Managed Security Services

Debido a la amplia di­gi­ta­li­za­ción, las empresas y or­ga­ni­za­cio­nes están tra­s­la­da­n­do sus ac­ti­vi­da­des a espacios virtuales y redes digitales. Esto tiende a aumentar la efi­cie­n­cia, pero también supone una mayor po­si­bi­li­dad de sufrir ci­ber­ata­ques. Por ello, las or­ga­ni­za­cio­nes se ven obligadas a afrontar el problema de la seguridad in­fo­r­má­ti­ca. La regla de oro es la acción proactiva. Es mejor prevenir los ataques que intentar reparar los daños una vez se hayan producido.

An­te­rio­r­me­n­te, los servicios de seguridad de la in­fo­r­ma­ción eran prestados por personal interno de la empresa. Sin embargo, dado que solo las grandes empresas ge­s­tio­na­ban centros de datos que contaban con los es­pe­cia­li­s­tas adecuados, este no solía ser el caso de las empresas más pequeñas. Pero incluso las grandes empresas se vieron rá­pi­da­me­n­te de­s­bo­r­da­das debido a la co­m­ple­ji­dad del asunto y a los co­n­s­ta­n­tes cambios en el ámbito de las amenazas.

La realidad es que el juego del gato y el ratón de la pro­te­c­ción de los sistemas propios contra las bandas mundiales de ci­be­r­de­li­n­cue­n­tes es caro y consume recursos co­n­ti­nua­me­n­te. Por ello, resulta co­n­ve­nie­n­te su­b­co­n­tra­tar los servicios de seguridad a es­pe­cia­li­s­tas. Estos tienden a prestar mejores servicios con una mayor efi­cie­n­cia, es decir, con menores costes. Ana­li­ce­mos en detalle los “Managed Security Services” que se prestan dentro de este contexto.

Los Managed Security Services (MSS) son servicios que sirven para gestionar y ga­ra­n­ti­zar la seguridad in­fo­r­má­ti­ca de empresas u otras or­ga­ni­za­cio­nes. Los MSS son su­mi­ni­s­tra­dos por pro­vee­do­res es­pe­cia­li­za­dos, los llamados “Managed Security Service Providers” (MSSP). Entre los mayores MSSP se en­cue­n­tran los gigantes de la industria in­fo­r­má­ti­ca IBM, AT&T y Verizon, así como empresas de co­n­su­l­to­ría como Accenture y Deloitte. El principio de los MSS es su­b­co­n­tra­tar el servicio a un co­la­bo­ra­dor externo. Esto convierte a los MSSP en un tipo especial de Managed Service Provider (MSP).

Antes de analizar los Managed Security Services pro­pia­me­n­te dichos, hagamos una breve incursión en el mundo de la seguridad in­fo­r­má­ti­ca. Si estás fa­mi­lia­ri­za­do con los tres pri­n­ci­pios fu­n­da­me­n­ta­les de la seguridad de la in­fo­r­ma­ción, en­te­n­de­rás mejor la situación de tensión entre los sistemas in­fo­r­má­ti­cos, los ci­ber­ata­ques y los MSSP. Los tres pri­n­ci­pios fu­n­da­me­n­ta­les son la “Co­n­fi­de­n­tia­li­ty”, “Integrity” y “Ac­ce­s­si­bi­li­ty”, a menudo abre­via­dos como CIA:

En principio, los Managed Security Service Providers (MSSP) prestan todo tipo de servicios que co­n­tri­bu­yen a mantener la seguridad in­fo­r­má­ti­ca. Volvamos a examinar los términos pe­r­ti­ne­n­tes desde el punto de vista de la seguridad de la in­fo­r­ma­ción:

Entonces, ¿qué hacen los MSSP? Los MSSP protegen los recursos proac­ti­va­me­n­te frente a ataques y daños, analizan los in­ci­de­n­tes, responden a ellos y pro­po­r­cio­nan sistemas que generan alertas. Veamos en detalle los servicios que ofrecen los MSSP.

En primer lugar, un Managed Security Service Provider (MSSP) es el encargado de resolver todas las cue­s­tio­nes relativas a la seguridad in­fo­r­má­ti­ca que tenga el cliente. Como parte de la pla­ni­fi­ca­ción es­tra­té­gi­ca, los MSSP ayudan a definir objetivos, detectar riesgos e ide­n­ti­fi­car opo­r­tu­ni­da­des. El cliente se beneficia de la ex­pe­rie­n­cia y los co­no­ci­mie­n­tos es­pe­cia­li­za­dos del proveedor.

