En el mundo de la seguridad, es una perogrullada: la defensa (proteger un sistema) es más difícil que la ofensiva (irrumpir en un sistema) porque es un campo de juego asimétrico. Los malos actores simplemente necesitan encontrar una manera de entrar en un entorno (un lugar donde no todo se hace exactamente “justo” y perfectamente) y los responsables de proteger ese entorno deben evitar intrusiones allí donde tengan una huella tecnológica.
Hay más que eso: la asimetría también es evidente en otros aspectos. Por ejemplo, una gran parte, si no todos, de los empleados de la empresa regresan a casa por la noche. Es posible que no presten mucha atención al medio ambiente los fines de semana o días festivos. Los atacantes, por otro lado, pueden operar en cualquier momento y en cualquier lugar (ya sean las 5 p. m. de un viernes o las 2 a. m. en la víspera de Año Nuevo) y pueden atacar cualquier ubicación del entorno o incluso varias ubicaciones al mismo tiempo.
Algunas condiciones pueden exacerbar este efecto. Los datos muestran que, por un lado, existe una brecha de habilidades entre los profesionales de la seguridad. Por ejemplo, según una encuesta reciente, el 55% de las organizaciones dijeron que dedican al menos tres meses a cubrir puestos vacantes de seguridad. ISACA Informe sobre el estado de la ciberseguridad 2017.
El 32% de las empresas requieren seis meses o más. Asimismo, el 37% de los encuestados dijo que menos de una cuarta parte de los candidatos tienen las calificaciones adecuadas para los puestos que desean cubrir.
La cuestión es que la seguridad como disciplina tiene desequilibrios que la hacen asimétrica y, por lo tanto, difícil de lograr de manera consistente. Este desequilibrio se ve exacerbado por los desafíos para adquirir personas y herramientas y el hecho de que el panorama de amenazas cambia constantemente.
Esto, a su vez, significa que las organizaciones y los profesionales de la seguridad que las apoyan deben mejorar su forma de abordar la seguridad si quieren nivelar el campo de juego. En pocas palabras, esto significa que necesitan automatización.
¿Por qué automatizar?
Una estrategia que las organizaciones pueden utilizar para ayudar a compensar algunas de las asimetrías inherentes a la hora de mantener segura la tecnología es el uso generalizado de la automatización para respaldar las prácticas de seguridad.
¿Por qué automatizar? Hay varias razones. Primero, está la pregunta obvia. En la medida en que puedas automatizar una tarea, podrás «engañar la curva de recursos». Esto significa que si ha automatizado una tarea, no tiene que hacer el trabajo físicamente; puede reasignar a esa persona a otras tareas.
Es muy simple, pero tiene otros beneficios, particularmente en términos de resiliencia del proceso. En el mundo de la seguridad, no solemos pensar en ello de esta manera, pero las medidas de seguridad no son inmunes a los factores físicos que afectan los procesos comunes.
Por ejemplo, los procesos son más o menos resistentes a la rotación de empleados (desgaste). Por ejemplo, si tiene una persona que realiza análisis de amenazas por usted (piense en inteligencia y análisis de amenazas internas) y esa persona se va para ir a su competidor, ¿qué sucede con su capacidad para realizar esa tarea en tres a seis meses? ¿Necesita reemplazar empleados? En el mejor de los casos, esto dificulta el trabajo del resto del equipo. En el peor de los casos, si el equipo es unipersonal, no se puede realizar el análisis hasta que esa persona sea reemplazada.
También está la cuestión de los gastos generales de optimización. Hasta cierto punto, la propia naturaleza de cómo compramos e implementamos herramientas de automatización nos aísla de eventos que pueden estar fuera de nuestro control.
Por ejemplo, las herramientas son costos irrecuperables. A veces las organizaciones necesitan hacer recortes. Para maximizar el retorno de la inversión que ha realizado, debe continuar utilizando la herramienta durante todo el ciclo de depreciación para obtener el valor total. Francamente, es más fácil despedir a la gente. Por lo tanto, los controles automatizados pueden ser más resistentes cuando se produce una deserción voluntaria o una rotación de empleados y proteger mejor contra los recortes presupuestarios que los controles manuales.
Por donde empezar a buscar
La cuestión es que la automatización de las tareas de seguridad puede tener ventajas en varias dimensiones diferentes. Para el gerente de seguridad pragmático (u otro líder tecnológico), la pregunta no es si hacerlo, sino cómo hacerlo y dónde buscar oportunidades.
Hay varias opciones, pero la automatización implica revisar sus procedimientos de seguridad de una manera y perspectiva que puede no ser la que usted ve de forma natural. Específicamente, implica comprender, en orden de complejidad creciente: qué controles específicos tiene; qué hacen; cómo operan; los costos involucrados en su uso; y lo que le falta en función del contenido general de su perfil de riesgo.
Como puede ver, aquí hay un espectro de madurez. Casi cualquier organización debería saber qué controles tiene implementados (por supuesto, algunas organizaciones no los saben, pero en este caso, tienen asuntos más importantes que resolver). Sin embargo, es probable que sólo las empresas más maduras evalúen su perfil de riesgo y el panorama de amenazas que contribuye a él de manera útil, continua y sistemática.
La clave es que el alcance de su inspección se basará en estos elementos y en dónde su equipo de seguridad se encuentra dentro de este alcance.
Para organizaciones menos maduras, un punto de partida útil puede ser utilizar listas de control existentes para identificar estratégicamente áreas potenciales para la inversión en automatización.
Quienes puedan incorporar un instructivo (quién lo hace y cómo) pueden incluir esa información. Podrían basar su análisis en consideraciones sobre la dotación de personal (quién es más difícil de reemplazar), las habilidades que poseen esos empleados (qué pueden hacer si se invierte en automatización), etc.
Cuando se tienen en cuenta los costos de control operativo, la oportunidad de lograr ahorros de costos puede influir en el análisis. Además, una comprensión integral del riesgo puede afectar el análisis de compensación de riesgos en relación con el dólar estadounidense.
Sin embargo, en última instancia, la pregunta no es necesariamente si se automatiza el control de X o el control de Y. Los detalles variarán según el tipo de organización, lo que hace, su industria y su negocio. La demanda es. La clave es que se dé cuenta de cómo la automatización encaja en su estrategia de seguridad y que se dé cuenta de que cómo implementar un control determinado es tan importante como si lo implementa.