Yönetilen Güvenlik Hizmet Sağlayıcısı Nasıl Seçilir ve Pazar Tahminleri

Yayınlanan: 2019-09-10

Siber tehditlerin şakası yok ama endişelenmeyin, Yönetilen Güvenlik Hizmeti Sağlayıcıları (MSSP'ler) yardım etmek için buradalar! Piyasa hızla büyürken doğru olanı seçmek zor olabilir.

İşte bu noktada, küçük işletmenizi koruyacak mükemmel siber güvenlik eşleşmesini bulmanız için sizi adım adım yönlendiren kılavuzumuz kullanışlı oluyor.

İster yeni kurulmuş bir şirket, ister büyük bir kuruluş olun, seçenekleriniz arasında kolaylıkla gezinmenize yardımcı olarak yanınızdayız. Dalmaya hazır mısınız? Hadi gidelim!

Geç:

  • Yönetilen Güvenlik Hizmet Sağlayıcısı nedir?
  • MSSP Pazar Büyüme Tahminleri
  • MSSP Seçme Yönergeleri (7 Adım)

yönetilen-siber güvenlik-hizmetleri

Canva'da oluşturulan özel görsel

Yönetilen Güvenlik Hizmet Sağlayıcısı nedir?

Yönetilen bir güvenlik hizmeti sağlayıcısı, harici kuruluşlara güvenlik sistemleri, cihazları ve operasyonları için yüksek değerli güvenlik çözümleri ve uzmanlığı sunan bir kuruluştur.

MSSP'ler, müşterilerin güvenlik işlevlerini yönetmek için gelişmiş teknolojiler ve yetenekli siber güvenlik personeli kullanır.

MSSP Pazar Büyüme Tahminleri

  • Küresel yönetilen güvenlik hizmetleri pazarının 2030 yılına kadar 77,01 milyar dolara ulaşması bekleniyor. CAGR (yıllık bileşik büyüme oranı) 2020'den 2030'a kadar %12,8'dir. (Kaynak: Allied Market Research )  
  • Kuzey Amerika'nın yönetilen güvenlik hizmetleri pazarının 2022'de 13,82 milyar dolardan 2027'ye kadar %13,8'lik bir Bileşik Büyüme Oranıyla 26,24 milyar dolara çıkması bekleniyor. (Kaynak: MarketsandMarkets )

ABD tarafından yönetilen güvenlik hizmetleri pazarı

Kaynak

MSSP Seçme Yönergeleri (7 Adım)

Geç:

  1. İç Güvenlik Denetimi Gerçekleştirmek
  2. Potansiyel MSSP Firmalarını Araştırma
  3. MSSP Yeteneklerini Değerlendirin
  4. MSSP Metodolojilerini Anlayın
  5. MSSP Faturalandırma Modellerini ve Sözleşmelerini Karşılaştırın
  6. MSSP Uyumluluğunu ve Sertifikasyonunu Doğrulayın
  7. MSSP Tesislerini Turlayın

yönetilen-güvenlik-hizmet-sağlayıcıları  

1. İç Güvenlik Denetimi Yapın

Öncelikle sistemlerinizdeki mevcut güvenlik açıklarını kapsamlı bir şekilde değerlendirin ve güvenlik gereksinimlerini açıkça belirleyin.

Uyumluluk düzenlemeleri, sektör talimatları, siber riskler vb. gibi önemli faktörleri yakından inceleyin.

Gereksinimleri karşılayan bir MSSP'nin tanımlanmasını sağlar. Gerekli hizmetleri açıkça tanımlayın - ağ güvenliği, uç nokta koruması, denetim raporlaması, sızma testi, tehdit istihbaratı, olay müdahalesi vb.

Sağlık hizmetlerinde HIPAA uyumluluğu gibi sektöre özel ihtiyaçları belirtin.

  • Korunması gereken tüm kritik iş sistemlerini, veri varlıklarını ve altyapıyı belirleyin.
  • Mevzuat ve uyumluluk gerekliliklerini belirlemek için uyumluluk ekibine ve denetçilere danışın.

