Seguridad

Economía de la seguridad: la clave para la resiliencia

A veces, mirar las cosas de cerca puede ser más efectivo que adoptar una visión más amplia y holística. Si no me cree, considere la experiencia de observar un organismo bajo un microscopio o un pájaro a través de binoculares. Se minimizan las interferencias, permitiendo una evaluación y análisis óptimos de lo que se está investigando.

En seguridad, el enfoque de la forma normativa en que entendemos y examinamos la seguridad de una organización es similar al ejemplo anterior: examinamos la efectividad de las contramedidas de seguridad (es decir, controles) implementadas para lograr objetivos de seguridad.

Por ejemplo, si alguna vez realizó una evaluación de seguridad a nivel de programa, es probable que el evaluador evaluó sus controles (qué no funcionó y por qué) y sugirió mejoras para hacerlos más efectivos.

Mirar la seguridad desde la perspectiva de un ejecutivo es tan útil como usar un microscopio o binoculares. Este tipo de análisis nos ayuda a comprender si las contramedidas que hemos tomado han cumplido nuestras expectativas. Es útil saber cuándo uno o más de estos métodos o mecanismos no logran realizar las funciones que están destinados a realizar, o cuando no tienen el alcance suficiente para proteger adecuadamente el tejido.

Así como centrarse en un pájaro a través de binoculares bloquea la visión del paisaje más amplio, centrarse únicamente en la eficacia de la seguridad no proporciona una imagen completa de lo que podría interesarle como gerente o ejecutivo de seguridad.

Además de la eficacia, también hay dimensiones estrechamente relacionadas con las operaciones de seguridad que es necesario examinar. Sorprendentemente, muchas organizaciones no los verifican en absoluto, lo que puede significar que no están utilizando sus recursos de manera óptima.

LEER  La cumbre de Red Hat se enfoca en corregir las fallas del código fuente abierto

¿Otros tamaños?

A modo de ilustración, considere varias formas de implementar la misma contramedida. Una empresa podría implementar contramedidas de una manera muy madura, por ejemplo, siguiendo procesos documentados e implementando medidas para aprender y mejorar sus operaciones. Otra posibilidad es simplemente la improvisación.

Supongamos que la empresa A implementa un proceso de gestión de parches bien documentado y altamente automatizado, mientras que la empresa B lo deja en manos de pasantes junior. En este sentido, la madurez es otra dimensión más allá de la eficacia. La eficacia pregunta: «¿Es eficaz la contramedida?» La madurez pregunta si puede adaptarse a cambios de personal, cambios en los procesos de negocio u otros cambios.

Además de la madurez, otra dimensión es el costo total de propiedad, la cantidad de riesgo reducido (o ataques evitados) por cada dólar gastado. Por ejemplo, ¿qué pasa si la empresa A implementa herramientas automatizadas para escanear el correo electrónico en busca de malware y la empresa B emplea cientos de analistas para leer y revisar manualmente cada correo electrónico entrante?

Elegí un escenario ridículo para ilustrar, pero en el ejemplo anterior está claro que un método (herramienta automatizada) es mucho más barato de operar que el otro (método manual). Incluso suponiendo que las dos contramedidas sean igualmente efectivas y tengan la misma cobertura, está claro que una de las contramedidas es más rentable.

El gasto adicional requerido para mantener contramedidas ineficientes/caras en realidad empeora la seguridad general de lo que sería de otra manera. ¿Por qué? Porque si opera con inversiones de bajo rendimiento, existe un costo de oportunidad. Si no estás utilizando los recursos de manera ineficiente, hay algunas cosas más que puedes hacer.


«El elemento clave que falta en la mayoría de los programas de ciberseguridad es la economía», dijo Centro de datos internacional Vicepresidente Pete Lindstrom. «Comprender los costos y beneficios es importante porque necesitamos optimizar los recursos escasos. Incluso cuando tenemos recursos, debemos priorizar las actividades que reducen el mayor riesgo al menor costo».

empezando

El punto es que analizar otras dimensiones de su programa de seguridad puede decirle cosas en las que no puede centrarse únicamente en la eficacia. No me malinterpretes: la eficacia es un buen punto de partida. Si no sabes si tus contramedidas son apropiadas y efectivas, entonces tienes un pez bastante grande que freír.

Sin embargo, si desea dar el siguiente paso y asegurarse de ser un administrador responsable de los recursos de su organización, simplemente detenerse allí no resolverá el problema. ¿Por qué? Porque, en esencia, la gobernanza consiste en hacer el mejor uso de los recursos para avanzar mejor en la misión de la organización. ¿Cómo puede hacer esto si no comprende la eficiencia, la resiliencia o la madurez de sus medidas de seguridad existentes?

Por lo tanto, el problema al que se enfrentan los administradores de seguridad es cómo comprender de forma sistemática y exhaustiva otros aspectos de la seguridad. Hay varias formas de empezar. Un enfoque es comenzar evaluando objetivamente las contramedidas en términos de economía o madurez.

La madurez es simple: investigue sistemáticamente y evalúe críticamente cómo se compara cada mecanismo de seguridad que tiene en todo el espectro de madurez. Es importante ser lo más objetivo posible; si tiene problemas con la objetividad, es posible que pueda contratar a un tercero imparcial, como una firma de auditoría o un consultor de seguridad, para que le ayude con esta evaluación.

La perspectiva económica es un poco más complicada, pero todavía no es ciencia espacial. Comience por comprender cuál es el costo anual de implementar las contramedidas existentes, tanto los costos indirectos (como el tiempo del personal y la mano de obra) como los costos físicos (como los costos de licencia de software o los costos de mantenimiento pagados a los clientes, proveedores o prestadores de servicios).

En primer lugar, es importante no intentar hervir el océano. Incluso si sus modelos de cálculo financiero no son perfectos, para empezar, la escala es más importante que la precisión. ¿Por qué? Porque cada mecanismo que puedas entender de esta manera te permite evaluar mecanismos de seguridad que están relacionados entre sí.

Cuanto más evalúe, más ineficiencias podrá descubrir, lo que le permitirá tomar mejores decisiones sobre inversiones futuras. Recuerde que a medida que empiece a ver los beneficios de adoptar este enfoque, podrá mejorar la precisión de su modelo.

Las opiniones expresadas en este artículo son únicamente las del autor y no reflejan necesariamente las de ECT News Network.


Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba