¿Cómo pueden los MSP garantizar su propia ciberseguridad?

Los proveedores de servicios gestionados (MSP) están a la vanguardia de la prestación de servicios de ciberseguridad. Proporcionan y adquieren protecciones perimetrales vitales para la mayoría de sus clientes como parte de sus paquetes de servicios.

Sin embargo, los MSP son vulnerables a los ataques, y si ocurre una violación, eso puede exponer a sus clientes y toda su valiosa información y secretos comerciales. Es por eso que los MSP son objetivos tentadores para los hackers. Ha habido algunos incidentes que han captado la atención de los titulares que han violado la seguridad de los MSP desde los más grandes hasta los más pequeños, mostrando que ambos están igualmente en riesgo.

¿Cómo pueden los MSP proteger sus propios perímetros?

Adam Ennamli es el Director de Riesgos y Seguridad en General Bank of Canada. Supervisa la evolución y gestión de todos los programas de riesgo a nivel empresarial. Ha ofrecido sus ideas a SmarterMSP.com sobre cómo los MSP pueden mantenerse seguros.

MSPs son fundamentales para la ciberseguridad de sus clientes, pero también son objetivos principales para los atacantes, afirma Ennamli, añadiendo que parte del riesgo cibernético se les transfiere, por lo que protegerse también implica proteger a sus clientes. “Por lo tanto, deben adoptar una postura de seguridad sólida.” Señala que un programa de seguridad sólido para los MSPs debería incluir:

• Implementación de principios de confianza cero: es decir, limitar el acceso solo a lo necesario y monitorear constantemente cualquier actividad inusual.
• Establecimiento de controles pragmáticos y probados para herramientas de acceso remoto.
• Manteniendo el ritmo para auditorías.
• Intensificación de la educación práctica.

Ennamli explica que los controles de seguridad esenciales que no son negociables para los MSP incluyen la segmentación de la red, copias de seguridad de múltiples capas y monitoreo constante. “Los MSP pueden asegurar que sus defensas sean tan fuertes como los servicios que brindan al demostrar una implementación efectiva, adherirse a estándares de la industria con medidas de cumplimiento verificables y estar por delante de las amenazas emergentes". Luego añade que los MSP enfrentan una elección cuando se trata de seguridad. Pueden manejarlo internamente o contratar a otro MSP.

"La decisión depende de sus recursos y experiencia, y, en última instancia, la convergencia del mercado debería ser un riesgo que alguien necesita monitorear, lo que significa que si todos los MSPs comienzan a delegar entre sí, todo el riesgo de protección convergerá hacia un puñado de actores, lo que llevará a un fuerte riesgo de concentración," comparte Ennamli. Señala que, si bien algunos MSPs tienen las habilidades para gestionar su seguridad internamente, otros pueden beneficiarse de externalizar a un proveedor especializado para auditorías, búsqueda de amenazas o protección avanzada. "Un enfoque híbrido, que combine la gestión interna con la experiencia de terceros, puede ofrecer lo mejor de ambos mundos." Señala que, fundamentalmente, principios como la transparencia, la asociación y la mejora constante serán clave para mantener la confianza del mercado y mantenerse seguros en el panorama de amenazas.

Información adicional

Bob Leonard es un especialista independiente en ciberseguridad que trabaja con MSPs en su seguridad. Dice que la clave del éxito es que los MSPs deben tratarse a sí mismos como tratarían a uno de sus clientes. “Y si no pueden hacerlo, entonces deberían subcontratar a otros MSPs. Algunos MSPs, ya sean tiendas de una sola persona o grandes empresas, están 'demasiado cerca', están demasiado emocional y económicamente vinculados a su propio bienestar, lo que afecta su toma de decisiones.”

Para que un MSP tenga éxito con su propia seguridad, debe adoptar un enfoque clínico, no emocional y no económico. “Un MSP no puede considerar nada más que `cuál es el mejor plan de ciberseguridad para nuestro negocio’, cualquier cosa menos que eso compromete a todos sus clientes,” dice Leonard.

Leonard comparte que CISA ofrece buenos consejos y pasos para los MSP que desean realizar el trabajo internamente. “Pero generalmente recomiendo que un MSP externalice su propia seguridad. Hay buenos argumentos en ambos lados. Aunque nadie tiene más en juego en su seguridad que el MSP, a menudo están demasiado cerca de la situación. Tienen demasiado en riesgo para manejarlo de manera efectiva y sin emoción.”

Los MSP son objetivos principales para los ciberataques. Para protegerse, deben adoptar medidas de seguridad sólidas, como confianza cero, controles de acceso remoto y auditorías regulares.

Nota: Esto se publicó originalmente en SmarterMSP.com.