[02/03/2021] Las herramientas de seguridad pueden encontrar su camino en el arsenal empresarial de formas interesantes: un CIO que insistió en comprar una tecnología particular después de ver un anuncio, ejecutivos que compran una opción específica (requerida para cumplir con los estándares previos de un socio de negocio para hacer negocios), o equipos que -en lugar de retirar el software innecesario- transfieren todas las licencias de productos existentes durante una fusión.
Alan Brill, director ejecutivo senior de riesgo cibernético en la consultora Kroll, ha visto todos estos escenarios. "A menudo se compran juegos de herramientas que a veces no se utilizan en absoluto, o se utilizan con menos de las capacidades completas activadas”, afirma.
La investigación respalda la evaluación de Brill.
Según el propio estudio de CSO, titulado 2020 Security Priorities, el 50% de los líderes de seguridad afirman que no utilizan todas las funciones incluidas en sus tecnologías/servicios de seguridad. Mientras tanto, el 26% informa que sus tecnologías y/o servicios de seguridad adquiridos no cuentan con recursos suficientes en términos de personal, servicios de soporte o implementación. Además, los encuestados informan que solo utilizan el 72% de los productos o servicios de seguridad que se compran o contratan para su uso.
Claramente, la función de seguridad tiene un problema de subutilización de software, afirman los expertos, y la situación tiene consecuencias. La compra excesiva y la subutilización de herramientas y tecnologías de seguridad no solo es costosa y derrochadora, sino que agrega complejidad innecesaria, grava aún más al personal que ya está ocupado y dificulta las operaciones de seguridad más productivas.
"Puede haber diferentes razones para ello”, afirma Brill, "pero se reduce a los costos de oportunidad perdidos: ¿qué se podría haber hecho con esos fondos para ayudar realmente a mejorar la seguridad?”
Mejor uso para obtener el valor completo
Esas cifras no sorprenden a Neil Daswani, un veterano líder de ciberseguridad y coautor de Big Breaches: Cybersecurity Lessons for Everyone, quien afirma que él también ha visto a los equipos de seguridad comprar soluciones y luego no implementarlas por completo.
"Creo que existen algunas razones legítimas para la subutilización percibida, pero también existen algunas preocupaciones legítimas”, afirma Daswani.
De hecho, en algunos casos, los equipos de seguridad pueden seleccionar cuidadosamente las soluciones, sabiendo que solo planean usar algunas de las capacidades específicas de las herramientas, y optan por habilitar solo aquellas funciones que se combinan con las necesidades estratégicas de su organización. Eso es perfectamente aceptable, agrega Daswani. Otros señalan que los equipos de seguridad pueden adquirir redundancia por diseño para asegurarse de tener las capacidades necesarias cuando sea necesario. Por ejemplo, un CISO puede tener dos o más proveedores de servicios contratados para tener asistencia en caso de un robo, por lo que se garantiza que obtendrán suficiente ayuda, incluso en el caso de un ataque a gran escala que afecte a muchas empresas.
Sin embargo, los expertos en seguridad afirman que hay muchos más casos en los que la infrautilización de las herramientas de seguridad no es estratégica, sino reactiva. El equipo de seguridad puede haber heredado una colección de herramientas redundantes como resultado de fusiones y adquisiciones. También pueden haber acumulado las mismas capacidades de múltiples soluciones a medida que el personal y los ejecutivos implementan sus propias opciones preferidas. Incluso, otros podrían haber seleccionado tecnologías sin tener los recursos para capacitar a los trabajadores existentes o contratar a nuevos para comprender, implementar o utilizar correctamente el conjunto completo de capacidades que compraron.
John Kronick, director regional de gestión de riesgos y gobernanza en la consultora de seguridad, NCC Group, y ex CISO, afirma que trabajó con una empresa con software de prevención de pérdida de datos (DLP, por sus siglas e inglés) e información de seguridad y gestión de eventos (SIEM, por sus siglas e inglés), pero no tenía los recursos para ajustarlos a las necesidades únicas de la organización, lo que significa que ninguna de las herramientas estaba cumpliendo su potencial máximo de valor.
Al mismo tiempo, los CISO tienen menos margen para errores, tanto en sus estrategias de seguridad como en las operaciones de su equipo. El número y la complejidad de las amenazas continúan aumentando, el costo de las fallas aumenta y la financiación de los programas seguirá siendo escasa. Como resultado, existe una presión creciente para que los CISOs maximicen el valor de sus inversiones.
"Los CISO deben asegurarse de que están utilizando completamente su dinero antes de pedir más, y si pueden hacerlo, ese es el primer paso para tener un diálogo productivo sobre cuáles son las próximas amenazas de las que defenderse y los dólares necesarios para hacerlo”, afirma Daswani.
Auditar, evaluar y ajustar
Para poder evaluar si se alinean con la estrategia de seguridad de la organización, al abordar los riesgos que enfrentan, los CISO deben comenzar con una comprensión clara de las soluciones de seguridad a su disposición, afirma Don Heckman, director de ciberseguridad en Guidehouse, firma de asesoría, consultoría y outsourcing.
"Siempre debe observar su ambiente y su programa, así como las tecnologías de ciberseguridad, al menos cada 12 a 24 meses. Todo comienza con un sólido programa de gestión de riesgos empresariales, que establece esos riesgos y las mitigaciones adecuadas”, afirma. "Y eche un vistazo estratégico a lo que tiene, lo que debería tener y de lo que puede deshacerse. Puede hacer una racionalización de herramientas para determinar, realmente, si tiene las herramientas adecuadas para lo que le preocupa, deshacerse de las redundancias y complejidad, así como abordar las brechas”.
