momius - Fotolia

Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Cómo encontrar un MSP para protegerse de la externalización de riesgos de TI

Vea qué preguntas hacer a los MSP para asegurarse de que cuentan con los sistemas de seguridad adecuados para proteger a su organización contra la externalización de riesgos de TI.

Las empresas de todos los tamaños luchan con el presupuesto, el acceso a talentos calificados y asequibles y la asistencia permanente que se necesita en el entorno competitivo y en constante cambio de hoy. Un personal sobrecargado de trabajo y sistemas de información inadecuadamente administrados o inseguros pueden provocar fallas trágicas en los sistemas y eventos de seguridad, así como clientes y empleados insatisfechos. Si se produce una brecha de seguridad importante o si los problemas de los sistemas son levemente inconsistentes, la marca, la lealtad del cliente y las ganancias de una empresa pueden ser devastadas.

Los proveedores de servicios administrados (MSP, por sus siglas en inglés) ayudan a llenar los vacíos, a respaldar iniciativas estratégicas y aligeran la carga que lleva el personal de TI interno de una organización para asegurarse de proteger a los clientes de la externalización o tercerización de riesgos de TI.

Pero debido a los recientes ataques de alto perfil en proveedores de servicios gestionados de TI, tanto locales como globales, el liderazgo empresarial puede estar preocupado por la seguridad de trabajar con un MSP. Los líderes de TI que ya confían en un MSP para proporcionar servicios de TI subcontratados tal vez quieran revisar esa relación para ver su aplicabilidad, seguridad y confiabilidad. Otras organizaciones están decidiendo si deberían contratar un MSP, y si es así, ¿cómo deberían decidir en qué MSP confiar?

Elegir un MSP tiene sentido a pesar de los ataques recientes, si las organizaciones encuentran el socio adecuado. Para ayudarlo a hacer eso, consulte la lista de preguntas a continuación para hacer preguntas a los MSP, ya sean socios potenciales o existentes.

"A menudo, el área de TI no puede hacerlo todo. Los MSP y los MSSP (proveedores de servicios de seguridad administrados) ciertamente tienen su lugar para ayudar a descargar el trabajo, agregar habilidades y redundancia. Sin embargo, necesitamos reducir la velocidad y pensar antes de simplemente entregar las llaves de nuestros reinos", según Chris Roberts, estratega en jefe de seguridad de Attivo Networks, un destacado experto en inteligencia contra amenazas.

La elección de un MSP no puede consistir solo en el precio, el envoltorio elegante o un ranking arbitrario basado en los ingresos que incluyen servicios poco definidos y no relacionados. La selección de un MSP debe consistir en encontrar al socio que ofrece un buen valor y evidencia de su privacidad y características de seguridad. El MSP debe poder demostrar que entiende lo que se necesita para entregar un servicio de seguridad o TI administrado, que protege al cliente y al MSP por igual.

Cómo los MSP protegen a los clientes contra el outsourcing de riesgos de TI

Para muchas organizaciones, los retrasos en las actualizaciones de hardware, parches de software y otras tareas de mantenimiento que pueden comprometer la seguridad son a menudo los primeros en sufrir en entornos donde los servicios de TI son proporcionados únicamente por personal interno con exceso de trabajo. Desde la falta de tiempo hasta la falta de personal durante la noche, realizar muchas tareas que requieren tiempo de inactividad simplemente se adapta mejor a los proveedores de servicios administrados.

Los MSP son excelentes para las tareas que son críticas pero que a menudo se dejan sin hacer debido a la falta de personal, al temor al proceso o simplemente porque se está demasiado ocupado para completarlas. "El parche de software, por ejemplo, es un servicio clave de MSP, y las personas que lo entregan son realmente importantes", dijo Roberts. "A nadie le gusta parchear, pero si soy un atacante y encuentro un sistema sin parches, ciertamente no quemaré un día cero o uno de mis métodos o herramientas de explotación personal en una prueba de penetración". El mercado de la tecnología es altamente competitivo, con un récord de desempleo tan bajo como el 1,9%. En un mercado tan competitivo, encontrar y retener a los profesionales internos puede ser un proceso desalentador y lento.

