Contratar un MSSP no debería empezar con una lista de herramientas. Debería empezar con una pregunta más práctica: qué riesgos quieres reducir, qué activos necesitan seguimiento y qué decisiones debe poder tomar tu equipo cuando aparece una alerta.
Un proveedor de seguridad gestionada puede ayudarte a operar controles, revisar eventos, documentar hallazgos y dar seguimiento a remediaciones. Pero para que el servicio funcione, el alcance debe quedar claro antes de firmar.
Esta checklist te ayuda a preparar la conversación con un proveedor MSSP en México y comparar propuestas sin perder de vista responsabilidades, evidencia y continuidad operativa.
1. Define qué problema quieres resolver
Antes de pedir una propuesta, describe el problema principal. No es lo mismo buscar monitoreo básico, orden de controles, revisión de alertas, apoyo con EDR, hardening o seguimiento después de una auditoría.
Algunos objetivos comunes son:
- tener visibilidad sobre endpoints y servidores;
- reducir alertas sin responsable claro;
- revisar firewall, VPN y servicios expuestos;
- dar seguimiento a vulnerabilidades críticas;
- mejorar seguridad de correo;
- preparar reportes para dirección;
- ordenar responsabilidades entre TI y seguridad;
- conectar hallazgos con remediación.
Si el objetivo es ambiguo, la propuesta también lo será.
2. Lista los activos dentro de alcance
El proveedor debe saber qué va a revisar. Prepara una lista aproximada de activos, aunque no esté perfecta.
Incluye:
- estaciones de trabajo;
- servidores;
- firewalls;
- VPN;
- cuentas administrativas;
- servicios publicados a internet;
- plataformas de correo;
- nube;
- aplicaciones críticas;
- sedes o redes separadas;
- proveedores que administran partes del entorno.
También define exclusiones. Si un sistema no puede tocarse, si un proveedor externo lo opera o si hay restricciones legales o contractuales, debe quedar documentado.
3. Documenta las herramientas actuales
Un MSSP puede operar herramientas existentes o recomendar ajustes, pero necesita entender el punto de partida.
Registra:
- EDR o antivirus actual;
- firewall;
- Microsoft 365 o Google Workspace;
- SIEM o repositorio de logs;
- sistema de tickets;
- respaldos;
- herramientas de inventario;
- escáner de vulnerabilidades;
- controles de acceso;
- proveedores actuales.
No intentes hacer que el entorno parezca más maduro de lo que es. Una buena propuesta depende de conocer la realidad, no de presentar una foto ideal.
4. Aclara qué significa monitoreo
Pide que el proveedor explique qué señales revisará y con qué frecuencia operativa. La palabra monitoreo puede significar muchas cosas.
Pregunta si el servicio incluye:
- revisión de alertas de endpoint;
- eventos de firewall o VPN;
- señales de phishing o abuso de correo;
- cambios relevantes de configuración;
- exposición de activos;
- vulnerabilidades críticas;
- actividad inusual en cuentas privilegiadas;
- seguimiento de remediaciones;
- reportes periódicos.
También pregunta qué queda fuera. Esa claridad evita asumir que el proveedor está revisando fuentes que nunca entraron en el alcance.
5. Define rutas de escalamiento
Cuando aparezca una alerta, alguien debe saber qué hacer. Una ruta de escalamiento simple puede evitar retrasos, duplicidad o decisiones improvisadas.
Define:
- contacto técnico principal;
- contacto de dirección o responsable de riesgo;
- canales permitidos;
- horarios de atención acordados;
- severidades;
- evidencia mínima para escalar;
- acciones que el proveedor puede recomendar;
- acciones que requieren autorización;
- proceso para confirmar cierre.
Si la alerta puede convertirse en incidente, conecta el servicio con un proceso de gestión de incidentes. No todo evento es un incidente, pero los eventos críticos necesitan una ruta clara.
6. Pide entregables útiles
Un servicio MSSP debe generar evidencia que ayude a decidir. No basta con decir que “todo está siendo monitoreado”.
Pide entregables como:
- resumen de eventos relevantes;
- hallazgos abiertos y cerrados;
- recomendaciones priorizadas;
- estado de remediaciones;
- cambios de postura;
- activos con mayor exposición;
- alertas críticas y acciones tomadas;
- pendientes por responsable;
- sesión de revisión.
