Siguiendo con su propósito de escudriñar el espectro de la seguridad desde una perspectiva más estratégica para el mundo de los negocios, Revista SIC celebró la primera entrega de este 2013 de su Espacio tiSec, el pasado 21 de febrero en Madrid y ante más de 150 asistentes, bajo el paraguas de discusión “SLAs y CiberSOCs: ¿qué negociar? Estandarización de métricas e indicadores en servicios gestionados de seguridad TIC”. En ella participaron renombrados profesionales del sector, provenientes del mundo académico y de los estratos de operadoras de telecomunicaciones y consultoría, quienes abordaron la problemática asociada a los escenarios MSSPs y al intento o necesidad de medida y estandarización de sus procesos, su relación con el cumplimiento legal y criterios de eficiencia, y el análisis de una visión que vaya más allá del pacto de condiciones mínimas de servicio. Igualmente, se presentaron las ofertas de servicios actuales y a futuro por parte de BT y Telefónica, compañías que junto a Accenture –firma que brindó su visión consultora- copatrocinaron el acto.
¿En qué facetas podrían distinguirse ante sus potenciales clientes unos MSSPs de otros, si todos adoptaran las mismas métricas y los mismos indicadores en sus servicios? ¿Condicionan las herramientas tecnológicas de fabricantes que usan los MSSPs para construir sus servicios el que estos puedan homogeneizar métricas e indicadores? ¿Deberían participar de las mismas métricas e indicadores los servicios orientados a clientes privados de sectores estratégicos (infraestructuras críticas, administraciones públicas, ciberseguridad y ciberdefensa, etc.), con independencia del proveedor?.
Estas fueron algunas de las preguntas planteadas en la última edición de Espacio tiSec, que ahondó en la estandarización de métricas e indicadores en servicios gestionados de seguridad TIC. En el evento, que se celebró bajo el formato de cuatro ponencias específicas y un debate final con la participación de todos los intervinientes, tomaron parte José Antonio Mañas Argemí, Catedrático de la ETSI Telecomunicación de la Universidad Politécnica de Madrid, que centró su ponencia en “Métricas e indicadores. Medir lo mismo y medirlo igual”; Juan Ramón Fontán Lago, Director de Ventas de Seguridad. Technology Consulting en Accenture (con su ponencia “Clientes y MSSPs: confluencia de intereses”); José Francisco Pereiro Seco, Director de BT Assure Iberia (“Oferta de servicios y proyección de futuro: la propuesta de BT”); y Jesús Milán Lobo, Responsable de Servicios de Seguridad y Riesgos Tecnológicos de Telefónica (“Oferta de servicios y proyección de futuro: la propuesta de Telefónica”).
Haciendo repaso de las aportaciones de los distintos ponentes, el profesor Mañas aprovechó su intervención para llamar la atención del contexto (perímetro de seguridad, etc.) para una mejor y más efectiva definición de métricas e indicadores; así como de la tipología de las mismas: de inventario, de implantación, de eficacia, de eficiencia, de misión, etc. “En el fondo es un proceso de síntesis. Primero hay que medir, luego sintetizar y después inferir. Y también de claridad en lo que queremos medir, porque sin criterios de valoración no vamos a ninguna parte”. Resaltó la importancia en este campo también de la monitorización y de la normalización.
Por su parte, Fontán Lago quiso dejar claro que, aunque ve el mercado maduro, también vislumbra una evolución constante que aún clama por alcanzar cierto nivel de estabilidad, lo que tiene consecuencias para la estandarización y la medición. En su opinión, aún están en desarrollo la demanda –mayor orientación hacia la externalización– y la oferta –nuevos jugadores, fragmentación, diferentes aproximaciones–. “Es muy difícil hacer comparaciones entre proveedores porque no siempre estamos midiendo manzanas con manzanas. Y al final se queda todo en el mero cumplimiento de las condiciones contractuales, sin tener la medida final de si estoy realmente mejorando la seguridad”, sentenció. Vislumbró el futuro con una mayor presión regulatoria y con un ánimo de encontrar la solución más optimizada, combinando los servicios de los grandes vendors y las soluciones a medida del outsourcing.
