Llegamos a ustedes gracias a:



Reportajes y análisis

Qué tener en cuenta si su proveedor de seguridad reduce personal

[03/12/2022] 2022 ha sido un año de fuertes despidos en el sector tecnológico. Ya sea por restricciones presupuestarias, fusiones y adquisiciones, racionalización o razones económicas, el rastreador de despidos tecnológicos de TrueUp ha registrado más de mil rondas de despidos en empresas tecnológicas de todo el mundo hasta la fecha, que han afectado a más de 182 mil personas. Algunas de las mayores empresas tecnológicas del mundo han anunciado importantes recortes de personal, como Amazon, Twitter, Meta y Salesforce. Aunque quizá se hayan visto menos afectados, los proveedores de ciberseguridad no han sido inmunes. Empresas de seguridad populares como Snyk, Malwarebytes, Tripwire, Cybereason y Lacework han realizado notables recortes de planilla este año, aunque por motivos diversos, desde el cambio de estrategias empresariales hasta el aumento de la liquidez.

En total, 34 empresas de seguridad han anunciado despidos o reestructuraciones de planilla desde principios del 2022, según el sitio de seguimiento de despidos Layoffs.FYI. Los motivos más citados para los recortes han sido el endurecimiento del mercado y la necesidad de proteger la longevidad del negocio. Aunque hay pocos indicios que sugieran que en el 2023 se produzcan recortes de planilla de proveedores de ciberseguridad de una magnitud sin precedentes en un sector tecnológico al que le va relativamente bien, los tiempos económicos cada vez más inciertos significan que nada está fuera de la mesa. El informe Cybersecurity Market Review Q3 2022 de Momentum Cyber reveló que los precios de las acciones de ciberseguridad disminuyeron un 7,2% durante el tercer trimestre del 2022, superando al NASDAQ con un -5,0% y al S&P 500 con un -6,3%. Mientras tanto, el informe 2023 State of IT Report descubrió que el 83% de las empresas están preocupadas por una recesión en el 2023, y el 50% planea tomar medidas de precaución para prepararse para una desaceleración económica que podría ver una parte significativa de las compras y servicios de ciberseguridad, según el informe.

No son cambios ni predicciones monumentales, pero reflejan la ambigua situación económica. También son los tipos de tendencias que pueden hacer que las empresas de ciberseguridad evalúen y adapten sus posiciones estratégicas; lo que, como ha demostrado el 2022, puede implicar recortes de personal. Dejando a un lado el razonamiento, los despidos de los proveedores de ciberseguridad plantean varias cuestiones para los CISO y los clientes, entre las que destacan los factores relacionados con la seguridad y el riesgo. Si se encuentra en la situación en la que su proveedor de ciberseguridad ha anunciado recortes, aquí hay ocho cosas que debe tener en cuenta para ponerse usted y su empresa en la mejor posición para capear la posible tormenta:

¿Pueden los proveedores ofrecer el mismo nivel de apoyo y comunicación?

Lo primero y más importante es la preocupación de que los recortes de los proveedores de seguridad puedan afectar a la capacidad de un proveedor para proporcionar el mismo nivel de servicio de asistencia, según explica Frank Dickson, vicepresidente del grupo de investigación sobre seguridad y confianza de IDC. "El soporte está realmente infravalorado. Cuando hacemos encuestas a personas que quieren a sus proveedores, el soporte siempre aparece como la característica más importante, y es un gran diferenciador". ¿Cambiará ese soporte? ¿Va a cambiar su ingeniero de servicio de campo, la persona con la que ha trabajado? ¿Qué pasa con la nueva configuración de la nube, la escalabilidad, ese tipo de cosas?"