En concreto, los MSSP nos indican qué sistemas se deben instalar y gestionar y cómo. Esto incluye el hardware, el software y la co­n­fi­gu­ra­ción que debe utilizar el cliente del MSSP. En parte, estos sistemas son pro­po­r­cio­na­dos di­re­c­ta­me­n­te por el MSSP, los cuales hoy en día se suelen contratar en la nube; de lo contrario, el proveedor gestiona los sistemas que se ejecutan en las propias in­s­ta­la­cio­nes del cliente. Además, los MSSP ayudan al cliente a aplicar las mejores prácticas que incluyen, entre otros, la correcta formación de los empleados.

Además del ase­so­ra­mie­n­to proactivo, la asi­s­te­n­cia de eme­r­ge­n­cia es un servicio fu­n­da­me­n­tal del Managed Security Service. Al fin y al cabo, en caso de sufrir daños se requiere una respuesta rápida. Al mismo tiempo, es esencial que no cunda el pánico, ya que, de lo contrario, se corre el riesgo de empeorar la situación. Los es­pe­cia­li­s­tas ex­pe­ri­me­n­ta­dos en el ámbito del Managed Security Service Provider ya han vivido y conocen las si­tua­cio­nes más ha­bi­tua­les. Estos pueden evaluar los riesgos y re­co­me­n­dar la mejor forma de actuar.

Aunque recibir el apoyo de un Managed Security Service Provider en caso de daños vale su peso en oro para una or­ga­ni­za­ción, a menudo esta ayuda llega demasiado tarde. Por ejemplo, si se han robado datos sensibles, una vez han cambiado de manos, la única opción que queda es intentar limitar los daños. Por lo tanto, es mejor actuar de forma proactiva.

La base de la acción proactiva reside en la pla­ni­fi­ca­ción previa y la su­pe­r­vi­sión continua de las es­tru­c­tu­ras críticas. Esto incluye sistemas in­fo­r­má­ti­cos como di­s­po­si­ti­vos finales, entornos de nube, al­ma­ce­na­mie­n­to de datos y redes. Se su­pe­r­vi­san los sistemas para detectar la aparición de patrones so­s­pe­cho­sos. Si se detecta un incidente, se generan alertas y, a partir de ahí, se adoptan las medidas de­fe­n­si­vas o de rescate co­rre­s­po­n­die­n­tes.

La su­pe­r­vi­sión de los recursos in­fo­r­má­ti­cos requiere sistemas es­pe­cia­li­za­dos que generen alertas en tiempo real. Esta es la única manera de reac­cio­nar a tiempo. Al fin y al cabo, las redes in­fo­r­má­ti­cas son objeto de co­n­s­ta­n­tes ataques. En el nivel más bajo se utilizan medidas de defensa au­to­ma­ti­za­das. Veamos algunas de ellas.

Los co­r­ta­fue­gos om­ni­pre­se­n­tes filtran los paquetes no au­to­ri­za­dos basándose en reglas es­ta­n­da­ri­za­das. De este modo co­n­s­ti­tu­yen la base de la seguridad de la red. Los co­r­ta­fue­gos se co­n­fi­gu­ran tanto a nivel de hardware es­pe­cia­li­za­do como a nivel de software. Además, se utilizan sistemas de detección de ataques como los “Intrusion Detection Systems” (IDS) o “Intrusion Pre­ve­n­tion Systems” (IPS), que ajustan las reglas de los co­r­ta­fue­gos en respuesta a los in­ci­de­n­tes de­te­c­ta­dos en tiempo real. Los IDS e IPS se utilizan tanto como parte del hardware de la red como en los di­s­po­si­ti­vos finales de los usuarios.

La gestión de ac­tua­li­za­cio­nes y parches es menos glamurosa que la lucha contra los hackers, pero no por ello menos im­po­r­ta­n­te. Los parches son una parte esencial de la es­tra­te­gia de seguridad in­fo­r­má­ti­ca, ya que una buena gestión de estos elimina la base de muchos ataques. Además, es muy fácil su­b­co­n­tra­tar la gestión de las ac­tua­li­za­cio­nes como Managed Security Service. En principio, pueden surgir problemas con cada ac­tua­li­za­ción, por lo que, si un proveedor de estos servicios realiza la misma ac­tua­li­za­ción para muchos de sus clientes, se conocerá los problemas y sus so­lu­cio­nes de antemano por el simple hecho de haber realizado tantas veces el mismo proceso.

En el tra­n­s­cu­r­so del enfoque proactivo, los Managed Security Service Providers asumen otra función. Analizan los sistemas de sus clientes en busca de de­bi­li­da­des y vu­l­ne­ra­bi­li­da­des. El objetivo es minimizar la pro­ba­bi­li­dad de que se produzcan brechas de seguridad y la gravedad de los daños derivados de ellas. Aquí entran en juego di­fe­re­n­tes métodos.