Seguidamente, Pereiro Seco, habló de dos complejidades: la técnica (soluciones de distintos fabricantes); y la regulatoria, donde aparte de la normalización a nivel global existe también la sectorial y la local. En su opinión, “nos encontramos ante un nuevo paradigma competitivo. La seguridad de la información, además de la mitigación de riesgo, puede contribuir a la mejora de la competitividad”. Hablando de los servicios que oferta su compañía, construidos con filosofía multioperador y en tres áreas (estandarizados, personalizados y de outsourcing), declaró estar trabajando en futuros servicios IRM en cloud, anti-APTs, y de ciberdefensa, resaltando también los hitos alcanzados con su solución CDMS (Cyber Defense Managed Service); y su nuevo Spanish Cybersecurity Operations Center (CYSOC).
Finalmente, Milán Lobo, se refirió a la comparación entre los distintos MSSPs: “Es necesario ver el qué y el cómo. Porque no se puede comparar entre cosas distintas si no están estandarizadas”. En un intento de responder a por qué el cliente elegiría Telefónica y no otra opción, el ponente aludió a tres pilares clave que conforman el perfil idóneo de su compañía como prestadora de estos servicios: ser un proveedor global (operador, integrador y consultor), la capacidad internacional, y la excelencia operativa (en infraestructuras, personas y procesos). “Tenemos la mejor tecnología; y ganamos en eficiencia y precio”, espetó.
Finalmente, y ya en el contexto del debate propuesto, y respondiendo a las preguntas planteadas por la audiencia, se concluyeron dos aseveraciones fundamentales de las que partir: “¿Para qué tenemos que medir exactamente ahora, más allá de lo que justifique la inversión del cliente, cuando en el outsourcing de toda la vida nunca se habló de métricas? Al final, lo que importa es solo una cosa, ¿cómo se mide la confianza, que es en lo que realmente se basa la seguridad?” (Milán Lobo); y, según Fontán Lago, “en el fondo, es lo de siempre, da igual si en el mundo MSSP, ¿cómo demuestra la seguridad su valor para la organización?”.
También se hizo alusión en repetidas ocasiones a que lo primero de todo era ver qué quería el cliente, orientarse al cliente. En este sentido, Pereiro Seco argumentó que “si el cliente dice que menos SLAs y mejor precio, eso haremos. Si dice que quiere un 100% de efectividad, en eso trabajaremos”. Asimismo, mucho se habló también de la medición del factor humano, asumiendo la necesidad de mecanismos de control; y se aludió al inconsciente colectivo y a la necesidad de trascenderlo, cuando se dio por supuesto que en la cloud privada no se podía saber dónde estaban los datos.
Referida la propuesta hacia el etiquetado de servicios apuntado en la recientemente publicada Estrategia Europea de Ciberseguridad, aunque aplaudida, para alguno de los intervinientes era, solamente, una forma de medición más, como las certificaciones o las consideraciones de los analistas; a la que, además, se suma el hecho de que habría que esperar para ver si realmente evoluciona de forma efectiva.
Sobre la conveniencia o no de contar con un registro oficial de prestadores de servicios de ciberseguridad gestionada, el representante de BT la refirió como una medida innecesaria en nuestro país –“pues no somos tantos”, comentó Pereiro–; y que, en todo caso, debería responder a la pregunta de “para qué”, como aludió Milán Lobo.
En último término, si se trata de elegir a un proveedor sobre otro, “¿con quién me caso?” que decía Mañas, “antes –continuaba su argumento este ponente– debería saber algunas cosas importantes”. Como decía, no es una discusión sobre si los proveedores son imprescindibles o no; sino sobre si son controlables o no. SIC