Seguridad Gestionada: casi todo lo que tienes que saber y un extra

Hasta hace no demasiados años, eran mayoría las empresas que consideraban que contar con un firewall y un antivirus era más que suficiente para protegerse contra las amenazas informáticas. La realidad sin embargo no puede ser más diferente. La creciente complejidad e intensidad de los ciberataques, la popularización del ransomware o el empleo de la inteligencia artificial como vector de amenazas, está exigiendo a compañías de todos los tamaños el contar con sistemas de protección más sofisticados.

En muchos casos esas mismas empresas no cuentan con recursos propios para poder afrontar con un mínimo de garantías esas amenazas, lo que da a lugar a que anualmente se publiquen estudios específicos sobre el porcentaje de CISOS que más allá del estrés propio de este puesto, llegan a situaciones de burn-out (en 2024 casi el 80%)

Conscientes de esta situación, los grandes fabricantes de soluciones de ciberseguridad están animando desde hace tiempo a las empresas a externalizar (parcial o completamente) su protección informática, dejándola en manos de proveedores que plantean un enfoque integral para proteger los sistemas, los datos y las redes. Destacan aquí dos figuras fundamentales: MSP y MSSP.

Comencemos con los conocidos como Managed Services Providers (proveedores de servicios administrados): ofrecen ayuda en tareas de TI, copias de seguridad, restauración, continuidad de negocio y en ocasiones, ciertos servicios de ciberseguridad. En lugar de cobrar un pago único una vez completado el proyecto y realizar solo renovaciones o reemplazo de hardware, los MSP cobran una tarifa mensual por usuario, por sitio o por dispositivo, a menudo por un período mínimo determinado.

Un paso más dan los MSSP (proveedores de servicios de seguridad administrada), que podríamos definir como un MSP orientado específicamente a ofrecer servicios de ciberseguridad y que pueden con trabajar con uno o con varios fabricantes. Los MSSP suelen contar con expertos altamente capacitados y en ocasiones, se organizan en lo que se denomina como Centros de Operaciones de Seguridad (SOC).

En este sentido, en un SOC encontramos equipos que se encargan de monitorizar 24×7 toda la infraestructura informática de una organización. Su misión es detectar, analizar y responder a incidentes de seguridad en tiempo real. Esta orquestación de las funciones de ciberseguridad permite al equipo del SOC mantener la vigilancia sobre las redes, los sistemas y las aplicaciones de la organización y garantiza una posición de defensa proactiva contra las ciberamenazas. Entre los servicios que ofrecen los MSSP, encontramos:

Servicios de preparación, planificación y prevención

• Inventario de activos: mantienen un inventario exhaustivo de todo lo que hay que proteger, dentro o fuera del centro de datos (aplicaciones, bases de datos, servidores, servicios en la nube, endpoints, etc.) y todas las herramientas utilizadas para protegerlos.
• Mantenimiento preventivo: aplicación de parches, actualizaciones de software, y la actualización continua de firewalls, listas de permitidos y bloqueados, y políticas y procedimientos de seguridad.
• Plan de respuesta: elaboración del plan de respuesta de incidentes de la organización, que define actividades, roles y responsabilidades en el caso de una amenaza o incidente.
• Pruebas periódicas: evaluaciones de vulnerabilidad y pruebas de pentesting que identifican la vulnerabilidad de cada recurso ante las amenazas potenciales.

Monitorización, detección y respuesta

• Monitorización de la seguridad: monitorización de toda la infraestructura de TI (aplicaciones, servidores, software del sistema, dispositivos informáticos, cargas de trabajo en la nube, la red) 24 horas al día, 7 días a la semana, 365 días al año, en busca de cualquier actividad sospechosa.
• Gestión de registros: recopilación y análisis de datos de registro generados por cada evento de red, en busca de anomalías que puedan indicar una actividad sospechosa.
• Detección de amenazas: clasificación de las distintas amenazas, objetivación de incidentes reales y falsos positivos, ordenándolas en función de su gravedad y la necesidad de dar respuesta.
• Respuesta a incidentes: ante una amenaza real o un incidente de seguridad, se actúa investigando la causa raíz, aislando áreas comprometidas de la red corporativa, apagando los endpoints que han podido ser afectados, deteniendo aplicaciones y servicios comprometidos, eliminando activos infectados, etc.

Recuperación y cumplimiento

• Recuperación y corrección: una vez se contiene un incidente, se llevan a cabo las acciones necesarias para erradicar la amenaza y se trabaja para recuperar los activos afectados.
• Análisis forense: para evitar que el mismo incidente se repita, se utiliza cualquier información obtenida del incidente para abordar mejor las vulnerabilidades, actualizar los procesos y las políticas, o elegir nuevas herramientas de ciberseguridad.
• Gestión del cumplimiento: finalmente el MSSP se encarga de garantizar que todas las aplicaciones, sistemas y herramientas y procesos de seguridad cumplan con las regulaciones de privacidad de datos.

Entre los beneficios que encuentran las empresas que confían en este tipo de servicios destacan por supuesto la mejora en la gestión de riesgos que va a experimentar (si o sí) la organización, pero también más garantías a la hora de estar al día en el cumplimiento normativo, una detección más eficaz de cualquier tipo de amenza y una respuesta mejorada ante los ciberincidentes.

Para saber más

Si quieres saber más sobre lo que pueden aportar los servicios gestionados de seguridad o qué valor puede ofrecerte el convertirte en un MSSP, te recomendamos que no te pierdas «Ciberseguridad gestionada: el valor de los servicios» un webinar en el que el próximo 17 de octubre, los expertos de WatchGuard y SonicWall repasarán los puntos más importantes que tenéis que tener en cuenta. ¡No os lo perdáis!