A pesar de la existencia de una gran cantidad de mitos, la respuesta a esta pregunta es relativamente inequívoca. Con algunas modificaciones, se reduce a la tesis: externalización en ciberseguridad, especialmente servicios gestionados de detección y respuesta, es mucho más eficiente y económico para las empresas que asegurar todo el proceso en general por las fuerzas de una estructura interna especializada.
La tarea principal es minimizar los costos
El mito más persistente en ciberseguridad está asociado al concepto de costos, el tema más apremiante y urgente para la alta dirección: la subcontratación siempre es más costosa que contar con especialistas internos. Desmentir este mito no es tan difícil. Procedamos.
Vale la pena comenzar con el hecho de que la seguridad cibernética funciona de la manera más eficiente posible exclusivamente en la conexión de personas, tecnología y procesos. Solo así, y no de otra manera, es posible asegurar un ciclo completo de protección de la empresa frente a amenazas ciberespaciales externas e internas.
A la hora de decidir asignar un presupuesto a la ciberseguridad, la dirección de la empresa suele guiarse por conceptos obsoletos y fundamentalmente incorrectos. Solo se tienen en cuenta inversiones de capital claras y prioritarias en tecnología. Después de todo, como parece a primera vista, el eslabón más caro de esta cadena es la tecnología. Puede sentirlos y al menos evaluar visualmente el resultado de los gastos financieros. Incluso ahora, para muchos, el concepto de proyecto de ciberseguridad está asociado a la compra de sistemas de protección específicos, los cuales, a grandes rasgos, deben comprarse, instalarse y ponerse en marcha. Este es el primer y más importante engaño.
Comprar tecnología es una inversión única. En otras palabras, una inversión razonable y comprensible. Un poco inconveniente pero constante y, como resultado, los costos de volumen se ocultan más profundamente.
Las personas adecuadas son la inversión esencial
Las personas son el activo empresarial más caro y, al mismo tiempo, más valioso. Para asegurar el proceso, es crucial entender: si tiene sentido formar un equipo multidisciplinario y altamente especializado dentro de la empresa (que es precisamente lo que debe ser en las condiciones actuales de una variedad altamente compleja de tecnologías y amenazas) o si tiene sentido confiar este proceso en su totalidad o en parte a un ejecutor externo competente que de la A a la Z esté construido y enfocado en resolver tales problemas. En lenguaje sencillo, externalice y, en términos profesionales, regístrese para servicios de DR (detección y respuesta) de seguridad administrada.
Por eso es importante calcular los costos de manera integral y correcta en la etapa de planificación de inversiones en seguridad cibernética. Debe tener en cuenta, en primer lugar, no las inversiones únicas en activos fijos, sino los costos operativos futuros para su mantenimiento. Se traduce principalmente en inversiones adicionales en personal y su formación. Al considerar solo lo primero, la empresa no logra el equilibrio adecuado, sino que crea una eficiencia de seguridad ilusoria a través de la acumulación de tecnologías. Al mismo tiempo, el proceso subyacente es contraproducente y el resultado es inútil.
Muchas empresas han llegado a la misma situación: están cubiertas de costosos complejos tecnológicos de seguridad. No pueden hacer frente a la carga de trabajo operativa de su mantenimiento. No se trata solo de servicio, pero no se trata solo de servicio, pero no se trata solo de servicio. El punto es analizar y aplicar los resultados de dichos sistemas para mejorar el proceso operativo. Hay muchas tecnologías, pero la eficiencia se dirige hacia cero.
¿Es seguro dejar la seguridad en manos de otra persona?
El segundo mito persistente, que es lógico, y quizás, por el contrario, ilógico, surge en la situación de la seguridad de la información y la mayoría de las veces suena en forma de pregunta retórica: "¿Cómo podemos externalizar la seguridad si es seguridad?" Pero espera, ¿no subcontratas tu atención médica en el policlínico? ¿No subcontratas el cuidado de tus hijos a niñeras? Por alguna razón, estas áreas no provocan debates tan violentos, disputas, dudas o pensamientos tan profundos. Vale la pena porque un médico es un especialista, y no siempre hará un diagnóstico usted mismo y no eliminará la apendicitis. Aunque, a primera vista, es suficiente comprar solo un bisturí, algodón y un vendaje, pero ¿qué sigue?
La subcontratación en seguridad cibernética no es un ejemplo bastante clásico de subcontratación en forma de transferencia completa de procesos a un contratista externo. Siempre es una sinergia de los esfuerzos del cliente junto con las acciones del proveedor de seguridad. Además de todo, todo el proceso está estrictamente regulado y registrado en el SLA (acuerdo de nivel de servicio), cuyas garantías no son en modo alguno equiparables al nivel de responsabilidad de un empleado concreto de la plantilla de la empresa.
Muy a menudo, observamos una situación en la que hay "múltiples operadores" en la empresa, que atienden los sistemas y generan informes sobre la eficiencia de los procesos. En otras palabras, un especialista que establece tareas para sí mismo y luego las realiza él mismo. No todas las organizaciones, incluso las más grandes, pueden permitirse el lujo de mantener un gran equipo de especialistas y gerentes de procesos. Al mismo tiempo, es simplemente imposible evaluar objetivamente los resultados de un solo "multiprocesador" en el que se basan todos los procesos. Después de todo, la mayoría de las veces, la gerencia está lejos de ser competente en asuntos de seguridad cibernética. Nadie evalúa los riesgos que se presentan en este caso, y las consecuencias pueden ser deplorables.
Una empresa a la que se subcontrata la seguridad no puede perjudicar a priori el negocio del cliente, ya que es una cuestión de reputación. Además, de hecho, los servicios de seguridad no se refieren directamente a la información comercial.
Al mismo tiempo, la empresa cliente recibe protección a gran escala contra amenazas las 24 horas del día, los 7 días de la semana, las mejores tecnologías hasta la fecha y un equipo de profesionales. Este último es contratado precisamente en esa proporción y en esa cantidad correspondiente al alcance y especificidad de las tecnologías requeridas para un negocio en particular.
La urgencia de la elección es especialmente relevante a la luz de los acontecimientos recientes. El colapso de los frágiles sistemas de protección hizo que se dieran cuenta de lo importante que es formar una seguridad multinivel y profesional. Los parches caseros no funcionan. Miles de empresas tuvieron la oportunidad de comprobarlo. La cuestión de la subcontratación desapareció en sí misma. La respuesta es clara: es necesario atraer especialistas experimentados y actuar aquí y ahora.
Comente
¿Tienes algo que decir sobre este artículo? Agregue su comentario y comience la discusión.