5 dicas para escolher o melhor Managed Security Service Provider (MSSP)

Um estudo recente mostra que a principal razão pela qual as empresas subcontratam certas responsabilidades a MSSPs, ou aos Fornecedores de Serviços Geridos (MSPs) que lidam com funções gerais de TI, é a eficiência que os especialistas externos proporcionam na gestão das soluções de cibersegurança. Outro motivo para esta escolha prende-se com a necessidade de obterem conhecimentos específicos e com o o facto de sentirem uma escassez importante no recrutamento de pessoal especializado.

Para proteger uma empresa, cada MSSP devem ter experiência comprovada e assumir a responsabilidade por quaisquer falhas que possam conduzir a incidentes. A empresa confia nele a sua total segurança, pelo que, se o parceiro falhar, toda a reputação e procedimentos aplicados ficam em cheque.

Procure perícia e experiência à medida

Ao escolher um MSSP, considere a experiência do potencial parceiro na prestação de serviços a outras empresas na sua região e setor ou escolha um parceiro com experiência mundial. Verifique há quanto tempo o parceiro está neste mercado - é normalmente mais seguro encontrar um fornecedor reconhecido do que escolher um novo interveniente.  Outro ponto significativo é a equipa: certifique-se de que o MSSP tem pessoal qualificado com a formação adequada e certificações globalmente reconhecidas.

É também particularmente importante verificar se o MSSP tem capacidades de investigação. Estas podem ser medidas pelo número e profundidade das suas publicações relacionadas com novas apeaças, ferramentas, técnicas e investigações. Uma forte vertente de perícia contribuirá para a obtenção de elevados níveis de deteção de ameaças e de mitigação. Isto pode ajudar a prevenir incidentes ou a minimizar as consequências, caso aconteça o pior.

Analise a tecnologia do MSSP: é uma solução empresarial ou uma ferramenta desenvolvida in-house?

Certifique-se de que o MSSP utiliza a tecnologia e as ferramentas mais relevantes para proporcionar uma segurança eficaz que se adapte especificamente à sua empresa. Um exemplo simples: um MSSP que se concentre na proteção do Windows não se enquadrará num ambiente construído em Unix. 

Na maioria dos casos, os MSSP podem ser divididos em dois grandes grupos: o primeiro utiliza soluções empresariais bem conhecidas (que podem ser compradas por qualquer empresa aos respetivos parceiros de canal), enquanto os outros recorrem a ferramentas desenvolvidas in-house ou de código aberto, com elevados parâmetros de personalização. A sua escolha depende de vários fatores, tais como se se adequa às suas tecnologias, a capacidade de se transformar num SOC interno, o valor após o fim do contrato, e outros critérios.

Articule SLAs (acordos de níveis de serviço) e métricas

Considere que métricas está a planear utilizar para medir a eficácia de um fornecedor e como estas serão monitorizadas e calculadas. As métricas mais utilizadas para os MSSP são o tempo de reação e o tempo de resposta. A última é qualificada de muitas formas diferentes pelos fornecedores, desde o momento em que as recomendações iniciais para mitigação foram fornecidas, até à conclusão da fase de contenção do ciclo de vida do tratamento de incidentes.

No entanto, podem existir outros indicadores adaptados especificamente às suas necessidades. Por exemplo, se a sua empresa tem como objetivo crescer rapidamente, o tempo para cobrir novos ativos será um fator determinante para si. A capacidade de estabelecer objetivos para o SLA que pode ser fornecido é também muito importante.

Estará o próprio ambiente do fornecedor devidamente seguro?

Será que o parceiro dá a devida atenção a medidas de segurança como a ciber-higiene e realiza avaliações regulares por peritos externos? Uma vez que a falta de recursos disponíveis é generalizada, na procura por uma maior rentabilidade alguns MSSP podem negligenciar os recursos aplicados na sua própria segurança, aceitando um número demasiado elevado de contratos comerciais. Tendo em conta que o MSSP se tornará numa parte da sua estratégia de segurança e num potencial vetor de ataque à sua empresa, este aspeto deve ser verificado se não quiser pôr em causa a sua proteção.

Veja se compensa dividir o serviço por múltiplos fornecedores

Isto é algo que precisa de decidir logo na fase de planeamento inicial das funções de segurança em outsourcing. Valerá a pena dividir os serviços por vários fornecedores? Por um lado, escolher o melhor fornecedor para serviços específicos pode ser útil, mas, por outro, a sua organização poderá beneficiar da sinergia dos serviços agregados disponibilizados pelo mesmo fornecedor. Por exemplo, obter serviços de monitorização e DFIR da mesma empresa terá um efeito positivo, porque as equipas podem trocar informações históricas sobre incidentes, bem como IoCs.

E quando adquirir serviços de segurança, não se esqueça de incluir nas condições contratuais a realização de testes de penetração e simulação de ataques. Isto será determinante para comprovar as valências do MSSP não só na defesa dos ativos da sua empresa, mas também na formação da sua equipa.