Blog

Serviços Gerenciados de Segurança

Written by NEC | 6/out/2016 19:30:00

Para companhias que investiram recursos significativos de tempo e dinheiro para montar e manter sua infraestrutura de segurança, a decisão de compartilhar responsabilidades com um parceiro parecia impensável até uns anos atrás. Mas a verdade é que lidar com o crescimento acelerado das ciberameaças mudou radicalmente essa postura e cada vez mais a adoção de MSS – Managed Security Services (serviços gerenciados de segurança) é uma realidade.

Segundo Pesquisa da PWC, “não é possível combater as ameaças de hoje com as estratégias de ontem. É necessário um novo modelo de segurança da informação, que leve em consideração o conhecimento das ameaças do ciberespaço, dos ativos de informação e dos motivos e alvos dos potenciais atacantes”. Ao nos depararmos com essa nova realidade, é compreensível a mudança de postura corporativa para sua proteção de dados e mitigação de riscos de segurança

Porque as organizações estão migrando para os serviços gerenciados 

  • Para a grande maioria das empresas, a segurança não é seu core business.
  • Obter, manter e reter os profissionais com o conhecimento adequado para proteger a informação no complexo e mutante ambiente de TI, além de caro pode ser simplesmente inviável para a maioria das corporações. Isto porque os profissionais de segurança são naturalmente atraídos pelas empresas especializadas em busca de uma carreira no setor.
  • O tempo para implementar novas soluções de segurança é sempre curto. Mesmo que a empresa possua profissionais capacitados na tecnologia, dificilmente os terá em quantidade e com disponibilidade suficiente para fazê-lo no tempo esperado. Empresas especializadas possuem estes recursos disponíveis como parte do modelo de negócio.

MSSP - Managed Security Services Provider

As empresas atuantes nesse segmento são denominadas MSSP (Managed Security Services Providers) e possuem 4 tipos:

  1. Pure Players: são especialistas no assunto. Dispõem de soluções tecnológicas avançadas, plataformas abertas, integração de sistemas de segurança, flexibilidade, boa relação custo benefício e alto nível de serviço.
  2. Generalistas de outsourcing de TI: serviços de segurança são um item adicional do portfolio. Por vezes incorporam essa capacidade a partir de aquisições de players especializados. Os preços variam de acordo com a capacidade de negociação.
  3. Operadoras de Telecomunicações: originaram o segmento fornecendo proteção para as conexões privadas e com a Internet agregadas aos serviços de comunicação de dados. Representam uma parte do segmento no mundo e têm em sua carteira de clientes empresas de pequeno ou médio porte que procuram serviços simplificados e padronizados.
  4. Fabricantes de produtos de segurança: empresas que tradicionalmente vendem produtos de segurança iniciaram, recentemente, unidades de negócio para venda de serviços. No entanto, embutem os riscos inerentes de adotar um conjunto de serviços e produtos de um único fornecedor.

 

Características de um MSSP

  • Expertise
    Recursos internos de alto nível com conhecimento continuamente atualizado das mais recentes estratégias de ataque, ameaças na rede e vulnerabilidades, além de informações atualizadas sobre ameaças emergentes e formas de combatê-las com processo adequado de resposta a incidentes de segurança.
  • Maior amostragem
    Provedores de serviços gerenciados atuam em diversas empresas ao mesmo tempo, o que possibilita um enorme contato com as ameaças que circulam pelas redes mundiais, permitindo que possam antecipar estratégias e ações de proteção para seus clientes.
  • Portal do Cliente
    Ferramenta de gerenciamento centralizado, na web, a fim de que a equipe do cliente tenha uma visão de todo serviço prestado e facilidade na interação com o MSSP.
  • Cobertura 24x7
    Centros de operação de segurança (SOC) redundantes com alta disponibilidade, que funcionam em regime 24x7.
  • Gestão de ambientes heterogêneos
    Gerir as diferentes camadas e tecnologias de segurança de uma empresa requer equipe volumosa e especializada, que somente é economicamente viável com a estrutura e escala de um MSSP.