Ese trabajo también permite a los CISO enfocar los programas de capacitación del personal en las tecnologías restantes, mejorando aún más las posibilidades de usar cada una y alcanzar su máximo potencial de valor.
Heckman afirma que ese trabajo rinde frutos.
"Todos se quejan de que no tienen suficiente dinero, que necesitan más dinero para su ciberseguridad, pero al final del día, si dieran un paso atrás e hicieran una evaluación completa de sus herramientas y capacidades de ciberseguridad, podrían encontrar que si recuperaban la mitad del dinero gastado en capacidades que no utilizaron, podría contribuir en gran medida a cubrir otros recursos [más estratégicos]”, agrega Heckman.
Más selección estratégica en el futuro
Todas las compras futuras deben tener el mismo escrutinio para garantizar que la seguridad no vuelva a la subutilización y, para ello, los CISO deben alinear cada nueva compra con sus objetivos estratégicos, afirma Tom Kellermann, jefe de estrategia de ciberseguridad de VMware y global fellow for cybersecurity policy del Wilson Center, así como miembro de la U.S. Secret Service Cybercrime Investigations Advisory Board.
Sugiere alinear las capacidades con marcos de trabajo como el modelo MITRE ATT & CK.
Kellermann también aconseja al CISO que no compre ningún producto de seguridad en modo perpetuo, optando en su lugar por SaaS para obtener más flexibilidad y mantenerse mejor al día con las innovaciones futuras.
Los CISO también deben asegurarse de que sus nuevas compras no tengan un propósito singular, sino que puedan integrarse en su ambiente a través de APIs y, en última instancia, trabajar de manera coherente con las otras tecnologías de seguridad orientadas a brindar la información necesaria destinada a detectar las amenazas que representan los mayores riesgos para la organización.
"Necesita bajar a cinco o seis controles de seguridad que le permitan lograr esa visibilidad”, añade Kellermann.
Invierta en la automatización
El alto volumen de alertas que generan las herramientas también contribuye a su subutilización, afirman los expertos, y señalan que los equipos de seguridad están tan abrumados por la cantidad de alertas que cierran algunas capacidades de detección y alerta solo para sobrellevar la situación.
Es un problema generalizado. El 70% de los que respondieron a una encuesta reciente, realizada por Dimensional Research en nombre de Sumo Logic, afirman que la cantidad de alertas de seguridad recibidas diariamente se ha duplicado al menos en los últimos cinco años. Además, el 93% afirma que sus equipos de seguridad no pudieron abordar todas sus alertas de seguridad en el mismo día, y el 83% afirma que sus equipos de seguridad experimentaron fatiga por alertas.
Para contrarrestar esa fatiga, Kronick aconseja a los CISO que automaticen la mayor cantidad posible del proceso para que el personal pueda investigar solo las alertas verdaderamente problemáticas.
Adicionalmente, Kronick señala que la implementación de la automatización no solo ayuda a los CISO a maximizar el valor de las tecnologías que ya han implementado, sino que también tiene el beneficio más significativo de mejorar su postura de seguridad general.
Construya alianzas
Maarten Van Horenbeeck, el CISO de Zendesk, empresa de software, menciona dos casos en los que la infrautilización indica un problema.
Uno es cuando el equipo de seguridad compra una herramienta y la implementa dentro de su propio ámbito de control, cuando el equipo estaría mejor si se asociara en toda la empresa y consiguiera que otros equipos la adoptaran. "Esto a menudo afecta a las herramientas de evaluación de seguridad”, afirma. "Para ser efectivos, los equipos de seguridad necesitan recurrir al outsourcing, drásticamente, para su capacidad de seguridad y fomentar el conocimiento en toda la empresa, incluido compartir las capacidades de muchas de las herramientas que utilizan”, afirma Van Horenbeeck.
Otro es cuando el equipo de seguridad no comprende completamente las capacidades de una herramienta y, por lo tanto, no la utiliza con toda su eficacia -un escenario que puede mejorarse al asociarse mejor con el proveedor.
"Esto puede suceder cuando el equipo de seguridad no ve al proveedor como una forma de aportar experiencia externa más profunda para construir una mejor posición de seguridad. Cada vez que contratamos a un proveedor de seguridad, no solo buscamos una herramienta, sino que buscamos profundizar la eficacia de nuestro programa de seguridad en un área donde el proveedor es el experto, no nosotros. Eso requiere que generemos mucha confianza con el proveedor y su equipo”, agrega Van Horenbeeck.
Ponga la eficacia primero
Con el fin de evitar redundancias no intencionales y gastos innecesarios, si bien los equipos de seguridad deben asegurarse de aprovechar al máximo sus tecnologías existentes, Daswani advierte del peligro de utilizar como métrica de éxito el uso máximo de las herramientas.
Él señala que los CISO deberían evitar "muchas implementaciones, a medias, de medidas de seguridad. La métrica principal debe ser la efectividad del medidor que ya tiene. Si ha utilizado contramedidas y está mostrando una efectividad del 99,9 % contra las [amenazas identificadas para su organización], puede que no importe si no ha utilizado todas las funciones. Creo que más funciones ayudarán con las contramedidas, pero la métrica real sigue siendo la efectividad. La métrica secundaria es la utilización”.
Basado en el artículo de Mary K. Pratt (CSO) y editado por CIO Perú