¿Y si los sistemas de seguridad de una empresa se hunden y la compañía no cuenta con un equipo interno de expertos que vuelva a poner todo en marcha? La situación cada vez es más preocupante, ya que el panorama de amenazas sigue evolucionando de forma constante y, con ello, las brechas de alto nivel. Por esta razón, las empresas deben evitar ser las próximas víctimas del ransomware y las amenazas avanzadas.
¿Cuál es la solución? Una podría ser contratar a un proveedor de servicios gestionados de seguridad (MSSP por sus siglas en inglés) especializado que pueda garantizar la seguridad informática de tu negocio.
El 60 % de las empresas empiezan a comprender la eficacia de los servicios gestionados de seguridad, en comparación con el 56 % del año pasado. Además, el año pasado hubo un 42 % de pequeñas y medianas empresas que usaron servicios de seguridad gestionados; el porcentaje asciende a 51 % en el caso de las grandes empresas. Estas compañías ya han caído en la cuenta de que un proveedor de seguridad gestionada es una buena solución para las necesidades de seguridad. Sin embargo, las estadísticas también muestran que no todas las compañías piensan los mismo.
Las cifras del último estudio anual IT Security Risks muestran que tan solo un 25 % de las empresas se plantean usar MSSP en 2018 para afrontar sus desafíos de seguridad. Algunas empresas grandes siguen sin estar convencidas de los beneficios que supone trabajar con proveedores de servicios de seguridad.
Lógicamente, los negocios tienen que sopesar los pros y los contras de usar un MSSP para establecer si este tipo de solución es efectiva (y apropiada) para ellos. Por tanto, son los MSSP los que tienen que convencer a las organizaciones de que ofrecen las soluciones adecuadas y, para ello, deben comprender la gran cantidad de desafíos a los que se enfrentan las compañías.
Vamos a echar un vistazo a la situación desde el punto de vista de las pequeñas, medianas y grandes empresas. ¿Cuáles consideran que son las ventajas e inconvenientes de trabajar con un MSSP?
¿Qué aleja a las empresas de los MSSP?
Las empresas se oponen a los MSSP por tres motivos. El primero es el precio, ya que el 29 % de las grandes empresas piensa que es muy elevado y el 39 % de las pymes afirma que sería muy complicado encontrar o justificar el presupuesto para obtener este soporte. Es probable que la mayoría de estas organizaciones necesiten servicios de seguridad gestionados, pero se centran más en el crecimiento del negocio y en la mayoría de los casos dejan a un lado la importancia de la seguridad interna. De hecho, algunos creen que no están en el punto de mira de los ciberdelincuentes.
Dicen que la ignorancia es la base de la felicidad, pero una base de datos de clientes hackeada junto con el costoso periodo de inactividad y la pérdida de clientes que conlleva distan mucho de la felicidad. Resulta alarmante que el 19 % de las grandes empresas y el 25 % de las pymes estén seguros de que no van a sufrir un ciberataque; de hecho, las pymes piensan que solo los grandes del mercado son objetivo de los ciberdelincuentes, cuando en realidad serían ellas las que más pérdidas sufrirían. Al ignorar o minimizar la ciberseguridad, los propietarios y directores relacionados con su empresa y aquellos que no cuenten con el elevado presupuesto de sus competidores ponen en riesgo el negocio.
Para aquellas compañías que sí saben cómo repercutiría un ataque en ellas y en sus clientes, el coste es más fácil de digerir, pero a algunos (el 32 % de las pymes y el 35 % de las grandes empresas) les cuesta confiar el acceso de sus sistemas a proveedores externos. Esta reticencia no sorprende, ya que cuando se conceden estos accesos entran en juego los datos personales, los secretos comerciales y la información sobre pagos, por lo que un negocio tiene que confiar por completo en el proveedor antes de entregar las llaves de su reino.
A todo esto hay que sumar la inquietante posibilidad de que un MSSP también sufra brechas o vulnerabilidades de seguridad.
