A medida que el panorama de ciberamenazas evoluciona y crece en sofisticación, muchas empresas luchan por hacer frente a riesgos de seguridad cada vez más complejos. Esto ha provocado una gran demanda y un rápido crecimiento de los proveedores de servicios gestionados (MSP) que ayudan a las organizaciones a cumplir sus requisitos de seguridad. De hecho, según un informe reciente de Kroll, el 98 % de las empresas que aún no han externalizado sus servicios de ciberseguridad tienen previsto hacerlo y el 51 % tiene intención de hacerlo en los próximos 12 meses. Además, Market and Markets prevé que el mercado mundial de servicios de seguridad gestionados crezca desde un 11,5 % anual desde 2023, hasta alcanzar los 52.900 millones de dólares en 2028.
Entre los requisitos de seguridad más apremiantes para los MSP se encuentran los centros de operaciones de seguridad (SOC) subcontratados que puedan ofrecer servicios críticos de detección y respuesta gestionadas (MDR). MDR es una categoría de servicios de seguridad en rápido crecimiento que proporciona a las organizaciones servicios de supervisión continua de seguridad, detección proactiva de amenazas y respuesta inmediata, necesarios para hacer frente a las amenazas más recientes. En algunos casos, MDR también se centra en la reducción proactiva de la superficie de ataque para evitar que las amenazas entren en la red de la organización, elevando así su postura de seguridad y mejorando su resiliencia cibernética. Impulsada, en parte, por los retos del sector, que incluyen una escasez continua de profesionales de seguridad cualificados y estrictas normativas de ciberseguridad, cumplimiento y requisitos de ciberseguros, la demanda de MDR se está disparando. Se espera que el mercado mundial de MDR pase de los 3.300 millones de dólares en 2023 a los 9.500 millones en 2028.
MDR es una categoría de servicios de seguridad en rápido crecimiento que proporciona a las organizaciones servicios de supervisión continua de seguridad, detección proactiva de amenazas y respuesta inmediata, necesarios para hacer frente a las amenazas más recientes
Estas tendencias presentan una oportunidad de negocio sustancial para los MSP. La incorporación de servicios de MDR a sus ofertas de seguridad puede posicionar a los MSP para aumentar su valor y sus ingresos recurrentes, así como fortalecer sus relaciones con los clientes. Sin embargo, los SOC requieren una inversión y unos recursos de personal considerables, lo que puede suponer un obstáculo desalentador para los MSP que deseen introducirse en el espacio del MDR.
Acceda y conozca la propuesta para los MSP de WatchGuard
Aunque estos retos son muy reales, existen varios modelos de despliegue de servicios MDR que los MSP pueden considerar para empezar a ampliar su cartera y hacer crecer sus negocios. Veamos los tres tipos principales:
- SOC interno: para empezar a prestar servicios MDR a través de un SOC interno, los MSP tendrán que estar preparados para invertir y crear la infraestructura, las tecnologías, los procesos y el equipo de seguridad. Los dos principales obstáculos de este enfoque son los elevados gastos de capital y el largo período de comercialización inherente. Esta opción es, con diferencia, la más costosa y la que más tiempo requiere.
- SOC externalizado: el modelo SOC-as-a-service (SOCaaS) implica aprovechar un SOC que es propiedad y está gestionado por una organización externa (a menudo otro MSP o un proveedor de seguridad) que vende sus servicios a los clientes. Esta vía puede reducir drásticamente los requisitos de tiempo y costes iniciales para los MSP frente a la creación de su propio SOC. Sin embargo, los mayores gastos operativos pueden hacer que los márgenes sean menos atractivos. Además, el avance de los servicios MDR del MSP dependerá en gran medida del proveedor que elija, y dado que su proveedor de SOC tendrá acceso a sus clientes, existe el riesgo de perder negocio.
- SOC híbrido: optar por el SOC híbrido hacia los servicios MDR significa que un MSP se comprometerá con un proveedor de SOC, se beneficiará de la externalización de SOCaaS y compartirá la prestación de su oferta MDR, pero seguirá siendo el contacto principal con los clientes finales. Este modelo implicará menos gastos operativos y preservará márgenes más altos, y aunque el MSP tendrá que hacer una inversión inicial con su proveedor de SOC, será mucho menor que la de crear un SOC interno. El modelo de SOC híbrido suele ser la mejor opción para los MSP que buscan aumentar rápidamente su oferta de servicios de seguridad gestionados, evitar que el proveedor de SOC acceda a los clientes y avanzar en la madurez de sus servicios de MDR con la orientación de la experiencia estratégica y operativa del proveedor.