El CISO de Netskope EMEA, Neil Thacker, está de acuerdo. "Cuando un proveedor de seguridad anuncia despidos significativos, los clientes deberían estar más preocupados por la reducción del compromiso y la comunicación", sostiene. "Los proveedores de seguridad y los clientes deben tener un canal de comunicación abierto y claro para discutir cualquier problema, desafío y nuevos requisitos. Si la capacidad de comprometerse y comunicarse con un proveedor de seguridad se vuelve difícil, es una clara señal de que los despidos han afectado a la organización de forma problemática".

Los CISO deberían hablar con sus gestores de cuentas o incluso con la alta dirección sobre cómo gestiona el proveedor los despidos, añade Ed Skoudis, presidente del SANS Technology Institute. "Las empresas deberían plantear a los proveedores una serie de preguntas clave: ¿Qué están haciendo para proteger su parte de la cadena de suministro? ¿Cómo podemos estar seguros de que no pierden de vista su parte, sino que siguen protegiéndonos?" La honestidad y la transparencia son vitales, y en tiempos difíciles, un mensaje claro y decisivo de su proveedor debería asegurarle que está en posición de apoyar las necesidades de su negocio a pesar de los despidos, anota.

¿Dónde se producen los recortes de los proveedores?

Lo siguiente que hay que tener en cuenta es dónde se están produciendo los recortes y si están vinculados directamente al producto o servicio de seguridad que se ofrece, explica Jess Burn, analista senior de Forrester. "El personal que se está despidiendo puede ser redundante a los ojos de los líderes, pero puede haber desempeñado un papel muy vital en un proceso o función de seguridad del que se depende realmente de ese proveedor. Eso significa que quien se quede va a tener más trabajo, y va a hacer más con menos".

Los despidos de ingenieros y desarrolladores deberían ser los más preocupantes para los CISO y los equipos de seguridad, añade Burn, describiéndolos como el "canario en la mina de carbón" cuando se trata de detectar y solucionar las amenazas de seguridad. "A menudo, cuando vemos algunos de estos primeros despidos, afectan al personal de contratación o de marketing, pero eso no debería preocuparle realmente".

Sin embargo, si mira en LinkedIn y ve que despiden a ingenieros o desarrolladores, eso debería hacerte reflexionar, añade Burn. Dickson está de acuerdo y añade que es poco probable que los recortes en ventas o marketing afecten a la capacidad de obtener valor de seguridad del proveedor, pero los recortes en el personal clave de servicios o de ingeniería sí podrían hacerlo. Para Thacker, los mayores riesgos para los clientes provendrían de una reducción del personal de DevSecOps, "lo que potencialmente provocaría una reducción de la supervisión de la seguridad, de las actualizaciones de las funciones, e incluso afectaría a la disponibilidad general del servicio", mientras que Yuval Wollman, jefe de ciberoficina y director general de UST, cree que los recortes en el personal de innovación e investigación podrían tener un impacto directo en la eficiencia y fiabilidad de un producto a medida que el panorama de las amenazas evoluciona y cambia.

Por lo tanto, los CISO deberían sentirse cómodos pidiendo a sus proveedores detalles sobre dónde se están haciendo recortes y cómo se relacionan con las funciones de seguridad vitales, y los proveedores deberían estar encantados de proporcionar dicha información.  "Una reducción de la planilla de seguridad afectará a la innovación. Su combinación particular de vendedores y proveedores de servicios puede ser la mejor en este momento, pero con la reducción del personal, las nuevas innovaciones pueden ralentizarse, lo que permitirá a los atacantes ganar ventaja mientras siguen innovando sus estrategias de ataque", advierte Skoudis.

¿Qué está impulsando los despidos del proveedor?

Otro factor clave a tener en cuenta si su proveedor de seguridad está despidiendo personal es lo que está impulsando los recortes, señala Dickson. "La complejidad que tenemos es que algunos despidos no están necesariamente impulsados por la falta de ingresos. Está claro que los factores macroeconómicos no son buenos, pero no se puede tomar necesariamente los despidos de un proveedor como una acusación a su modelo de negocio".

