Coste de la complejidad en la seguridad

Definición:

• El estado o la cualidad de ser intrincado o complicado 
• Un factor implicado en un proceso o situación complicados 

Si esa definición le suena a un día de su vida trabajando en seguridad, siga leyendo. Como profesionales de la seguridad, ya entendemos esta definición de complejidad porque estamos íntimamente familiarizados con su significado. Desde las vulnerabilidades y las amenazas hasta las políticas, las alertas, los ecosistemas de seguridad y los propios productos, todas las facetas del sector de la seguridad son complicadas hoy en día. 

Algunos argumentarían que la complejidad es necesaria para los programas de amenazas internas y que es en lo intrincado de los elementos interconectados, el matiz y el proceso de las personas asociado a ello lo que los hace eficaces. Si bien es cierto que los programas de amenazas internas más maduros combinan realmente la seguridad y el riesgo al más alto nivel, lo que los hace increíblemente complejos, la mayoría de las organizaciones actuales no disponen de una solución para detectar, investigar y responder al riesgo de datos causado por personas con acceso a información privilegiada. Mimecast Incydr puede proporcionar la base que realmente facilite la reducción de este riesgo.

Donde comienza la complejidad

La complejidad técnica está a la cabeza del reto de complejidad al que se enfrentan los equipos de seguridad. Son las propias herramientas, que pretenden ayudar a que los programas de amenazas internas sean más eficaces, las que introducen problemas, que conducen a la degradación del equipo de amenazas internas, obstaculizando su eficacia. Aunque hay equipos de seguridad que pueden navegar con éxito a través de sistemas complejos e intrincados, a menudo los sistemas complejos simplemente fallan. Aquí es donde una solución centrada en casos de uso sencillos como Incydr puede reducir el riesgo.

La historia de un éxito 

En un conjunto específico de circunstancias, la complejidad puede llevar al éxito a un equipo de seguridad y, más concretamente, a un programa contra las amenazas internas. El éxito en estos casos se debe a un enfoque en las métricas, el retorno de la inversión y la capacidad de medir la eficacia de un programa de seguridad tanto en términos de mitigación de riesgos como de coste operativo. Debe haber un enfoque reflexivo y decidido para utilizar métricas bien definidas y objetivas para calcular la eficacia del dinero gastado con el fin de garantizar que el coste de la complejidad del programa nunca supere los beneficios. Se trata de una consideración importante tanto en lo que respecta al coste técnico como a los costes de personal y de procesos.

Las organizaciones harían bien en asegurarse de que disponen de una forma objetiva de medir el éxito, acordada por la dirección ejecutiva y las partes interesadas pertinentes. Esto elimina cualquier ambigüedad futura sobre el "valor" de su programa de amenazas internas. Las métricas clave en las que suelen basarse los equipos de seguridad de éxito para medir la reducción de riesgos de los programas contra las amenazas internas incluyen:

• ¿Cuántas alertas recibimos? 
• ¿Cuántas alertas justifican realmente una investigación?
• ¿Cuántas investigaciones dieron como resultado la reducción del riesgo real? 
• ¿Cuántas alertas e investigaciones fueron falsos positivos? 
• ¿Hemos mejorado con el tiempo? 

Para ser meticuloso con la medición, es crucial que las organizaciones empiecen por comprender su exposición actual al riesgo de datos. Sin saber qué vulnerabilidades tiene y qué amenazas son las más penetrantes, no hay forma de saber si alguna herramienta o proceso nuevo le ayudará a mover la aguja. Un producto como Incydr puede ayudarle a evaluar el riesgo y acelerar y simplificar las investigaciones sobre amenazas internas. El riesgo de los datos aflorados por Incydrproporciona a los equipos de seguridad la perspectiva necesaria para responder adecuadamente. Cuando se trata de responder a las amenazas internas, a menudo se trata de una respuesta humana más que de un control técnico. Combine la respuesta con el análisis de los datos disponibles sobre el riesgo, y tendrá los componentes críticos para el éxito de un programa contra las amenazas internas.

Las organizaciones que tienen éxito en la gestión de pilas de seguridad complejas tienden a designar grupos específicos para gestionar DLP, CASB y su programa de amenazas internas. Este enfoque puede ser eficaz porque permite a los individuos especializarse, de modo que la misma persona que redacta las normas en DLP no tiene que gestionar también CASB, UEBA o hacer investigaciones. Esta estructura diversificada elimina la complejidad del trabajo de cada individuo. El reto es para las organizaciones que no tienen un gran presupuesto o equipo de seguridad - la lista de funciones y responsabilidades se lee como un recibo de CVS. Si no puede permitirse el lujo de eliminar la complejidad de las funciones y responsabilidades, busque herramientas que lo hagan por usted. Los más de 250 indicadores de riesgo de Incydr facilitan la eliminación del ruido causado inadvertidamente por los empleados que colaboran para realizar su trabajo y, en su lugar, se centran en las situaciones de verdadero riesgo, como la salida de empleados y los empleados de alto riesgo.

El cuento con moraleja

La mayoría de las organizaciones que tienen, o están pensando en implantar, sólidos conjuntos de herramientas de seguridad no cuentan con un equipo de seguridad lo suficientemente grande como para desempeñar funciones individualizadas y especializadas en todos los ámbitos de la seguridad. Más bien, la mayoría de los profesionales de la seguridad llevan varios sombreros y tienen una lista interminable de tareas pendientes y, siendo realistas, demasiadas responsabilidades para que las gestione una sola persona. 

