Para companhias que investiram recursos significativos de tempo e dinheiro para montar e manter sua infraestrutura de segurança, a decisão de compartilhar responsabilidades com um parceiro parecia impensável até uns anos atrás. Mas a verdade é que lidar com o crescimento acelerado das ciberameaças mudou radicalmente essa postura e cada vez mais a adoção de MSS – Managed Security Services (serviços gerenciados de segurança) é uma realidade.
Segundo Pesquisa da PWC, “não é possível combater as ameaças de hoje com as estratégias de ontem. É necessário um novo modelo de segurança da informação, que leve em consideração o conhecimento das ameaças do ciberespaço, dos ativos de informação e dos motivos e alvos dos potenciais atacantes”. Ao nos depararmos com essa nova realidade, é compreensível a mudança de postura corporativa para sua proteção de dados e mitigação de riscos de segurança.
Porque as organizações estão migrando para os serviços gerenciados
- Para a grande maioria das empresas, a segurança não é seu core business.
- Obter, manter e reter os profissionais com o conhecimento adequado para proteger a informação no complexo e mutante ambiente de TI, além de caro pode ser simplesmente inviável para a maioria das corporações. Isto porque os profissionais de segurança são naturalmente atraídos pelas empresas especializadas em busca de uma carreira no setor.
- O tempo para implementar novas soluções de segurança é sempre curto. Mesmo que a empresa possua profissionais capacitados na tecnologia, dificilmente os terá em quantidade e com disponibilidade suficiente para fazê-lo no tempo esperado. Empresas especializadas possuem estes recursos disponíveis como parte do modelo de negócio.
MSSP - Managed Security Services Provider
As empresas atuantes nesse segmento são denominadas MSSP (Managed Security Services Providers) e possuem 4 tipos:
- Pure Players: são especialistas no assunto. Dispõem de soluções tecnológicas avançadas, plataformas abertas, integração de sistemas de segurança, flexibilidade, boa relação custo benefício e alto nível de serviço.
- Generalistas de outsourcing de TI: serviços de segurança são um item adicional do portfolio. Por vezes incorporam essa capacidade a partir de aquisições de players especializados. Os preços variam de acordo com a capacidade de negociação.
- Operadoras de Telecomunicações: originaram o segmento fornecendo proteção para as conexões privadas e com a Internet agregadas aos serviços de comunicação de dados. Representam uma parte do segmento no mundo e têm em sua carteira de clientes empresas de pequeno ou médio porte que procuram serviços simplificados e padronizados.
- Fabricantes de produtos de segurança: empresas que tradicionalmente vendem produtos de segurança iniciaram, recentemente, unidades de negócio para venda de serviços. No entanto, embutem os riscos inerentes de adotar um conjunto de serviços e produtos de um único fornecedor.
Características de um MSSP
- Expertise
Recursos internos de alto nível com conhecimento continuamente atualizado das mais recentes estratégias de ataque, ameaças na rede e vulnerabilidades, além de informações atualizadas sobre ameaças emergentes e formas de combatê-las com processo adequado de resposta a incidentes de segurança.
- Maior amostragem
Provedores de serviços gerenciados atuam em diversas empresas ao mesmo tempo, o que possibilita um enorme contato com as ameaças que circulam pelas redes mundiais, permitindo que possam antecipar estratégias e ações de proteção para seus clientes.
- Portal do Cliente
Ferramenta de gerenciamento centralizado, na web, a fim de que a equipe do cliente tenha uma visão de todo serviço prestado e facilidade na interação com o MSSP.
- Cobertura 24x7
Centros de operação de segurança (SOC) redundantes com alta disponibilidade, que funcionam em regime 24x7.
- Gestão de ambientes heterogêneos
Gerir as diferentes camadas e tecnologias de segurança de uma empresa requer equipe volumosa e especializada, que somente é economicamente viável com a estrutura e escala de um MSSP.