El reporte debe servir tanto para dirección como para el equipo técnico. Dirección necesita contexto y prioridades. TI necesita evidencia y acciones concretas.
7. Separa MSSP, MSP, SOC y SIEM
Estos términos se confunden con facilidad. Antes de contratar, confirma qué estás comprando.
Un MSP opera soporte, infraestructura y continuidad de TI. Un MSSP opera controles y alertas de seguridad. Un SIEM centraliza eventos. Un SOC combina personas, procesos y tecnología para analizar señales y responder según un modelo operativo.
Puedes revisar más detalle en MSSP vs MSP y SOC vs SIEM.
8. Revisa cómo se manejarán cambios y remediaciones
Un MSSP puede detectar y recomendar, pero alguien debe ejecutar cambios. Algunas acciones pueden quedar en manos del proveedor. Otras dependen del equipo interno, del MSP, del administrador de nube o de un proveedor tercero.
Antes de iniciar, define:
- quién aplica parches;
- quién cambia reglas de firewall;
- quién ajusta políticas de EDR;
- quién administra cuentas;
- quién valida respaldos;
- quién documenta excepciones;
- cómo se aprueban cambios urgentes;
- cómo se confirma que una remediación funcionó.
Este punto es crítico. Sin responsables, los hallazgos se acumulan y el servicio se vuelve un generador de pendientes.
9. Pregunta por la fase de arranque
La primera etapa debe ordenar el servicio. Si el proveedor promete empezar monitoreo sin revisar accesos, fuentes, contactos y prioridades, probablemente habrá ruido desde el primer mes.
La fase de arranque puede incluir:
- inventario inicial;
- validación de accesos;
- revisión de herramientas;
- definición de severidades;
- ajuste de alertas;
- matriz de responsabilidades;
- calendario de reportes;
- reglas de escalamiento;
- lista inicial de mejoras.
No veas esta fase como burocracia. Es lo que convierte una suscripción de seguridad en una operación manejable.
10. Evalúa señales de alerta del proveedor
Ten cuidado si el proveedor:
- promete seguridad absoluta;
- no pregunta por activos ni herramientas;
- evita hablar de responsabilidades del cliente;
- no explica entregables;
- no define escalamiento;
- vende solo una herramienta como si fuera operación completa;
- no distingue monitoreo de respuesta a incidentes;
- no acepta documentar exclusiones;
- no puede explicar cómo prioriza hallazgos;
- no propone una fase de arranque.
Un buen proveedor no necesita exagerar. Debe explicar alcance, límites, evidencia y próximos pasos.
Cómo puede ayudarte Syscore
Syscore puede ayudarte a definir alcance, revisar herramientas actuales, estructurar monitoreo, documentar rutas de escalamiento y operar controles dentro de un servicio de seguridad gestionada MSSP.
También podemos conectar el servicio con monitoreo y análisis de seguridad, servicios de ciberseguridad para empresas y gestión de incidentes cuando el entorno necesita una ruta más completa.
Si estás comparando propuestas, revisa también qué cambia el costo de seguridad gestionada MSSP en México.
Preguntas frecuentes
¿Qué debo pedir antes de contratar un MSSP?
Pide alcance, fuentes de datos, activos cubiertos, entregables, proceso de escalamiento, responsabilidades del cliente, fase de arranque y límites del servicio.
¿Un MSSP incluye respuesta a incidentes?
Puede incluir validación, escalamiento, recomendaciones y apoyo según alcance. La respuesta completa a incidentes debe definirse aparte, con responsables, autorizaciones y límites claros.
¿Puedo contratar un MSSP si ya tengo un MSP?
Sí. Un MSP puede operar infraestructura y soporte, mientras el MSSP se enfoca en controles y riesgo de seguridad. Lo importante es definir cómo colaboran y quién ejecuta cambios.
¿Qué pasa si no tengo inventario completo?
Puedes empezar con una fase de diagnóstico o arranque. Lo importante es no fingir que el inventario está resuelto, porque eso afecta monitoreo, prioridades y remediación.