En una auditoría de seguridad se co­m­prue­ban todas las áreas de una or­ga­ni­za­ción en busca de vu­l­ne­ra­bi­li­da­des. Además de los aspectos técnicos obli­ga­to­rios, se presta especial atención a los factores or­ga­ni­za­ti­vos y humanos. En primer lugar, los co­no­ci­mie­n­tos ad­qui­ri­dos durante la auditoría se utilizan para ide­n­ti­fi­car los puntos débiles a partir de las co­n­clu­sio­nes extraídas de estos e iniciar mejoras en el sistema.

Por otro lado, los “White Hat Hacker” (hackers de sombrero blanco) bien in­te­n­cio­na­dos intentan socavar o burlar las pre­cau­cio­nes de seguridad de un sistema dentro del marco de las llamadas “pruebas de pe­ne­tra­ción” (pentest). Durante el pe­n­te­s­ti­ng se utilizan los mismos métodos y he­rra­mie­n­tas que también emplean los “Black Hat Hackers” (hackers de sombrero negro) ma­li­n­te­n­cio­na­dos. Si se consigue hackear el objetivo con éxito, los pe­n­te­s­te­rs revelan qué vu­l­ne­ra­bi­li­da­des han explotado para ello y refuerzan los sistemas a partir de esa in­fo­r­ma­ción. Así estarán mejor pro­te­gi­dos contra ataques similares de actores ma­li­cio­sos.

Por último, pero no por ello menos im­po­r­ta­n­te, los Managed Security Service Provider (MSSP) ayudan a sus clientes a cumplir la normativa vigente y a aplicar co­rre­c­ta­me­n­te las mejores prácticas. El asunto del cu­m­pli­mie­n­to de la normativa se conoce como “re­gu­la­to­ry co­m­plia­n­ce” (abreviado como “co­m­plia­n­ce”). La su­pe­r­vi­sión por parte de un MSSP del cu­m­pli­mie­n­to de la normativa por parte de un cliente se denomina “co­m­plia­n­ce mo­ni­to­ri­ng”.

El cu­m­pli­mie­n­to de la normativa es es­pe­cia­l­me­n­te im­po­r­ta­n­te en sectores críticos como la sanidad, los seguros, las or­ga­ni­za­cio­nes jurídicas, la banca y las finanzas. Porque en caso de sufrir daños solo se puede evitar dar una mala imagen de la empresa y evitar pagar altas in­de­m­ni­za­cio­nes si pre­via­me­n­te se ha ga­ra­n­ti­za­do el cu­m­pli­mie­n­to de la normativa.

El propósito de contratar los Managed Security Services es mejorar la seguridad a la vez que reducir los costes. Los Managed Security Service Providers (MSSP) adoptan un método si­s­te­má­ti­co para auditar y gestionar los problemas re­la­cio­na­dos con la seguridad. Sus co­no­ci­mie­n­tos es­pe­cia­li­za­dos en el ámbito de la seguridad co­n­tri­bu­yen a mantener unos niveles de seguridad más elevados. Si es necesario, el MSSP pro­po­r­cio­na el hardware necesario para alcanzar esa seguridad.

La continua su­pe­r­vi­sión de la seguridad permite tomar co­n­tra­me­di­das proac­ti­vas frente a un ataque. Las brechas de seguridad se detectan y eliminan con an­te­la­ción, las redes y los sistemas in­fo­r­má­ti­cos se su­pe­r­vi­san y los ataques se impiden au­to­má­ti­ca­me­n­te. El cliente se beneficia de los co­no­ci­mie­n­tos de seguridad de un proveedor de servicios con ex­pe­rie­n­cia, ya que los es­pe­cia­li­s­tas con co­no­ci­mie­n­tos en el campo de la seguridad están al día de las novedades. En función de las ne­ce­si­da­des, los Managed Security Services se suelen prestan de forma flexible, tanto a distancia o como di­re­c­ta­me­n­te in situ.

Por parte del cliente, esto supone una reducción de costes en cuanto al ahorro en tiempo propio y en gastos derivados del adie­s­tra­mie­n­to y la co­n­tra­ta­ción de personal es­pe­cia­li­za­do. Además, al poder co­n­ce­n­trar­se en la actividad principal de la empresa se consigue un uso más eficiente de los recursos di­s­po­ni­bles. Los Managed Security Services se suelen ofrecer con di­fe­re­n­tes niveles de re­n­di­mie­n­to. Esto hace que los costes de la seguridad in­fo­r­má­ti­ca sean tra­n­s­pa­re­n­tes y pre­vi­si­bles. Todo esto consigue minimizar los costes y optimizar la seguridad al mismo tiempo.

Si ne­ce­si­ta­mos acogernos a una normativa especial, como ocurre en el sector sanitario o fi­na­n­cie­ro, se puede recurrir a Managed Security Service Providers es­pe­cia­li­za­dos. Estos ofrecen paquetes completos que se adaptan pe­r­fe­c­ta­me­n­te a las ne­ce­si­da­des de los clientes e incluyen los Managed Security Services ne­ce­sa­rios a un precio óptimo.