Por: José Javier Orozco, Oficial de Seguridad de la Información de Banco Diners Club
La decisión de incorporar mecanismos de protección especializados demanda una inversión considerable en seguridad de la información y ciberseguridad para las organizaciones y la gran mayoría aún no está dispuesta a destinar un porcentaje de su presupuesto para la contratación y mantenimiento de servicios de seguridad gestionada que aparentemente no representarían un beneficio o podrían ser considerados como una ventaja competitiva.
Para que la junta directiva de una organización acepte invertir en servicios de seguridad gestionada se deben presentar situaciones en las cuales la ausencia de controles tendría como consecuencia la materialización de riesgos, lo cual a su vez desencadenaría en una disminución de los ingresos y en ciertos casos terminaría afectando a la reputación de la organización.
Elegir entre dotar de capacidades a los recursos internos responsables de garantizar la confidencialidad, integridad y disponibilidad de la información de la organización o recurrir a la contratación de servicios de seguridad gestionada con un tercero es una decisión que, en términos generales, se reduce al presupuesto disponible y el grado de aversión al riesgo de la organización.
En general, la contratación de servicios de seguridad gestionada es una opción que representa una menor inversión para las organizaciones y aprovecha el conocimiento y habilidades de los expertos en seguridad de la información y ciberseguridad designados para proveer el servicio.
Los servicios de seguridad gestionada, por definición, trasladan la operación de ciberseguridad de una organización a un tercero que cuenta con tecnología de última generación y recurso humano especializado en seguridad de la información y ciberseguridad. Regularmente, los proveedores de servicios de seguridad gestionada ofrecen distintos niveles de protección que se fundamentan en necesidades comunes de las organizaciones y cuyos costos varían según la cantidad y complejidad del servicio requerido.
Previo a la contratación de un servicio de seguridad gestionada, las organizaciones deben evaluar diferentes proveedores y comparar su oferta de servicios tanto a nivel comercial como técnico, pues un mismo servicio puede ofrecerse bajo distintas condiciones. Por ejemplo, las restricciones del flujo tráfico de red entrante y saliente (firewalls), la detección y bloqueo de tráfico malicioso (antimalware), el filtrado de correo electrónico no deseado (antispam) y demás servicios de seguridad gestionada pueden aprovechar la infraestructura tecnológica de la organización y permitir el acceso remoto del proveedor para administrar las herramientas.
Otra opción, que le confiere cierto grado de supervisión directa a la organización respecto a la gestión realizada por el proveedor, consiste en la administración compartida de los dispositivos de seguridad, usualmente con privilegios exclusivamente de visualización (lectura). Una tercera alternativa podría ser que el proveedor utilice su infraestructura tecnológica de seguridad y además que sea responsable totalmente de la operación.
Las tres modalidades de operación o inclusive combinaciones de estas contribuyen a incrementar el nivel de protección de los activos de información de una organización en el sentido de que expertos en seguridad de la información y ciberseguridad con conocimientos y habilidades certificadas y reconocidas internacionalmente diseñan, implementan y monitorizan constantemente los controles de seguridad de la información y ciberseguridad.
Por otra parte, es importante que en el análisis comparativo que efectúe una organización para la contratación de los servicios de seguridad gestionada, también se tenga en cuenta que estos se pueden implementar en la infraestructura local o en la nube del proveedor, ya que en el segundo escenario las condiciones contractuales deberían mantenerse aun cuando exista un proveedor del proveedor.
Una contratación directa, además de no incurrir en costos adicionales a la inversión original que realizarían las organizaciones, garantiza hasta cierto punto que los tiempos de respuesta no se vean afectados por inconvenientes en la infraestructura tecnológica o procesos de intermediarios.
Otro aspecto a la hora de evaluar la contratación de servicios gestionados es revisar los acuerdos de nivel de servicio (SLAs-Service Level Agreements) “tipo” que se mantendrán con la contratante. No obstante, las organizaciones están en la obligación de revisar dichos SLAs y adecuarlos conforme su estrategia de seguridad de la información y ciberseguridad para asegurar que los controles gestionados por los proveedores contribuyan a la prevención de la materialización de los riesgos de seguridad de la información, mantener la operación y posibilitar el desarrollo de nuevas oportunidades de negocio.
Como mínimo, los acuerdos deben contemplar las responsabilidades tanto de la contratista como de la contratante respecto a las acciones a ejecutar en los procesos de detección, contención y erradicación de las amenazas, así como en el mantenimiento de las configuraciones de las herramientas mediante las cuales se proveen los servicios. Adicionalmente, los SLAs deben especificar los tiempos de respuesta (desde la detección de las alertas hasta la aplicación de las acciones correctivas) que la organización está dispuesta a manejar en caso de registrarse eventos inusuales o sospechosos que podrían interrumpir las operaciones.
Considerando que los servicios de seguridad gestionada son procesos diseñados, implementados y monitorizados por expertos en seguridad de la información y ciberseguridad, más no controles aislados o independientes que terminan por complicar la identificación de amenazas y la correspondiente aplicación de mecanismos de contención o erradicación, es de vital importancia que los SLAs mantengan concordancia con los tiempos de respuesta definidos en los Procesos para Gestión de Incidentes de Seguridad de la Información de las organizaciones.
Independientemente de la modalidad de los servicios (infraestructura tecnológica del cliente con administración del proveedor o infraestructura tecnológica y administración del proveedor) seleccionada por una organización, los eventos generados por los dispositivos que se encuentren monitorizados constituyen el insumo principal para que los Equipos de Respuesta a Incidentes de Seguridad de la Información (CSIRTs-Computer Security Incident Response Teams) determinen si un conjunto de eventos anómalos, inusuales o sospechosos podría sugerir la existencia de un incidente, ejecutar acciones de contención en la infraestructura tecnológica que podría verse afectada, activar los planes de recuperación con base en la categoría del incidente (e.g. infección por código malicioso; recopilación de información; intentos de intrusión; acceso no autorizado; indisponibilidad de recursos; manipulación de información; fraude; sustracción, pérdida o fuga de información; entre otras); monitorizar la evolución de la situación hasta confirmar que la misma ha sido resuelta y documentar lo sucedido para mejorar las capacidades de respuesta ante eventos de similares características.