Con demasiada frecuencia, la alta dirección acaba centrándose en herramientas, soluciones con siglas por nombre y determinadas categorías tecnológicas por el mero hecho de marcar una casilla o responder a una normativa mal definida. El sector de la ciberseguridad, a pesar de todas sus ventajas, tiene un problema de marketing. Con demasiada frecuencia, vemos herramientas comercializadas como la panacea de la protección de datos: "¡despliegue esta herramienta en cada punto final y evite que todos sus datos salgan de su organización!" Cualquiera que haya pasado tiempo tratando de implementar amplios esfuerzos de protección de datos conocerá el dolor asociado a esta línea de razonamiento. Despliegue no equivale a protección. En esta percepción de la protección es donde fracasan las iniciativas de DLP, y los equipos de seguridad, ya de por sí escasos, se ven obligados a vadear capas innecesarias de complejidad mientras intentan sacar el máximo partido a la inversión de su organización.

Para evitarlo, intente implantar una solución de protección de datos que pueda darle visibilidad de toda su exposición al riesgo de datos (o pruebe antes de comprar con la prueba de valor de 4 semanas de Incydr). Esto le proporcionará un conocimiento básico de las vulnerabilidades de exposición de datos de su organización y de las amenazas internas. Una vez que disponga de esta base para evaluar su postura de riesgo, estará en una posición ventajosa para empezar a proteger sus datos de las amenazas internas de forma sencilla.

El coste de la complejidad

En el extremo opuesto de la paradoja del camino fácil, está el camino difícil. El camino difícil tiene unos costes y una complejidad elevados debido a dos factores principales: 

1. Tiempo

• La mayoría de las herramientas utilizadas tradicionalmente para solucionar las amenazas internas requieren mucho tiempo desde el punto de vista del mantenimiento. Mantener la infraestructura, actualizar los agentes, asegurarse de que los agentes no causan conflictos en los puntos finales. Todo esto requiere tiempo y esfuerzo. Cuantas más herramientas tenga una organización, más tiempo tendrá que dedicar el equipo de seguridad a mantenerlas en funcionamiento. Todos hemos oído las historias de equipos que gastan constantemente sus recursos sólo para conseguir herramientas que no hagan daño, lo que le impide utilizar las herramientas para el fin al que están destinadas. 
• CONSEJO: Mitigue esta situación pensando primero en la nube. De este modo, reducirá el tiempo que dedica a gestionar la infraestructura y dispondrá de las últimas actualizaciones de seguridad y funciones del producto sin necesidad de mantenimiento. Una solución que da prioridad a la nube, como Incydr, puede desplegarse en días en lugar de meses. Esto garantiza que su equipo pueda empezar a detectar, investigar y responder a las amenazas internas tan pronto como se desplieguen los agentes para puntos finales. 

2. Experiencia

• Estas mismas herramientas también requieren sofisticados conjuntos de reglas o programación, que generan mucho ruido. El concepto de fatiga por alerta es un gran problema y está bien documentado en la industria de la seguridad. Lo que no se sabe bien es cómo solucionarlo. Ciertamente es posible afinar manualmente las alertas hasta que sean de alta fidelidad, pero esto requiere habilidad y meses (o incluso un año) para perfeccionarlo. 
• CONSEJO: Seleccione una herramienta que no sea ruidosa para empezar. Incydr enfoca la seguridad de los datos de forma diferente a los productos basados en clasificaciones y políticas. Al supervisar toda la actividad de los archivos y correlacionarla con indicadores de riesgo de alta fidelidad (como la actividad de exfiltración de archivos cuya extensión y contenido no coinciden), Incydr es capaz de detectar y priorizar con mayor precisión el riesgo para los datos.

Cada producto tiene un coste total de propiedad, que se calcula mediante tres cosas: el coste del propio producto, la infraestructura necesaria para soportarlo y el coste de las personas y sus procesos necesarios para gestionarlo. El coste de la complejidad entra en juego cuando se consideran los costes de las personas. La experiencia en seguridad es costosa, y crear un gran equipo de profesionales de la seguridad con talento y experiencia supondrá muchos gastos generales. Al fin y al cabo, la seguridad es un centro de costes. Si su equipo de seguridad es más pequeño, puede que ahorre en costes salariales, pero acabará teniendo un pequeño pero poderoso equipo de guerreros de la seguridad sobrecargados de trabajo y de trabajo. Cuando los equipos de seguridad no disponen del ancho de banda o de los conocimientos necesarios para gestionar eficazmente las herramientas de seguridad de su arsenal, es mucho más probable que sus productos se conviertan en artículos de estantería.

A fin de cuentas, estas decisiones tienen que ver con el coste de oportunidad. Si está invirtiendo en salarios de seguridad de alto precio (por no mencionar el coste de los productos de seguridad y la infraestructura de apoyo), debe considerar cuidadosamente si está obteniendo el mismo valor del producto. Si su costoso y altamente cualificado equipo de seguridad se pasa el día realizando investigaciones y mitigando las amenazas internas, lo más probable es que vaya por buen camino. Pero si este equipo altamente cualificado está empleando su tiempo intentando arreglar un agente de punto final averiado, navegando por un laberinto de retos de configuración o luchando con interfaces de usuario e informes deficientes, entonces el coste necesario para mantener el producto supera los beneficios. Es hora de dejar de lado la complejidad que no está moviendo la aguja y considerar un enfoque más sencillo.