Proteger uma empresa contra ameaças cibernéticas requer vigilância constante sobre sua infraestrutura de segurança e ativos críticos de informação. A base para a proteção de uma rede corporativa é a constante coleta e análise, em tempo real, dos milhares de logs de segurança gerados pelos ativos da rede. Processos maduros e tecnologia avançada também são fundamentais para a efetiva detecção e resposta a incidentes.
Ao considerar um serviço de Monitoração de um MSSP, toda empresa deve estar alerta quanto a esses 5 pontos:
1. Defina as expectativas no início
É um erro supor que os MSSPs “farão qualquer coisa”. Definir as expectativas certas estabelece uma base para o sucesso do projeto com o provedor de segurança que vai cuidar da sua operação. No entanto, a organização é responsável por gerenciar o risco do negócio, já que é quem melhor entende seus próprios desafios. A gestão do risco não pode ser terceirizada.
2. Customização custa caro
Às vezes o cliente pensa que pode extensivamente personalizar a forma como o provedor atua, incluindo seus processos e atividades operacionais. Uma das características do MSSP é a de utilizar processos e ferramentas padronizadas, além de recursos compartilhados, resultando em uma base de conhecimento especializado e redução de custos. Algum grau de customização é normal, mas mudanças drásticas no procedimento acarretam em custos extras que, inevitavelmente, serão repassados ao cliente. Se o MSSP não cobra por isso, em algum momento este custo aparecerá, normalmente como problemas na entrega e baixa qualidade do serviço.
3. Inteligência de Segurança
Inteligência de segurança e profundo conhecimento do assunto são fundamentais para que a Monitoração de Segurança seja efetiva. No processo de escolha é fundamental que seja realizada uma prova de conceito do serviço a ser contratado para a avaliação da oferta e da capacidade do MSSP.
4. Coleta de dados insuficientes para a monitoração de segurança adequada
Alguns clientes não seguem a orientação de seu MSSP para incluir mais fontes de log em seu escopo de monitoração, uma vez que o serviço é contratado por número de ativos. Isso normalmente ocasiona perdas para o próprio cliente, pois é necessário um escopo mínimo para a ampla visibilidade do que acontece em sua rede. Exemplo: uma organização que contrata apenas alertas IPS e ignora dados de firewall e servidores fica sujeita à perda de ataques e à alertas de baixa qualidade - o pior cenário com muitos falsos-positivos. Um MSSP só pode avaliar e alertar sobre as atividades que são visíveis no âmbito do escopo contratado.
5. Falhas ao delimitar responsabilidades
É determinante, em qualquer relação comercial, delimitar responsabilidades. Lacunas no processo de monitoração - detecção, triagem e resposta a incidentes - são fatais. A menos que os fluxos de trabalho conjuntos sejam definidos, testados e aperfeiçoados - estabelecendo-se uma matriz de responsabilidades - o processo pode falhar.
