Há alguns anos, a terceirização de segurança cibernética era percebida como algo inorgânico e muitas vezes reprimido. Hoje, a terceirização de segurança cibernética ainda é um fenômeno raro. Em vez disso, muitas empresas preferem cuidar de questões de segurança.
Quase todo o mundo já ouviu falar sobre terceirização de segurança cibernética, mas o conteúdo detalhado desse princípio é interpretado de maneira muito diferente em muitas empresas.
Neste artigo, quero responder às seguintes perguntas importantes: Existem riscos na terceirização de segurança cibernética? Para quem é o serviço? Em que condições é terceirizar a segurança? Por fim, qual a diferença entre os modelos MSSP e SecaaS?
Por que as empresas terceirizam?
Terceirização é a transferência de algumas funções do próprio negócio para outra empresa. Por que usar uma terceirização? A resposta é óbvia – como empresas otimizam seus custos. Eles fazem isso porque não possuem as competências relevantes ou porque são mais lucrativas algumas funções implementadas paralelamente. Quando as empresas precisam colocar em operação sistemas complexos e não têm capacidade ou competência para isso, a terceirização é uma ótima solução.
Devido ao crescimento constante do número e dos tipos de ameaças, as organizações agora precisam se proteger melhor. No entanto, por vários motivos, muitas vezes não possuem um conjunto de recursos terceirizados e forçados completos a jogadores terceirizados.
- Quem precisa de segurança de cibernética?
- Vulnerability scanning
- Auditorias de segurança da informação
Qualquer empresa pode utilizar o outsourcing de cibersegurança. Tudo depende de metas e segurança são planejados para serem objetivos de segurança com sua ajuda. A escolha mais óbvia é para pequenas empresas, onde as funções de segurança da informação são de importância secundária às funções de negócios à falta de recursos ou competências.
Para grandes empresas, o objetivo da terceirização é diferente. Primeiro, ajuda-os a resolver como tarefas de segurança da informação de forma mais eficaz. Normalmente, eles têm um conjunto de problemas de segurança, cuja solução é complexa sem ajuda externa. A construção de proteção contra DDoS é um bom exemplo. Esse ataque de crescimento cresceu tanto em força que é muito difícil-lo sem o tipo de serviços de terceiros
Há também alternativas que levam as grandes empresas a migrar para a terceirização. A terceirização da ajuda a implementar a função desejada a um custo menor.
Ao mesmo tempo, a terceirização não é adequada para todas as empresas. Em geral, as empresas precisam se concentrar em seu core business. Em alguns casos, você pode (e deve) fazer tudo sozinho; em outros casos, é recomendável terceirizar as funções de SI ou Recorrer a 100% de terceirização. No entanto, em geral, posso dizer que a segurança da informação é mais fácil e confiável de implementar por meio da terceirização.
Quais de segurança da informação são mais frequentementedas?
É preferível terceirizar a implementação e as funções operacionais. É possível terceirizar algumas funções de segurança às competências críticas dos departamentos de algumas informações. Isso pode significar gerenciamento de políticas, etc.
O motivo para garantir a segurança da informação em uma empresa é muitas vezes a necessidade de obter um site corporativo ou construir uma rede de agências. Além disso, a introdução da terceirização pode refletir a maturidade de uma empresa, suas competências-chave e não-chave, e a vontade de delegar e aceitar responsabilidades em parceria com outras empresas.
As seguintes funções são populares entre aqueles que já utilizam a terceirização:
Resposta e monitoramento de ameaças
- Teste de penetração
Investigação de incidentes Proteção contra DDoS
Terceirização versus terceirização
A diferença entre terceirização e terceirização está em quem gerencia a equipe e os recursos do programa. Se o cliente faz isso, então estamos falando de terceirização. No entanto, se a solução para no lado do provedor, isso é terceirização.
Na terceirização, o integrador fornece ao cliente um funcionário ou uma equipe dedicada. Normalmente, essas pessoas. Durante a terceirização, uma equipe dedicada continua trabalhando como parte do provedor. Isso que o cliente fornece suas competências, mas os membros da equipe podem ser atribuídos simultaneamente a diferentes projetos. Clientes recebem sua parte da terceirização.