Hay numerosas startups de seguridad de alto vuelo, casi del tipo "unicornio", que identifican una necesidad, consiguen financiación y, de repente, obtienen un crecimiento masivo, añade Dickson. "El objetivo de este crecimiento es conseguir algún tipo de evento de salida a bolsa, financiando el crecimiento de los ingresos con capital de riesgo. Mientras los ingresos crezcan y haya mucha financiación de riesgo disponible, pueden hacerlo". ¿Qué ocurre cuando la economía se hunde? La financiación de riesgo se hunde". Si este tipo de vendedores producen entonces el mismo crecimiento de ingresos al ritmo que tenían sin financiación, tienen que hacer que los ingresos sean iguales a los gastos; es decir, seguir creciendo, pero mantener un flujo de caja neutral. "A veces verá despidos asociados a esto, y es importante que mire esta equidad y los despidos en un proveedor, preguntando si es porque estaban financiando el crecimiento de los ingresos con capital de riesgo, o si es una acusación a su modelo de negocio. Hay que analizar cada caso por separado".

También puede investigar si la empresa está experimentando simplemente un éxodo de personal que se traslada voluntariamente, lo que suele ser un signo de malestar interno, añade Wollman. "Hable con otras personas del mercado y exija claridad a su proveedor sobre lo que está ocurriendo".

¿Qué servicio de seguridad ofrece el proveedor?

También es importante evaluar el servicio de seguridad que proporciona su proveedor en medio de los despidos de personal, sostiene Dickson. "Si se trata de un proveedor que se limita a proteger la infraestructura local, se trata de un producto conocido. Sabemos lo que hace un firewall. Sabemos lo que nos aporta un gateway web seguro: llevamos 20 años haciéndolo".

Esto podría hacer que cualquier operación o servicio afectado por los despidos fuera más fácil de aumentar o sustituir (si fuera necesario). Sin embargo, si el servicio es más complejo, menos practicado, o proporciona protección contra amenazas más nuevas y menos predecibles, como las que afectan a Kubernetes integrado en AWS, los riesgos podrían ser más importantes. Esto también podría ser particularmente problemático si un MSSP está involucrado, añade Skoudis. "Sus SOC suelen funcionar sin mucha gente extra, y menos ojos y cerebros analizando los eventos de su red podrían significar que los atacantes particularmente retorcidos pasarán más tiempo desapercibidos". En cuanto a la tecnología SaaS, la reducción de personal podría plantear dudas sobre si los errores y las vulnerabilidades se están encontrando, parcheando y solucionando al mismo nivel.

La mejor manera de mitigar los riesgos en este caso es conocer los controles que proporciona el proveedor de seguridad y quién es responsable de qué, comenta Thacker. "El modelo de responsabilidad compartida debe ser mapeado para cada proveedor de seguridad crítico, y una revisión de estos controles debe tener lugar de forma regular".

¿Pueden los despidos de proveedores de seguridad crear riesgos de sabotaje?

Un empleado descontento que acaba de perder su trabajo podría tomar represalias contra su empleador o los clientes, advierte Skoudis. Si no se aborda, esto podría abrir las empresas a riesgos de seguridad notablemente mayores. "Podrían construir puertas traseras en los sistemas, robar información sensible para venderla en la web oscura, cegar las capacidades de detección o cometer todo tipo de travesuras en productos y servicios. En cierto modo, el ataque definitivo a la cadena de suministro se produce cuando las personas con información privilegiada de una organización socavan su propio producto o servicio mediante el uso de puertas traseras o saboteándolo de otro modo".

Según un estudio, el 45% de los empleados guardan, descargan o envían datos de la empresa fuera de la red antes de dejar su puesto, señala Wollman. "En el caso de un exempleado descontento, el proceso de guardar o descargar datos podría parecer una fuga o destrucción de datos intencionada; pero incluso si la despedida es amistosa, las organizaciones deben pensar en que los archivos se borren o dañen, o que la propiedad intelectual sea robada o utilizada de forma indebida".