Cómo pueden aprovechar los servicios gestionados de seguridad los MSP de todo tipo
Los MSP dirigen empresas de distintos tamaños, y no todos están preparados o son capaces de establecer las capacidades de SOC necesarias para ofrecer servicios completos de MDR a los clientes. Es posible que algunos se encuentren en una fase relativamente temprana en el camino de los servicios de seguridad gestionados y se pregunten si todavía hay formas de capitalizar la creciente demanda de servicios de seguridad gestionados.
Se espera que el mercado mundial de MDR pase de los 3.300 millones de dólares en 2023 a los 9.500 millones en 2028
Del mismo modo, algunos clientes no poseen la madurez de ciberseguridad suficiente para adoptar servicios MDR porque no son conscientes del riesgo y la sofisticación de los ciberataques modernos y no consideran necesarios los servicios MDR. O todavía no han implantado medidas de defensa proactivas, como la reducción de la superficie de ataque en sus endpoints, lo que mantiene controlado y eficiente el esfuerzo para detectar y responder a los ataques.
La buena noticia es que existen varios niveles de capacidades de seguridad gestionada que los MSP pueden emplear para garantizar que, independientemente del tamaño de su empresa, puedan ofrecer la experiencia adecuada a sus clientes.
- La capa esencial: existen soluciones de seguridad disponibles que permiten a los MSP ofrecer a los clientes un nivel esencial de servicios de seguridad gestionada combinados con servicios MDR automatizados sin necesidad de añadir personal ni de crear o subcontratar un SOC. Algunas de estas opciones combinan una amplia variedad de tecnologías de protección del endpoint con capacidades de detección y respuesta de para endpoints. Permiten a los MSP elevar las posturas de seguridad de sus clientes (como con la evaluación de vulnerabilidades y la gestión de parches) y automatizar la detección, contención y respuesta a cualquier amenaza avanzada (como son la clasificación de archivos sospechosos mediante IA/ML o la detección de comportamientos anómalos con análisis de seguridad). Estas ofertas son fundamentales para los MSP más pequeños y los que aún no han realizado la transición completa a un modelo de negocio basado en servicios.
- Detección y respuesta aumentadas: más allá de la capa esencial, otras soluciones pueden añadir herramientas avanzadas de detección y respuesta para permitir a los MSP y a los equipos de operaciones de seguridad unos servicios de seguridad gestionada rentables y fáciles de dominar. Estas capacidades permiten a los MSP reducir el tiempo de permanencia de las amenazas en los endpoints de sus clientes y reforzar su postura general de seguridad. Un ejemplo de este tipo de servicio es la búsqueda proactiva de amenazas recientemente reveladas mediante la búsqueda de indicadores conocidos de compromiso (IoC) en los endpoints o el acceso remoto a ellos para investigar más a fondo examinando el sistema de archivos, las entradas del registro, etc.
- Un servicio MDR completo: además, hay ofertas de servicios MDR que proporcionan ciberseguridad 24/7 con monitorización de endpoints, threat hunting, detección, contención y remediación guiada, incluyendo, en algunos casos, servicios proactivos para reducir la superficie de ataque y la ciberresiliencia general de sus clientes. Este servicio requiere un equipo de ciberanalistas, threat hunters y equipos de respuesta altamente cualificados que dominen la detección y respuesta en el endpoint (EDR), los análisis de seguridad y la tecnología AI/ML. Siguen procesos bien definidos y con una formación exhaustiva para hacer frente a amenazas sofisticadas y no detectadas de forma eficaz.
Como se ha descrito anteriormente, este servicio integral de MDR puede ser prestado por los MSP desde su SOC interno, desde un SOC como servicio totalmente externalizado o como un SOC híbrido, en el que parte del servicio se externaliza a un tercero. El alcance de los servicios puede incluir todo o parte de lo siguiente: monitorización 24/7, detección, contención, threat hunting, recuperación, lecciones aprendidas y reducción de la superficie de ataque.
El panorama de ciberseguridad evoluciona continuamente, presentando amenazas complejas que muchas empresas encuentran difíciles de combatir. MDR ofrece a los MSP una importante oportunidad para hacer frente a estas amenazas. Sin embargo, la ciberseguridad es un viaje, no un único destino. Esta visión pone de relieve el esfuerzo continuo y acumulativo necesario para proteger la información y los sistemas. Los distintos niveles de MDR descritos anteriormente mejoran progresivamente las capacidades y prácticas de los equipos de seguridad, mejorando la postura de seguridad de sus clientes. Los MSP deben embarcarse en este viaje con su proveedor de confianza, proporcionando el nivel de servicio MDR que mejor se adapte a sus capacidades y a las necesidades de sus clientes, al tiempo que garantizan la eficacia, escalabilidad y rentabilidad del servicio en todo momento.