Com a terceirização, a equipe do fornecedor fica totalmente ocupada com o projeto de um cliente específico. Esta empresa pode participar da busca de pessoas, contratação e demissão de funcionários envolvidos no projeto. O provedor terceirizado é responsável apenas pelas funções de contabilidade e gestão de RH.
Ao mesmo tempo, um modelo de gestão diferente funciona com uma terceirização: o cliente recebe suporte para uma função específica de segurança e o provedor gerencia a equipe para sua implementação.
Managed Security Service Provider (MSSP) ou Segurança como Serviço (SECaaS)
Podemos distinguir duas áreas: outsourcing tradicional (MSSP) e cloud outsourcing (SECaaS).
Com o MSSP, uma empresa contrata um serviço de segurança da informação, que será prestado com base num conjunto determinado de ferramentas de proteção. O provedor de MSS cuida da operação das ferramentas. O cliente não precisa gerenciar a configuração eo monitoramento.
A terceirização do SECaaS funciona de forma diferente. O cliente compra serviços de segurança da nuvem do provedor. SECaaS é quando o provedor dá ao cliente a tecnologia com total liberdade para aplicar controles.
Para entender as diferenças entre MSSP e aaS, táxi comparador e compartilhamento de carro é melhor. No primeiro caso, o motorista controla o carro. Ele fornece ao passageiro um serviço de entrega. Segundo, a função de controle é assumida, que conduz o veículo que lhe foi entregue. A eficiência econômica da terceirização é de suma importância. Mas o cálculo de seus efeitos e sua alternativa com soluções internas (in-house) não é tão óbvio.
Ao avaliar a solução de uma solução de segurança da informação, pode-se usar a seguinte regra de prática: em projetos de solução de segurança de 3 a 5 anos (deve-se focar na otimização do OPEX operacional); para projetos mais longos – na otimização do CAPEX (despesas de capital).
Ao mesmo tempo, ao decidir mudar para terceirização, a avaliação da eficiência econômica pode às vezes ficar em segundo plano. Cada vez mais empresas guiadas pela necessidade vital de algumas funções de segurança da informação. A avaliação da eficiência entra apenas na escolha de um método de implementação. Essa transformação está analisando sob a oferta de fornecedor, Forrester e autoridades governamentais (Gart. Aviso é que nos próximos anos, a participação da terceirização em áreas de segurança da informação chegue a 90%.
Ao avaliar a eficiência, depende muito das especificidades da empresa. de muitos fatores que dependem como características do negócio da empresa e só podem ser calculados. É necessário considerar diversos custos, inclusive aqueles que são devido a possíveis paralisações.
Quais funções não devem ser terceirizadas?
Funções da empresa relacionada aos processos internos de negócios não devem ser terceirizados. Os riscos internos, mas todas as emergências não apenas o cliente também as comunicações. Tal pode ser restringida por decisões de proteção de dados e muitas aprovações adicionais são apresentadas para implementar tal modelo.
Embora haja algumas exceções, em geral o cliente deve estar pronto para aceitar certos riscos. A terceirização é impossível de terceirizar (se terceirização de SI)
Benefícios da segurança cibernética.Deixe disponível agora uma atratividade da terceirização de cibersegurança para empresas de vários tipos.
Para uma empresa de até 1.000 pessoas, uma terceirização de SI ajuda a construir uma defesa cibernética em camadas, delegando funções onde ainda não tem competência suficiente.
Para empresas maiores com cerca de 10. ou mais, o cumprimento do critério Time-to-Market torna-se crítico. Mas, novamente, a terceirização permite que você resolva esse problema rapidamente e evite que você resolva problemas de RH.
Os reguladores também recebem benefícios com a introdução da terceirização de segurança da informação. Eles estão procurando em encontrar os reguladores resolvedores ou problemas de controle de segurança da informação do país. A melhor maneira para as autoridades governamentais é criar uma estrutura separada para transferir o controle. Mesmo país no gabinete do presidente de qualquer um, há espaço para a terceirização de segurança cibernética. Isso permite que você se concentre nas funções centrais e terceirizar a segurança para obter uma solução técnica rápida.