De acuerdo con Mark Essayian, CEO de KME Systems, un MSP con sede en Lake Forest, California, los MSPs realmente pueden hacer una diferencia en la vida de las empresas y el personal de seguridad. Los MSPs ofrecen la oportunidad de que el personal de TI de las empresas sea estratégico en lugar de estar siempre en las trincheras. Permiten que los empleados de la empresa tomen ese descanso para las vacaciones, duerman por la noche y tomen vacaciones reales cuando llegue el momento porque el MSP está de servicio.

"Además de lo obvio, contar con profesionales de MSP estratégicos que cuentan con el respaldo de TI interno realmente importa", dijo Roberts. "El agotamiento lleva a faltar a las señales que presentan nuestras plataformas o simplemente a no importarnos. Tener ayuda lo hace más fácil".

"La gente es crítica al elegir un MSP. Un cliente debe saber que el personal de un MSP está calificado, capacitado y entrenado", dijo Essayian. "Entre las preguntas que los posibles clientes deben plantearse está si los MSP se capacitan sobre amenazas nuevas y emergentes, así como sobre el resurgimiento de amenazas antiguas."

Ya sea que se trate de personal de TI interno o de profesionales de MSP, contar con personas bien capacitadas y con alta satisfacción laboral es clave para tener sistemas de TI bien administrados. Aliviar el estrés y mejorar los resultados son valores clave del uso de MSP seguros para protegerse contra la externalización de riesgos de TI.

Preguntas sobre seguridad que hacer a los MSP

Si está buscando un MSP o si está seguro de que aquel con el que ya trabaja puede protegerlo, asegúrese de que tenga los planes y sistemas de seguridad necesarios.

"En el proceso de descargar el trabajo y hacer nuestras vidas más fáciles, confiamos en qué y quién está detrás de la escena de un MSP", dijo Roberts. "Necesitamos ser duros y preguntar si el MSP tiene políticas, procedimientos y, por supuesto, controles para proteger nuestra información".

Los MSP aportan al mercado un conjunto diverso y amplio de talentos y capacidades. No todos son iguales, y si bien ningún departamento de TI o MSP es perfecto, algunos están mejor posicionados para ofrecer seguridad. Las organizaciones que se asocian con MSPs deben poder confiar en el MSP que eligen teniendo en cuenta sus mejores intereses.

Cuando hablen con potenciales MSP, averigüen si los candidatos hacen lo siguiente para protegerse contra la externalización de riesgos de TI:

  1. Tener un programa de seguridad formal que esté probado y aprobado.
  2. Incorporar la seguridad en la cultura a través de la capacitación, políticas, procedimientos y controles.
  3. Monitorear la red utilizando herramientas y técnicas de vanguardia.
  4. Tener monitoreo de red independiente como una capa adicional de seguridad.
  5. Aprovechar la inteligencia artificial y el aprendizaje automático para ayudar a identificar rápidamente un comportamiento anómalo.
  6. Realizar pruebas periódicas de vulnerabilidad y remediación para verificar el estado del sistema.
  7. Usar métodos y herramientas confiables para proteger los sistemas utilizados para acceder o almacenar información de los sistemas.
  8. Evaluar y evaluar adecuadamente a los empleados para obtener antecedentes y calificaciones.
  9. Supervisar y registrar el acceso de los empleados a los sistemas cliente.
  10. Haber probado planes de respuesta a incidentes de seguridad y desastres.
  11. Aprovechar la verificación independiente de auditores externos utilizando un marco de seguridad sólido.
  12. Aislar el acceso interno y la información a los niveles apropiados.
  13. Segmentar sistemas para limitar la capacidad de los atacantes para escalar.
  14. Entender el entorno regulatorio y cómo les afecta a ellos y a sus clientes.
  15. Tener una presencia basada en el país.
  16. Usar autenticación multifactor.
  17. Contar con un seguro cibernético que cubra los eventos de incumplimiento.
  18. Que tenga personal 24x7 frente a las pantallas y siempre prestando atención.
  19. Tener un sistema de copia de seguridad y continuidad seguro y probado.

A medida que las empresas continúan aprovechando los servicios de TI subcontratados, deben estar seguros de que están tomando las decisiones correctas. Los beneficios de una selección cuidadosa aumentan en gran medida la probabilidad de una relación exitosa y de largo plazo.

Este artículo se actualizó por última vez en julio 2019

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close