Como devem os MSP sistematizar as exigentes relações com os clientes

A CISA – Agência de Cibersegurança e Infraestruturas norte-americana lançou recentemente um relatório sobre Fornecedores de Serviços Geridos (MSP - Managed Service Providers). A agência reconhece que os MSP desempenham um papel crítico nos negócios, ao fornecerem serviços de IT que, de outra forma, seriam demasiado dispendiosos ou tomariam demasiado tempo e recursos.

No entanto, o relatório também alerta para que os MSP expandem a superfície de ataque e podem ser um vetor de entrada para ciberataques a cadeias de fornecimento: um crescente número de cibercriminosos está a focar-se nestes como alvo preferencial, como demonstrado pelo incidente de ransomware contra a empresa Kaseya, sobre o qual já escrevemos no blog.

De falto, a CISA recorda que os grupos mais avançados de APT estão a aplicar técnicas de ‘Living Off The Land’, que tiram vantagens das ferramentas dos MSP para extraírem dados ou controlarem os sistemas dos seus clientes.

Por conseguinte, o objetivo do documento publicado é fornecer diretrizes para que as organizações públicas e privadas possam mitigar os potenciais riscos de externalização dos seus serviços informáticos.  

Decisões estratégicas, operacionais e táticas

Este relatório apresenta as considerações e as melhores práticas para os três grupos dentro das empresas que têm um papel a desempenhar na redução dos riscos de cibersegurança: executivos seniores (decisões estratégicas), profissionais de procurment (decisões operacionais) e técnicos de IT e pessoal da cibersegurança. As principais recomendações para estas categorias profissionais são:

1. Decisões estratégicas:

• As empresas devem analisar se é rentável subcontratar serviços de IT, tendo em conta os requisitos de cibersegurança e os limiares de risco.
• Recomenda-se que os executivos seniores forneçam a informação adequada caso decidam externalizar os serviços.
• É importante estabelecer quem é o responsável pela segurança e pelas operações quando existem serviços em regime de outsourcing.
• Deve ser desenvolvido um plano específico para proteger os ativos mais críticos da empresa contra todos os riscos potenciais dos MSP.

2. Decisões operacionais

• Os requisitos definidos pelos diferentes departamentos e executivos (CIO, CISO, COO, entre outros) devem ser considerados ao selecionar um fornecedor.
• No contrato e no SLA - Service Level Agreement, o fornecedor deve indicar, de forma clara, todos os elementos relacionados com os riscos associados e a cibersegurança para os serviços prestados.

3. Decisões táticas

• As permissões e níveis de acesso que os MSP terão nas redes e sistemas das empresas devem ser pensadas tendo em conta fatores como o acesso a ativos sensíveis.

Neste sentido tático, a CISA também recomenda uma série de medidas de cibersegurança específicas relacionadas com os MSP. A WatchGuard providencia soluções que respondem a muitas destas preocupações:

• Utilização de soluções de backup para restaurar o serviço em caso de incidente o tão depressa quando possível, com o menor impacto possível nas operações da empresa.
• Atualizações constantes do software da empresa.  
• Monitorização constante das redes, especialmente das redes a que os MSP têm acesso total.
• Ferramentas abrangentes de proteção, deteção e resposta nos endpoints.
• Utilização de uma VPN específica para a ligação à infraestrutura do MSP.
• Exigência de autentificação multifatorial quando os MSP se ligam às redes e sistemas da empresa.

Em última análise, estas recomendações levam-nos à conclusão de que, na escolha de um MSP, é essencial que a cibersegurança seja um pilar da sua estratégia e das suas relações com os clientes, e não apenas uma característica ou serviço. Na WatchGuard, oferecemos um programa específico para os parceiros que adotam esta abordagem. Desta forma, os parceiros e clientes crescem juntos e com a paz e espírito que advém de ter uma cibersegurança abrangente e fácil de gerir.