Entonces, qué y hasta luego: dos frases que revelan el valor de un proveedor de servicios gestionados de seguridad

¿Qué hace a un excelente proveedor de servicios de seguridad administrados (MSS)? Dos frases simples: y qué y hasta luego.

¿Y qué?
Suponga que usted, un ejecutivo de negocios preocupado por las defensas de seguridad cibernética de su organización, escanea la literatura en línea sobre las tendencias de seguridad cibernética. Encontraría que está plagado de enormes números que aturden la mente, provocando la respuesta proverbial de miedo-incertidumbre-duda (FUD fear-uncertainty-doubt). Estadísticas aterradoras sobre millones de piratas informáticos que no tienen nada mejor que hacer que sondear su red mientras dirige su negocio. ¡Trillones de intentos en su firewall por segundo! 24/7! Miles de millones de registros expuestos en la dark web. Y así sucesivamente, ceros más allá de contar.

A estas alturas, te arrepientes de haber investigado. Peor aún, no estás más informado sobre la realidad de tu situación que antes.

Entonces, invita a un proveedor de MSS para que lo ayude a comprender. En plena fiebre FUD por esas aterradoras estadísticas, firmas un contrato. Y luego te encuentras asaltado con más de lo mismo. Su panel matutino parpadea de manera alarmante con cientos de alertas de su proveedor, muchas con niveles de gravedad alta (SEV). Te sorprendes murmurando en tu pantalla:

“¡Y Que! ¿Nos afectará? ¿Es urgente? ¿Qué acción debemos tomar? ¿A quién debemos informar? No me importa cuántas veces el cortafuegos dejó caer un paquete de ataque o cuántas veces SIEM activó una alarma. ¿Cuántos ataques tuvieron éxito? ¿Estamos a salvo ahora?

El hecho desalentador es que su proveedor, a quien pensó que le estaba pagando para administrar sus eventos de seguridad de la información, acaba de entregarle una enorme tarea. Y lo hará de nuevo, cada mañana, con orgullo. Si sus esfuerzos determinan que una alerta de SEV alto es falsa, le dirán: “Oh, genial, me alegro de que no haya pasado nada malo. Ajustaremos los sistemas para descartar ese falso positivo. Te tenemos cubierto.” Por otro lado, si resulta ser un evento real, es “¡Qué bueno que nos tienes vigilando las cosas!” Pierde/pierde para ti, gana/gana para ellos.

Si eso es lo que obtiene de su proveedor, podría obtener lo mismo de forma gratuita de sus fuentes de noticias. Podría leer acerca de todas las amenazas, ataques, penetraciones y exfiltraciones que están ocurriendo y todavía tiene que averiguar: “¿Y qué? ¿Qué significa esta o aquella amenaza o ataque para mi organización? ¿Es que requiere atención o exagerado? Si requiere atención, somos vulnerables y debemos actuar con rapidez y eficacia”.

Si su proveedor no le está dando el “y qué” con sus alertas diarias, debe tratar todos los días como algo que requiere atención, una obligación abrumadora dada la cantidad de datos FUD que inundan su tablero.

Al final del trimestre, ¿estás recibiendo un informe resumido que te hace murmurar otra vez? (Millones de esto, miles de aquello, no se preocupe, estamos llevando la cuenta, y todos nuestros SLA son verdes)? ¿O está recibiendo un informe comercial trimestral útil y profesional que proporciona un resumen completo y sin FUD de los eventos importantes del trimestre anterior y un conjunto sólido de recomendaciones para lo que sigue? ¿Dónde tenemos que hacerlo mejor? ¿Cuáles deberían ser nuestras principales prioridades? ¿Qué se avecina para lo que debemos prepararnos?

¡Hasta luego!
Proteger la seguridad de la información es un esfuerzo permanente, pero su dependencia de su proveedor de MSS no debe tener la misma permanencia. Todo lo contrario. Si no están trabajando diligentemente para quedarse sin trabajo y planeando decir: “Hasta luego, te hemos transferido nuestra experiencia, ahora es tu programa”, lo están haciendo mal.

¿Por qué? Porque la pura verdad es que ni siquiera el mejor proveedor de MSS puede comprender completamente su negocio y sus necesidades de seguridad, así como a su personal interno. Ningún extraño ve las necesidades, los desafíos y las oportunidades comerciales del día a día. No conocen a tus clientes. Sus esfuerzos de alineación comercial nunca serán iguales a los de sus profesionales de seguridad interna. Una vez que su MSS comparte su experiencia y herramientas, puede lograr una mayor autosuficiencia.

Hubo un tiempo en el que podía subcontratar todas sus operaciones de ciberseguridad y dormir bien. Pero hoy en día, cuando una empresa puede ser multada con $5 mil millones por sus fallas de seguridad, cuando las juntas directivas pueden incurrir en responsabilidad personal, incluso cargos penales con posible encarcelamiento, y cuando los directores ejecutivos son culpados y castigados cada vez más por eventos de seguridad cibernética, usted quiere que su proveedor de MSS se dedique a ayudar a su equipo a convertirse en una potencia de ciberseguridad.

En cuanto a cómo puede saber si su proveedor está trabajando sinceramente para quedarse sin trabajo, haga estas preguntas:

• ¿Carecen de un proceso de transferencia de conocimiento riguroso y transparente?
• ¿Están usando “cajas negras” que su gente no puede operar o algoritmos que solo el proveedor entiende o puede modificar?
• ¿Están usando una interfaz para administrar su entorno que es diferente de la interfaz que usará su equipo?

En caso afirmativo, entonces, de hecho, están poniendo en peligro su seguridad, no garantizándola. Nunca desarrollará la experiencia interna para enfrentar el futuro con sus ataques criminales interminables y cada vez más sofisticados.

Si no puede medir la mentalidad de su proveedor usted mismo, pregúntele a su gente: conocen los ritmos de un contrato con un proveedor que prioriza las renovaciones sobre el rendimiento. El primer año del contrato va bien: el proveedor ofrece valor y su gente está encantada de contar con la ayuda y aprende nuevas habilidades. En el segundo año, puede sentir que se acumula resentimiento entre su gente y los proveedores compiten por el reconocimiento y el control. Para el tercer año, la sospecha y la infelicidad han aflorado a la superficie. Sospecha que están más enfocados en sus ingresos que en su seguridad, mientras que ya no pueden funcionar bien sin un equipo interno cooperativo.

Hay una poderosa ironía en ese proceso: esos proveedores se hacen un grave perjuicio a sí mismos. La voluntad de decir “hasta luego” no es un deseo de dejar al cliente. Es una mentalidad. Es un compromiso entregar tanto valor y experiencia al cliente que la relación perdure. Un proveedor que hace tanto bien por el cliente no será despedido a la ligera. Al trabajar solos en un trabajo, se han elevado a la posición de asesores de confianza. Los busca para que lo ayuden a crecer de manera rentable y traer ideas novedosas. Invariablemente, se recurre a asesores de confianza para ayudar con el próximo desafío y el siguiente.