Los CISO deberían pedir garantías a los proveedores de que manejan cualquier despido de forma apropiada, sensible y segura, citando la prueba de procesos claros y efectivos de salida de la empresa como algo a pedir. "Los controles de integridad del desarrollo de software y la comprobación del código son muy importantes a la luz de los ataques a la cadena de suministro relacionados con el sabotaje, y en épocas de despidos es especialmente importante que las empresas que despiden a sus empleados se centren en ello y lo hagan con cuidado, para no someter a sus clientes a un mayor riesgo", afirma Skoudis. Se podría pedir a los proveedores que revisen y demuestren su propia postura de seguridad durante y después de los despidos.

¿Pueden los despidos hacer que un proveedor de seguridad incumpla su contrato?

Los proveedores de seguridad tienen la responsabilidad de cumplir sus obligaciones contractuales en relación con el servicio que prestan, y si los recortes de personal dificultan su capacidad para hacerlo, una empresa podría verse envuelta en una disputa legal, señala Burn. "Si no son capaces de demostrar que su solución va a mantener la seguridad de una empresa a pesar de los despidos, entonces podrían estar violando los términos de un contrato y de una suscripción. Por lo tanto, es posible que tengan que ponerse un poco legales, y ahí es donde puede que tengan que alinear una solución de reemplazo también".

También puede investigar si la empresa está experimentando simplemente un éxodo de personal que se traslada voluntariamente, lo que suele ser un signo de malestar interno, añade Wollman. "Hable con otras personas del mercado y exija claridad a su proveedor sobre lo que está ocurriendo".

¿Cuándo se debe considerar el cambio de proveedor de seguridad?

Dickon aboga por la cautela de quienes se plantean cambiar de proveedor, aunque les preocupe el impacto inmediato de los despidos. "No piense solo en el día de hoy o incluso dentro de tres meses. Piense en el proveedor y en dónde estará dentro de dos años. ¿Podría estar en mejor situación si se queda con un proveedor? ¿Estará en mejor situación si cambia?".

Wollman aconseja considerar el impacto empresarial de cualquier cambio de proveedor. "Investigue a fondo cómo sería el cambio a un nuevo producto o proveedor. Pregúntese: '¿Cuál es el costo financiero de un cambio de proveedor, o de perder a este proveedor si quiebra? ¿Cuál será el impacto operativo de ambos escenarios?". Sopese la situación desde todos los ángulos antes de tomar cualquier decisión definitiva".

¿Cuál es el lado positivo de los despidos de proveedores de seguridad?

Entre las cuestiones potencialmente problemáticas que plantean los despidos de proveedores de seguridad, hay algunas ventajas teóricas. "En algunos casos, los despidos pueden ser una buena señal de un proveedor de seguridad que está racionalizando y reduciendo las ineficiencias, especialmente cuando salimos de un periodo de gran crecimiento, en el que las empresas pueden haber incorporado nuevo personal demasiado rápido", afirma Wollam.

Burn insta a los CISO y a las empresas a que no pasen por alto la oportunidad de beneficiarse de los recortes de personal, ya que la pérdida de personal de seguridad cualificado por parte de un proveedor podría ser una ganancia para ellos. "Podrían reclutarlos. Los proveedores de seguridad siempre han reclutado fuera de las organizaciones de usuarios finales. Ahora hay una oportunidad para los CISO, porque todavía hay una gran escasez de personal".

Como líder de seguridad, podría encontrarse con la posibilidad de dotar de personal interno a las personas que han sido despedidas si resultan ser gente que está en la ingeniería o en alguna otra función de tipo de seguridad, añade. "Hay una oportunidad, en el tinglado, de salir bien parado de todo esto, porque sé que las empresas siguen pasándolo fatal para contratar y retener a los talentos de la seguridad, concretamente porque están muy demandados".