 

Ameaças crescentes

O ambiente de segurança da informação é realmente desafiador: ameaças cada vez mais potentes, velozes e sofisticadas, padrão de ataques migrando da tentativa de causar indisponibilidade para as tentativas de roubo ou uso de informação sensível com o objetivo de ganhar dinheiro, abertura das redes corporativas ao acesso remoto, uso intensivo de dispositivos de computação móvel, descentralização dos acessos à Internet, pressão interna para liberação do uso de redes sociais na rede corporativa, virtualização, adoção de sistemas "on the cloud" e, finalmente, o aumento inexorável da pressão regulatória sobre a gestão da informação.

Para lidar com os desafios impostos, além da conscientização dos colaboradores sobre cibersegurança, o profissional de segurança da informação precisa utilizar um arsenal de ferramentas (leia-se sistemas de segurança) complexas e difíceis de operar. Porém, ao comprar e implantar uma ferramenta dessas, a única coisa garantida é a despesa com a sua aquisição e implantação, invariavelmente alta. Isto porque a relação entre a qualidade da tecnologia escolhida e o resultado obtido é fortemente influenciada pela qualidade da implementação e da operação diária. Adquirir uma boa ferramenta realmente não garante o resultado esperado. Assim sendo, é razoável avaliar a possibilidade de contratar serviços especializados para selecionar, implantar e operar as ferramentas necessárias como forma de maximizar o resultado da aplicação do orçamento para proteção da informação.

 

 

Critérios para a contratação de um MSSP 

Antes de buscar um MSSP, faça uma avaliação de seu ambiente de segurança e verifique quais são suas necessidades reais para, então, buscar o fornecedor que melhor atenda a essas demandas. A correta avaliação da estrutura atual e a escolha do parceiro mais adequado ao seu ambiente e à sua necessidade de negócios são essenciais para que o trabalho com o MSSP tenha o resultado desejado. 

No processo de escolha do seu provedor de segurança, considere esses 8 critérios:

  1. Reputação e experiência do MSSP
    Verifique casos de sucesso publicados, além de rankings e estudos de institutos de pesquisa renomados.

  2. Threat Intelligence
    Certifique-se de que o MSSP está associado a grandes organizações mundiais. Isso traz uma expertise indispensável na hora de lidar com incidentes poucos ou ainda desconhecidos no Brasil.  

  3. Suporte de múltiplos fornecedores
    Garanta que seu fornecedor esteja apto para gerenciar seu ambiente, verificando sua experiência em gerir tecnologias de segurança de TI de ambiente heterogêneos, seu conhecimento comprovado e compliance com todas as normas requeridas, além de parcerias relevantes.

  4. Contratos flexíveis de acordo com os níveis de serviços 
    Defina um SLA (Service Level Agreement) que atenda à sua demanda e que esteja de acordo com a maturidade de sua estrutura de negócios.

  5. Infraestrutura de alta disponibilidade 
    Visite as instalações do provedor de serviços gerenciados de segurança e entenda seu processo de entrega de monitoração e detecção de ciberameaças, bem como de gerenciamento proativo e resposta a incidentes.

  6. Prova de Conceito (POC)
    Vá além do que é dito no discurso de vendas e analise cuidadosamente os resultados da POC.

  7. Estabilidade financeira
    Assim como em qualquer decisão de negócios, opte por um provedor financeiramente estável.

  8. Portfólio de segurança
    Importante que o provedor siga as melhores práticas segundo recomendações das principais organizações de segurança do mundo e que tenha seu processo de entrega de serviços gerenciados certificado pela norma ISO 27001.

 

Em caso de mudanças

Caso seja necessário trocar de fornecedor por qualquer motivo, não o faça de forma precipitada: planeje sua saída. Mesmo em casos em que o serviço esteja aquém do esperado – e esta seja a causa da mudança – primeiro busque um novo fornecedor antes de realizar a troca, de modo que não haja indisponibilidade de serviço e nem falta de proteção para sua empresa. 

Para a proteção da própria organização, o contrato com o MSSP deve conter provisões adequadas para ajustes ou para o encerramento do acordo de prestação de serviços.

A contratação de um MSSP significa muito mais que a terceirização de uma atividade importante: trata-se do estabelecimento de uma parceria com um fornecedor de serviços que o ajudará elevar o nível de maturidade de segurança de sua empresa.