Más allá de la recuperación: El dinero habla

En Parte 2b: Más allá de la recuperación: explorando el problema profundicé en la cuestión central que debemos abordar en materia de seguridad, destacando los factores esenciales que contribuyen a las preocupantes tendencias de la seguridad y que a menudo se pasan por alto.

Imagina que me dirijo a mi director financiero con un presupuesto de un millón de dólares para pedirle una solución de recuperación. El argumento es que, a pesar de nuestros esfuerzos y del gasto en seguridad, es imposible evitar las brechas y, por tanto, tenemos que minimizar los daños cuando, inevitablemente, nos afecten.

Ya sea en voz alta o no, es probable que mi director financiero tenga algunas preguntas. Una de ellas podría ser qué hacemos exactamente con los, digamos, 5 millones de dólares anuales ya asignados a seguridad si todavía necesitamos una solución de recuperación.

Podría causar escepticismo sobre nuestra capacidad para mantener la seguridad de la organización y lo que hemos estado haciendo con la inversión existente, lo que nunca es bueno.

Evaluar las probabilidades de una brecha de seguridad

A continuación, podrían preguntar qué probabilidades hay de recibir un golpe tan fuerte que suponga una diferencia material. Usted podría dar una respuesta aproximada del 10% para un año determinado.

¿Te sorprendería entonces que, con un 10% de probabilidades de que ocurra algo (que podrían pensar que ya deberías haber prevenido), y sin ninguna garantía de que este nuevo gasto funcione mejor, el Director Financiero piense que invertir ese dinero en marketing en su lugar tendría unos beneficios más concretos para la empresa?

Yo no lo hago. Con mi gorra de empresario, es lo que yo haría, y ningún alarmismo ni indignación por la seguridad cambiaría eso, para bien o para mal.

Ahora imaginemos que les pidiera el mismo millón de dólares por la misma solución, pero diciéndoles que el objetivo era poder reducir el coste de cualquier escenario de incidente mediante la reducción del tiempo de inactividad asociado a cada uno.

Esto significa que necesito menos recursos para gestionar el riesgo de los problemas que podrían conducir a ellos, liberándolos para solucionar los problemas del proceso anterior, lo que reducirá el riesgo que la empresa está introduciendo y soportando año tras año.

Esto, a su vez, significa que puedo reducir la cantidad de recursos que necesito para gestionar los riesgos operativos porque cada vez tengo menos. Si esa cantidad supone un gasto acumulado de 500.000 dólares menos cada año porque hemos solucionado las causas que provocaban los problemas que el gasto estaba mitigando, entonces habré reducido mi gasto anual en seguridad de los 5 millones de dólares actuales a 4,5 millones, luego a 4 millones y después a 3,5 millones al año.

Eso significa que en lugar de hablar de riesgo intangible, ahora estoy pidiendo una inversión de 1 millón de dólares que generará un ahorro total de 3 millones de dólares (0,5 millones + 1 millón + 1,5 millones) en los próximos tres años. Es una obviedad. Ni siquiera he mencionado la reducción de riesgos, que en realidad será mayor que en el primer escenario porque habremos reducido lo que puede salir mal. Eso significa que hay menos probabilidades de que se produzca un incidente, y probablemente será más limitado cuando ocurra.

Así que, al utilizar la recuperación como red de seguridad para dar prioridad a un trabajo más proactivo, he cambiado el argumento de que podríamos ver reducida nuestra cifra de beneficios debido a una infracción, por otro de que la aumentaremos impulsando la eficiencia organizativa.

Aplicar la lógica financiera a otras soluciones

El mismo tipo de lógica financiera puede utilizarse también con otras soluciones de seguridad. Por ejemplo, una inversión en una plataforma de exploración de vulnerabilidades podría presentarse como un mecanismo mediante el cual, en lugar de encontrar y remediar los CVE que nos señala, podemos preguntarnos qué los está causando. Y luego perseguir las causas que siguen introduciendo vulnerabilidades (o, en el caso de los parches que faltan, nuestra incapacidad para desplegarlos automáticamente) para que el número de problemas que necesitan intervención disminuya con el tiempo.

En lugar de limitarnos a "arreglar" vulnerabilidades individuales, veríamos cada una de ellas como una cuerda de la que tirar para encontrar qué es lo que nos está haciendo acumular esas vulnerabilidades. Ese es el comienzo de esa curva descendente de incidentes a lo largo del tiempo que vimos en nuestro ejemplo de aviación en una entrega anterior.

La diferencia, en el caso de la recuperación, es que es lo que nos proporciona la red de seguridad en la que podemos apoyarnos para liberar recursos de la lucha contra incendios, de modo que puedan destinarse a estos esfuerzos proactivos. Esto es fundamental porque nuestra incapacidad para hacerlo actualmente es, según mi experiencia, el mayor obstáculo para superar la actual espiral de muerte en materia de seguridad.