2. Potansiyel MSSP Firmalarını Araştırma

Potansiyel MSSP ortaklarının geniş bir listesini oluşturmak için dizinleri kapsamlı bir şekilde arayın ve öneriler arayın; sektörünüzde ve iş ölçeğinizde uzmanlığa sahip firmaları hedefleyin.

Hizmet yeteneklerini, ortaklıklarını, kimlik bilgilerini ve müşteri referanslarını analiz edin; Adım başına gerekli hizmetleri sunacak donanıma sahip MSSP'lerin kısa listesi.

  • Derinlemesine değerlendirme için en az 3-5 firmadan oluşan bir liste tutun.
  • MSSP'ler hakkında sektör etkinliklerinden, akran yönlendirmelerinden, RFP'lerden bilgi toplayın.
  • MSSP'nin sektörünüzde ve benzer büyüklükteki müşterilerle deneyime sahip olduğundan emin olun

3. MSSP Yeteneklerini Değerlendirin

Kısa listeye alınan MSSP'leri sunulan hizmetler, deneyim, uzmanlık, altyapı, ölçeklenebilirlik , esneklik, müşteri memnuniyeti vb. parametrelere göre eleştirel bir şekilde değerlendirin.

en önemli siber güvenlik zorlukları

Kaynak

Tanımlanmış güvenlik gereksinimlerinizi verimli bir şekilde karşılayabileceklerini doğrulayın. İlgili yönetilen güvenlik hizmetlerini sağlayan belirli deneyimler hakkında bilgi alın.

Tehdit tespiti, olay müdahalesi, uyumluluk etkinleştirme vb. için altyapıyı, teknolojileri ve süreçleri değerlendirin.

  • MSSP'nin yeteneklerinin ihtiyaç duyduğunuz hizmetlere ilişkin gereksinimlerinizle eşleştiğini doğrulayın
  • Sektörünüzdeki müşteri vaka çalışmalarını ve referanslarını isteyin

4. MSSP Metodolojilerini Anlayın

Tehdit izleme, olay müdahalesi, güvenlik açığı yönetimi, denetim raporlaması ve diğer ilgili hizmetlere yönelik süreçleri yakından inceleyin. Kullanılan araçları, teknolojileri ve kaynakları inceleyin.

Günlük operasyonları, otomasyon kullanımını, tehdit tanımlama prosedürlerini, üst kademeye iletmeyi, olayların kontrol altına alınmasını vb. anlayın.

Ayrıca personelin deneyim seviyelerini, sorumluluklarını ve güvenlik izinlerini değerlendirin.

  • MSSP tarafından kullanılan belirli teknolojiler ve araçlar hakkında ayrıntılı bilgi isteyin
  • Güvenlik süreçleri, iş akışları ve otomasyon yetenekleri hakkında bilgi alın

5. MSSP Faturalandırma Modellerini ve Sözleşmelerini Karşılaştırın

Gereksinimlerinize göre MSSP maliyetlerini değerlendirin ve karşılaştırın; yalnızca fiyatlandırmanın ötesinde değeri vurgulayın. Sözleşme terminolojisini ve hizmet düzeyi anlaşmalarını titizlikle inceleyin.

Hizmet kapsamı, yanıt süreleri, ölçümler, yükümlülükler ve sigorta kapsamı gibi teslimatların net bir tanımını sağlayın.

Aylık ücretler gibi karmaşık fiyatlandırma modellerine karşı makul, öngörülebilir faturalandırma konusunda pazarlık yapın.

  • Faturalandırma modellerini cihaz, kullanıcı, olay vb. bazında karşılaştırın.
  • Sizin için uygun olan SLA'ları, kesinti cezalarını ve sorumluluk sınırlarını müzakere edin

6. MSSP Uyumluluğunu ve Sertifikasyonunu Doğrulayın

MSSP'nin uygun güvenlik sertifikalarına (örneğin, ISO 27001) sahip olduğunu, düzenlemelere uyduğunu, en iyi uygulamaları takip ettiğini, denetimler yürüttüğünü vb. doğrulayın.