Algunos negocios (el 31 % de las pymes y el 37 % de las grandes empresas) piensan que ya cuentan con los recursos internos adecuados para proteger su seguridad informática. Sin embargo, esto no es una solución permanente, ya que la demanda de profesionales de seguridad informática está creciendo y podrían sentirse tentados por otras empresas más importantes. Un contrato en curso de MSSP, con un acuerdo de nivel de servicio (ANS) estricto, asegura una cobertura total de la seguridad de la compañía.
Qué aporta un MSSP
A pesar de las dudas, las empresas tienen muchas razones para usar un MSSP que cumpla con sus requisitos de seguridad informática.
El primer beneficio para las empresas, y quizá el más importante, es el presupuesto. La mayoría de las organizaciones están de acuerdo: el 54 % de las grandes empresas y el 51 % de las pymes consideran que asociándose con un MSSP se reducen los costes relacionados con la seguridad. En cuanto a las compañías que ya invierten en personal a tiempo completo, un MSSP podría suponer una reducción en los costes directos de seguridad informática: las medidas rigurosas de protección y formación y la concienciación del personal (una cifra que aumenta con cada nuevo empleado). En vez de añadirlo a sus gastos, las empresas pueden clasificar la seguridad como un proyecto de empresa, facilitando la inversión en servicios de seguridad, una consideración muy importante cuando los costes asociados a una brecha de seguridad pueden perjudicar los resultados de la compañía y afectar a sus estimaciones.
En cuanto a las compañías preocupadas por su seguridad informática, un acuerdo de nivel de servicio puede conceder una red segura o una cobertura de seguridad. Los propietarios y directivos desean que alguien se encargue de su seguridad y un 42 % de las pymes y un 43 % de las grandes empresas quieren que un proveedor externo sea el que realice esta tarea para estar tranquilos.
La subcontratación puede conllevar un cambio de mentalidad y extenderse a otros aspectos informáticos de la empresa. Los recursos y habilidades internos requeridos para la supervisión informática pueden unirse y confiar en recursos externos para manejar otros aspectos de la compañía que puedan ayudar en los gastos de la organización. De hecho, el 35 % de las pymes y el 41 % de las grandes empresas de nuestro estudio buscan subcontratar sus sistemas informáticos, incluida la seguridad, a un proveedor externo.
La ventaja más evidente de un MSSP es que puede cubrir una brecha de seguridad informática. En nuestro estudio, el 25 % de las grandes empresas y el 28 % de las pymes han admitido que carecen de los recursos internos y de la experiencia necesarios en seguridad informática, por ello, el negocio queda vulnerable. Contratar la experiencia de un proveedor externo puede garantizar que las necesidades de la organización queden cubiertas de forma adecuada.
Buscando el equilibrio
Si sopesamos los pros y los contras, a los negocios les cuesta garantizar la seguridad de los sistemas críticos y la información altamente sensible. La primera tarea de un MSSP es ayudar en el proceso: comprender las posibles preocupaciones de los clientes y demostrar cómo superarlas. Solo entonces el MSSP podrá convencer a más empresas de los verdaderos beneficios de sus servicios y ayudarlas a evitar problemas de seguridad en el futuro.
Para ayudar al MSSP en su misión de defender la seguridad de más negocios en todo el mundo, Kaspersky Lab ha desarrollado un programa para proveedores de servicios gestionados diseñado para ayudarles a aumentar su facturación, reducir los costes iniciales y conseguir rápidamente nuevos clientes.
Nuestra oferta de seguridad para MSSP incluye herramientas potentes y flexibles para monitorizar y administrar la infraestructura de las empresas, aportando más visibilidad tanto a los MSSP como a sus clientes. Con la tecnología, la formación y nuestro soporte técnico, ayudamos a las MSSP a convertirse en un verdadero asesor de seguridad y la primera línea de soporte para sus clientes.
En definitiva, erradicamos las desventajas de los MSP y los MSSP para que estos ayuden a sus clientes.