Como selecionar um provedor de serviços de segurança gerenciados e projeções de mercado

Publicados: 2019-09-10

As ameaças cibernéticas não são brincadeira, mas não se preocupe, os provedores de serviços de segurança gerenciados (MSSPs) estão aqui para ajudar! Com o mercado em expansão, escolher o caminho certo pode ser complicado.

É aí que nosso guia se torna útil, orientando você passo a passo para encontrar a combinação perfeita de segurança cibernética para proteger sua pequena empresa.

Quer você seja uma startup ou uma grande empresa, temos tudo o que você precisa, ajudando você a navegar pelas suas opções com facilidade. Pronto para mergulhar? Vamos!

Pule para:

  • O que é um provedor de serviços de segurança gerenciados?
  • Projeções de crescimento do mercado MSSP
  • Diretrizes para selecionar um MSSP (7 etapas)

serviços gerenciados de segurança cibernética

Imagem personalizada criada no Canva

O que é um provedor de serviços de segurança gerenciados?

Um provedor de serviços de segurança gerenciados é uma organização que oferece soluções de segurança de alto valor e experiência em sistemas, dispositivos e operações de segurança para empresas externas.

Os MSSPs empregam tecnologias sofisticadas e pessoal qualificado em segurança cibernética para gerenciar as funções de segurança dos clientes.

Projeções de crescimento do mercado MSSP

  • Espera-se que o mercado global de serviços de segurança gerenciados atinja US$ 77,01 bilhões até 2030. A CAGR (taxa composta de crescimento anual) é de 12,8% de 2020 a 2030. (Fonte: Allied Market Research )  
  • Espera-se que o mercado de serviços gerenciados de segurança da América do Norte salte de US$ 13,82 bilhões em 2022 para US$ 26,24 bilhões em 2027, com um CAGR de 13,8%. (Fonte: MarketsandMarkets )

mercado-de-serviços-de-segurança gerenciados pelos EUA

Fonte

Diretrizes para selecionar um MSSP (7 etapas)

Pule para:

  1. Conduza uma auditoria de segurança interna
  2. Pesquise empresas MSSP em potencial
  3. Avalie as capacidades do MSSP
  4. Entenda as metodologias MSSP
  5. Compare modelos e contratos de cobrança MSSP
  6. Verifique a conformidade e certificação MSSP
  7. Passeie pelas instalações do MSSP

provedores de serviços de segurança gerenciados  

1. Conduza uma auditoria de segurança interna

Primeiro, avalie minuciosamente as vulnerabilidades de segurança existentes nos seus sistemas e determine explicitamente os requisitos de segurança.

Examine de perto fatores cruciais, como regulamentações de conformidade, mandatos do setor, riscos cibernéticos, etc.

Permite identificar um MSSP que atenda aos requisitos. Defina claramente os serviços necessários – segurança de rede, proteção de endpoint, relatórios de auditoria, testes de penetração, inteligência de ameaças, resposta a incidentes, etc.

Especifique quaisquer necessidades específicas do setor, como conformidade com HIPAA na área da saúde.

  • Identifique todos os sistemas de negócios, ativos de dados e infraestrutura críticos que precisam de proteção.
  • Consulte a equipe de conformidade e os auditores para determinar os requisitos regulatórios e de conformidade.

2. Pesquise empresas MSSP em potencial

Pesquise diretórios de forma abrangente e busque recomendações para criar uma ampla lista de potenciais parceiros MSSP - segmente empresas com experiência em seu setor vertical e escala de negócios.

Analise suas capacidades de serviço, parcerias, credenciais e referências de clientes – selecione MSSPs equipados para fornecer os serviços necessários por etapa.

  • Mantenha uma lista de pelo menos 3 a 5 empresas para avaliação aprofundada.
  • Reúna informações sobre MSSPs de eventos do setor, referências de pares, RFPs,
  • Certifique-se de que o MSSP tenha experiência em seu setor e com clientes de porte semelhante

3. Avalie as capacidades do MSSP

Avalie criticamente os MSSPs selecionados em relação a parâmetros como serviços oferecidos, experiência, conhecimento, infraestrutura, escalabilidade , flexibilidade, satisfação do cliente, etc.

principais desafios de segurança cibernética

Fonte

Verifique se eles podem atender com eficiência aos requisitos de segurança definidos. Informe-se sobre experiências específicas no fornecimento de serviços de segurança gerenciados relacionados.

Avalie infraestrutura, tecnologias e processos para detecção de ameaças, resposta a incidentes, capacitação de conformidade, etc.