Esto es lo que hace que las capacidades de recuperación sean un enorme facilitador y acelerador del cambio en la susceptibilidad de nuestra organización a los ataques, al tiempo que mejoran nuestro balance final en el proceso. Y eso antes de empezar a contar con ellas para salvarnos si las cosas van mal. Hay algunos modelos financieros realmente interesantes que pueden construirse en torno a esto para obtener apoyos de la empresa que van mucho más allá de hablar simplemente de riesgo.

Naturalmente, cuanto más eficaz, más garantizada y más fiable sea su solución de recuperación, más podrá reducir las repercusiones de los efectos adversos y más recursos podrá reasignar a la reducción del riesgo y al aumento de los resultados a largo plazo. Es un enorme multiplicador de fuerza estratégica.

De hecho, vayamos un poco más allá. Hasta ahora, hemos hablado de reducir el esfuerzo y los costes de seguridad (extinción de incendios) mediante un enfoque más estratégico en torno a las causas profundas, pero hay mucho más en términos de resultados cuando se sigue un enfoque de gestión de la calidad frente a uno de gestión de riesgos.

Abordar la causa raíz

Anteriormente hemos hablado de cómo prácticamente todos los problemas de seguridad son problemas de calidad. Lo que no hemos mencionado es que no todos los problemas de calidad son problemas de seguridad (por ejemplo, un código defectuoso puede ser lento o inestable, pero no explotable). Pero a menudo tienen las mismas causas.

Permítanme compartir un ejemplo concreto. Imagine que su equipo de seguridad está desbordado tratando de mantenerse al tanto de las miles de vulnerabilidades que se introducen en el entorno cada año, la mayoría de las cuales son el resultado de malas prácticas en su departamento de ingeniería.

Usted aborda la causa raíz del problema argumentando a favor de la formación de los desarrolladores, de una mejor detección, de la adopción de mejores prácticas/procesos, etc. El resultado es una reducción significativa en el número de vulnerabilidades producidas que ya crea un ROI en términos de la reducción de OpEx de seguridad.

Me enfrenté a esta situación una vez y fue un gran éxito. Pero no fue lo único que ocurrió. Al abordar los problemas de calidad que causaban vulnerabilidades en el código y las instancias informáticas, las aplicaciones también se hicieron más estables, más rápidas y más fáciles de adaptar a las peticiones de funciones de los clientes (que se volvieron más rentables).

La resolución de problemas requirió menos tiempo y recursos, el personal de toda la organización que utilizaba los sistemas internos se volvió más productivo y los ingenieros de fiabilidad de las instalaciones, que se estaban agotando por la dificultad de mantener las plataformas en funcionamiento, dejaron de irse (lo que supuso un ahorro de una fortuna en contratación y evitó grandes carencias que tuvieron repercusiones reales en la empresa).

Por último, los clientes tuvieron una mejor experiencia al utilizar el producto (SaaS), lo que mejoró las tasas de retención/renovación, e incluso aumentó la moral de los empleados.

Luego vino la grande. Los costes de computación en la nube se redujeron un 30%, una cantidad suficiente para pagar toda la función de seguridad.

Hay algunos vídeos que puedes consultar sobre la reintroducción de lobos en el Parque Nacional de Yellowstone, en Montana. Aunque la intención original era controlar la población de alces, su presencia lo cambió todo, desde las especies presentes, los tipos de vegetación, hasta el curso de los ríos, restableciendo masivamente el equilibrio del ecosistema de una forma que nadie podía prever. La seguridad como función de calidad consigue algo notablemente parecido, pero sólo puede lograrse si puedes liberar el recurso para hacerlo. Y cuanto mejor sea tu red de seguridad, más progreso (en lugar de extinción de incendios) se podrá lograr.

Y da la casualidad de que Hitachi Vantara tiene la solución de recuperación más rápida del mundo.

Lea nuestro resumen de la solución: La recuperación de ransomware más rápida del mundose abre en una pestaña nueva

De Instantáneas inmutablesse abre en una pestaña nueva.

Todos estos impactos positivos tendrán un valor empresarial. Animo a todos los profesionales de la seguridad a hacer dos cosas. En primer lugar, empezar a pensar más allá de la mera gestión del riesgo. Piense en cómo podemos reducir costes abordando los problemas de TI y de negocio que causan nuestros problemas. En segundo lugar, empezar a pensar en qué otros beneficios podría aportar a la empresa nuestro enfoque centrado en la causa raíz y la calidad. Todos y cada uno de ellos tendrán un posible modelo financiero que demuestre su valor para la empresa y nos ayude a conseguir apoyo para elevar nuestra posición e impulsar nuestros programas.

Acompáñenos en nuestra próxima entrega, en la que analizaremos cómo nuestras capacidades de almacenamiento y recuperación pueden ayudarnos a superar algunos de nuestros obstáculos más difíciles: Los sistemas heredados y la deuda técnica.

Leer Parte 2a: Más allá de la recuperación: explorar el problema

Recursos adicionales

• WEBINAR:Prepárese, no se asuste ante los ataques de ransomware
• ARTÍCULO DE INTERÉS:Construir una infraestructura de datos inquebrantable en la era de la IA y la nube híbrida
  
• BLOG:Puesta en marcha del Marco de Ciberseguridad del NIST