, reclutando consultores para realizar funciones especializadas, como las revisiones periódicas de firewall, y apoyarse en su MSSP -en este caso, Dell SecureWorks- para funciones como la gestión del sistema de protección contra intrusos y firewall, anotó Borden.
“Pueden ver las tendencias globales en todos los clientes y feeds que consiguen, lo que me da más confianza, ya que no tengo que despertar en la noche preocupado por la red”, señaló. “Si estas personas ven algo sospechoso, se pondrán en contacto conmigo”.
El proceso de alerta es donde el outsourcing puede ser complicado para las tiendas más pequeñas, y las complicaciones potenciales podrían socavar el valor de uso de un MSSP. Si bien el outsourcing de la supervisión de registro y gestión de firewall a una tercera proporcionará una ventana a posibles problemas, los subcontratistas pueden tener dificultades para discernir entre los problemas de seguridad reales y el ruido, porque carecen de información sobre el funcionamiento interno de una organización y los comportamientos de los usuarios típicos, anotó Jeff Pollard, analista de Forrester Research.
Los subcontratistas necesitan ayuda
Con el fin de exprimir el máximo el valor de los servicios de seguridad externalizados, Pollard señaló que es obligatorio que las empresas establezcan procesos y canales de comunicación que puedan proporcionar información a los MSSPs para darles el contexto adecuado para la evaluación de las alertas. Por otra parte, las empresas que trabajan con proveedores de servicios también deben estar preparadas para explorar y solucionar más eventos, debido a que los MSSPs suelen hacer un mejor trabajo que los empleados internos, cuando se trata de detectar actividades sospechosas, explicó.
“Los MSSPs tienen mucha visibilidad entre los clientes y pueden ser relevantes para cada uno, pero lo que no entienden son las cosas únicas de su organización -las cuestiones micro frente a las cuestiones macro, o qué unidades de negocio son más sensibles”, añadió Pollard. “Las empresas necesitan a alguien de dentro de la organización para que sirva de enlace”.
Elija cuidadosamente
Pero ser un enlace puede llevar mucho tiempo. Pregúntele a Wes Farris, el oficial de seguridad de la información y el enlace MSSP en el Harris Center para la Salud Mental. Él tiene tantas cosas por hacer que solo puede pasar una cantidad limitada de tiempo para trabajar con el MSSP, con el fin de afinar la vigilancia y alerta de registro para reflejar los hábitos de trabajo de sus usuarios y del negocio. “Para obtener más valor de este servicio, debemos estar sintonizados de forma proactiva, y no tengo tiempo. Es un trabajo a tiempo completo”, comentó, añadiendo que el centro no puede permitirse el lujo de contratar a un empleado adicional a tiempo completo para centrarse en el papel de enlace.
Al igual que con cualquier relación de proveedores, Farris y otros dijeron que es importante manejar su MSSP y que rinda cuentas. Farris recomendó elegir un socio con experiencia en su industria específica. Hacer la debida diligencia para seleccionar el proveedor de servicios adecuado es fundamental, dada la importancia de la seguridad de TI – y porque es difícil cortar lazos y pasar a otro proveedor si las cosas no salen bien, anotó.
“Una vez que ejecuta un contrato de servicios gestionados en el que está monitorizando cientos o miles de dispositivos, no es fácil de quitar y reemplazar”, añadió Farris. “Hay que asegurarse de que esta es una empresa que desea utilizar, que los conjuntos de herramientas son expansivos y que las personas que trabajan allí son en quienes puede confiar”.
-Bet Stackpole, CIO (EE.UU.)