Ameaças crescentes
O ambiente de segurança da informação é realmente desafiador: ameaças cada vez mais potentes, velozes e sofisticadas, padrão de ataques migrando da tentativa de causar indisponibilidade para as tentativas de roubo ou uso de informação sensível com o objetivo de ganhar dinheiro, abertura das redes corporativas ao acesso remoto, uso intensivo de dispositivos de computação móvel, descentralização dos acessos à Internet, pressão interna para liberação do uso de redes sociais na rede corporativa, virtualização, adoção de sistemas "on the cloud" e, finalmente, o aumento inexorável da pressão regulatória sobre a gestão da informação.
Para lidar com os desafios impostos, além da conscientização dos colaboradores sobre cibersegurança, o profissional de segurança da informação precisa utilizar um arsenal de ferramentas (leia-se sistemas de segurança) complexas e difíceis de operar. Porém, ao comprar e implantar uma ferramenta dessas, a única coisa garantida é a despesa com a sua aquisição e implantação, invariavelmente alta. Isto porque a relação entre a qualidade da tecnologia escolhida e o resultado obtido é fortemente influenciada pela qualidade da implementação e da operação diária. Adquirir uma boa ferramenta realmente não garante o resultado esperado. Assim sendo, é razoável avaliar a possibilidade de contratar serviços especializados para selecionar, implantar e operar as ferramentas necessárias como forma de maximizar o resultado da aplicação do orçamento para proteção da informação.
Critérios para a contratação de um MSSP
Antes de buscar um MSSP, faça uma avaliação de seu ambiente de segurança e verifique quais são suas necessidades reais para, então, buscar o fornecedor que melhor atenda a essas demandas. A correta avaliação da estrutura atual e a escolha do parceiro mais adequado ao seu ambiente e à sua necessidade de negócios são essenciais para que o trabalho com o MSSP tenha o resultado desejado.
No processo de escolha do seu provedor de segurança, considere esses 8 critérios:
- Reputação e experiência do MSSP
Verifique casos de sucesso publicados, além de rankings e estudos de institutos de pesquisa renomados.
- Threat Intelligence
Certifique-se de que o MSSP está associado a grandes organizações mundiais. Isso traz uma expertise indispensável na hora de lidar com incidentes poucos ou ainda desconhecidos no Brasil.
- Suporte de múltiplos fornecedores
Garanta que seu fornecedor esteja apto para gerenciar seu ambiente, verificando sua experiência em gerir tecnologias de segurança de TI de ambiente heterogêneos, seu conhecimento comprovado e compliance com todas as normas requeridas, além de parcerias relevantes.
- Contratos flexíveis de acordo com os níveis de serviços
Defina um SLA (Service Level Agreement) que atenda à sua demanda e que esteja de acordo com a maturidade de sua estrutura de negócios.
- Infraestrutura de alta disponibilidade
Visite as instalações do provedor de serviços gerenciados de segurança e entenda seu processo de entrega de monitoração e detecção de ciberameaças, bem como de gerenciamento proativo e resposta a incidentes.
- Prova de Conceito (POC)
Vá além do que é dito no discurso de vendas e analise cuidadosamente os resultados da POC.
- Estabilidade financeira
Assim como em qualquer decisão de negócios, opte por um provedor financeiramente estável.
- Portfólio de segurança
Importante que o provedor siga as melhores práticas segundo recomendações das principais organizações de segurança do mundo e que tenha seu processo de entrega de serviços gerenciados certificado pela norma ISO 27001.
Em caso de mudanças
Caso seja necessário trocar de fornecedor por qualquer motivo, não o faça de forma precipitada: planeje sua saída. Mesmo em casos em que o serviço esteja aquém do esperado – e esta seja a causa da mudança – primeiro busque um novo fornecedor antes de realizar a troca, de modo que não haja indisponibilidade de serviço e nem falta de proteção para sua empresa.
Para a proteção da própria organização, o contrato com o MSSP deve conter provisões adequadas para ajustes ou para o encerramento do acordo de prestação de serviços.
A contratação de um MSSP significa muito mais que a terceirização de uma atividade importante: trata-se do estabelecimento de uma parceria com um fornecedor de serviços que o ajudará elevar o nível de maturidade de segurança de sua empresa.