  • Valide se os recursos do MSSP atendem aos seus requisitos para os serviços necessários
  • Peça estudos de caso de clientes e referências em seu setor

4. Compreender as metodologias MSSP

Examine de perto os processos de monitoramento de ameaças, resposta a incidentes, gerenciamento de vulnerabilidades, relatórios de auditoria e outros serviços relevantes. Revise as ferramentas, tecnologias e recursos usados.

Compreender as operações diárias, uso de automação, procedimentos para identificação de ameaças, escalonamento, contenção de incidentes, etc.

Além disso, avalie os níveis de experiência, responsabilidades e autorizações de segurança da equipe.

  • Solicite detalhes sobre tecnologias e ferramentas específicas usadas pelo MSSP
  • Pergunte sobre processos de segurança, fluxos de trabalho e recursos de automação

5. Compare modelos e contratos de faturamento MSSP

Avalie e compare os custos do MSSP com base nas suas necessidades, enfatizando o valor em vez de apenas o preço. Revise meticulosamente a terminologia do contrato e os acordos de nível de serviço.

Garanta uma definição clara de resultados, como escopo de serviço, tempos de resposta, métricas, responsabilidades e cobertura de seguro.

Negocie faturamento razoável e previsível, como taxas mensais, versus modelos de preços complicados.

  • Compare modelos de cobrança – por dispositivo, usuário, incidente, etc.
  • Negocie SLAs, penalidades por tempo de inatividade e limites de responsabilidade favoráveis ​​a você

6. Verifique a conformidade e certificação MSSP

Valide se o MSSP possui certificações de segurança apropriadas (por exemplo, ISO 27001), cumpre os regulamentos, segue as melhores práticas, realiza auditorias, etc.

Confirme se seus sistemas e processos atendem a padrões como PCI DSS HIPAA conforme aplicável a você. Corrobore minuciosamente a conformidade por meio de relatórios e documentação de auditoria.

  • Revise os últimos relatórios de auditoria independente para conformidade
  • Garanta a certificação para padrões como ISO 27001, PCI DSS, HITRUST

7. Visite as instalações do MSSP

Visitar o centro de operações de segurança do MSSP proporciona uma perspectiva em primeira mão sobre as capacidades.

Observe sistemas, processos e equipes em ação – visite as instalações para inspecionar a infraestrutura, a segurança física e os mecanismos de monitoramento/resposta a ameaças.

Interaja com o pessoal para avaliar experiência, conhecimento e profissionalismo.

  • Conheça a equipe de liderança e os analistas da linha de frente durante o tour pelas instalações
  • Solicite demonstrações ao vivo de monitoramento de segurança e resposta a incidentes

Conclusão

A seleção de um MSSP proficiente é fundamental para uma segurança empresarial robusta. Execute extensa due diligence em parâmetros como experiência, serviços, capacidades, metodologias, custos, conformidade e instalações.

Ele valida se o fornecedor atende aos requisitos definidos e entrega o valor máximo.

Embora demorado, é um processo essencial para a mitigação de riscos. As melhores práticas recomendadas incluem:

  • Está definindo claramente os requisitos de segurança interna.
  • Pesquisando exaustivamente vários MSSPs candidatos
  • Comparando capacidades de serviço, credenciais e especializações
  • Avaliando infraestrutura tecnológica, processos e competências da equipe
  • Compreender de perto as metodologias operacionais e de suporte
  • Examinar rigorosamente contratos, custos e modelos de cobrança propostos
  • Verificação de conformidade, certificações e trilhas de auditoria
  • Inspeção no local de instalações, tecnologias e equipes

Um processo sistemático e abrangente de seleção de MSSP garante a escolha de um parceiro de segurança confiável e de longo prazo para o seu negócio.

A avaliação exaustiva proporciona dividendos através de uma solução de segurança eficaz que protege contra o cenário de ameaças cibernéticas em evolução.

As revisões contínuas e a gestão de relacionamento também permanecem essenciais para sustentar o valor máximo do MSSP escolhido.

Biografia do autor

Dmitry Kurskov, Chefe do Departamento de Segurança da Informação da ScienceSoft

Como IBM Certified Deployment Professional, Dmitry tem mais de 20 anos de experiência prática como arquiteto de sistemas de informação e segurança cibernética.

Ele gerencia o projeto e a implementação de políticas e soluções de segurança no ambiente de TI da empresa e supervisiona a entrega de serviços gerenciados de segurança aos clientes da ScienceSoft.

Dmitry defende a consistência e a melhoria contínua da defesa cibernética como a chave para resistir às ameaças cibernéticas em constante evolução. Ele contribuiu significativamente para alinhar o sistema de gestão de segurança da ScienceSoft com a ISO 27001.