Sistem ve süreçlerinin sizin için geçerli olan PCI DSS HIPAA gibi standartları karşıladığını doğrulayın. Denetim raporları ve belgeler aracılığıyla uyumluluğu tamamen doğrulayın.

  • Uyumluluk açısından en son bağımsız denetim raporlarını inceleyin
  • ISO 27001, PCI DSS, HITRUST gibi standartlar için sertifikalı olduğundan emin olun

7. MSSP Tesislerini Turlayın

MSSP'nin güvenlik operasyonları merkezini ziyaret etmek, yeteneklere ilişkin ilk elden bir bakış açısı sağlar.

Sistemleri, süreçleri ve personeli çalışırken gözlemleyin; altyapıyı, fiziksel güvenliği ve tehdit izleme/yanıt mekanizmalarını incelemek için tesisleri gezin.

Deneyimi, uzmanlığı ve profesyonelliği değerlendirmek için personelle etkileşime geçin.

  • Tesis turu sırasında liderlik ekibi ve ön saflardaki analistlerle tanışın
  • Güvenlik izleme ve olaylara müdahale için canlı demolar talep edin

Çözüm

Güçlü bir kurumsal güvenlik için yetkin bir MSSP seçmek zorunludur. Deneyim, hizmetler, yetenekler, metodolojiler, maliyetler, uyumluluk ve tesisler gibi parametrelerde kapsamlı durum tespiti yapın.

Sağlayıcının tanımlanmış gereksinimleri karşılayıp karşılamadığını ve maksimum değeri sağlayıp sağlamadığını doğrular.

Her ne kadar zaman alıcı olsa da, riskin azaltılması için önemli bir süreçtir. Önerilen en iyi uygulamalar şunları içerir:

  • İç güvenlik gereksinimlerini açıkça tanımlamaktadır.
  • Birden fazla aday MSSP'yi kapsamlı bir şekilde araştırmak
  • Hizmet yeteneklerini, kimlik bilgilerini ve uzmanlıkları karşılaştırma
  • Teknoloji altyapısı, süreçleri ve personel yetkinliklerinin değerlendirilmesi
  • Operasyonel ve destek metodolojilerini yakından anlamak
  • Önerilen sözleşmeleri, maliyetleri ve faturalandırma modellerini titizlikle incelemek
  • Uyumluluğun, sertifikaların ve denetim yollarının doğrulanması
  • Tesislerin, teknolojilerin ve ekiplerin yerinde denetimi

Sistematik ve kapsamlı bir MSSP seçim süreci, işletmeniz için güvenilir, uzun vadeli bir güvenlik ortağı seçmenizi sağlar.

Kapsamlı değerlendirme, gelişen siber tehdit ortamına karşı koruma sağlayan etkili bir güvenlik çözümü aracılığıyla fayda sağlar.

Sürekli incelemeler ve ilişki yönetimi de seçilen MSSP'den maksimum değer elde edilmesi açısından kritik olmaya devam etmektedir.

Yazar Biyografisi

Dmitry Kurskov, ScienceSoft Bilgi Güvenliği Departmanı Başkanı

IBM Sertifikalı Dağıtım Uzmanı olan Dmitry, bilgi ve siber güvenlik sistemleri mimarı olarak 20 yılı aşkın pratik deneyime sahiptir.

Şirketin BT ortamındaki güvenlik politikalarının ve çözümlerinin tasarımını ve uygulanmasını yönetir ve yönetilen güvenlik hizmetlerinin ScienceSoft müşterilerine sunulmasını denetler.

Dmitry, sürekli gelişen siber tehditlere direnmenin anahtarı olarak siber savunmanın tutarlılığını ve sürekli iyileştirilmesini savunuyor. ScienceSoft'un güvenlik yönetim sisteminin ISO 27001 ile uyumlu hale getirilmesine önemli katkılarda bulunmuştur.