A terceirização da segurança da informação também é atrativa para grandes projetos internacionais, como as Olimpíadas. Após o termo dos eventos, não será necessário manter uma estrutura criada. Assim, o outsourcing é a melhor solução.
A avaliação da qualidade do serviço
A confiança é pela confiança na qualidade do serviço recebido. A questão do controle não é ociosa aqui. Os clientes são obrigados a entender exatamente o que terceirizam. Portanto, o modelo híbrido é atualmente o mais popular. As empresas criam seu departamento de segurança de informação, mas, ao mesmo tempo, terceirizam algumas funções conhecidas, bem o que exatamente elas devem obter no final.
Se isso não for possível, então você pode se concentrar em conhecer e conhecer seu fornecedor de serviço, opinião outros clientes, disponibilidade de certificados, etc. Se necessário, seus processos de trabalho e metodologia utilizada .
Às vezes você pode recorrer a verificações artificiais. Por exemplo, se o SLA implicar uma resposta em 15 minutos, um incidente de segurança artificial pode ser acionado e o tempo de resposta avaliado.
Quais) os parâmetros de nível de serviço devem ser incluídos nos acordos de serviço? O conjunto de configurações de falhas antes de um evento de falha encontrado, o tempo de resposta de uma decisão de localização/interromper a ameaça, após a falha de um evento de resposta de um tempo de recuperação encontrado, o tempo de resposta de uma decisão de localização/interromper a ameaça, após a falha de um evento de fornecimento de serviço de serviço. Este conjunto básico pode ser complementado com uma longa lista de outros parâmetros em seus formados pelo cliente processos de negócios.
É necessário levar em consideração todas as opções possíveis para responder a incidentes: a necessidade de uma visita do prestador de serviços ao local, o procedimento para a realização de operações digitais, etc. É fundamental resolver todas as questões organizacionais já na fase de assinatura do contrato. Isso que você defina as condições para que o cliente defenda sua posição em caso de falha permitir a prestação de serviços. Também é essencial que o cliente defina como áreas e responsabilidades do provedor em caso de incidentes.
Os termos de referência também devem ser anexados ao contrato de SLA. Deve destacar todas as características técnicas do serviço prestado. Se os termos de referência são vagos, a interpretação do SLA pode ser subjetiva.
Não deve haver problemas com ap de documentos. Já estão disponíveis muitos detalhes de SLA e seus contratos. A necessidade de adaptação surge apenas para grandes clientes. Em geral, as medições de qualidade para serviços de segurança são reconhecidas. Alguns limites podem ser ajustados quando necessários. Por exemplo, você pode definir regras mais rígidas ou reduzir seus requisitos. A situação atual com o pessoal, a complexidade dos projetos de segurança da informação e as exigências dos reguladores desencadeiam um aumento nos serviços de segurança da informação. Como resultado, espera-se o crescimento dos players mais sua excelência na terceirização de segurança cibernética e portfólio de serviços. Isso é determinado pela necessidade de manter um alto nível de serviço que presta. Haverá também uma migração mais rápida das soluções de segurança da informação para a nuvem.
Nos últimos anos, observamos uma queda significativa no custo dos ataques cibernéticos. No mesmo tempo, a gravidade de suas consequências está crescendo. Isso impulsiona um aumento na demanda por serviços de segurança da informação. Espera-se um aumento de preço e talvez até uma de alguns componentes de hardware. Portanto, há necessidade de soluções de software otimizadas para aumento de hardware.
100Crédito da imagem em destaque : Tima Miroshnichenko; Pexels; Obrigada!
Alex Vakulov Alex Vakulov é um pesquisador de segurança cibernética com mais de 15 anos de experiência em análise de malware. Alex tem fortes habilidades de remoção de malware. Ele está escrevendo para várias publicações relacionadas à tecnologia compartilhando sua experiência em segurança.
