Co-authored by Neil Thacker and Nathan Smolenski
Es muy necesaria una revisión del marco y la estrategia para gestionar la transformación de las redes y la seguridad. Cada CIO, CISO y CTO está hoy evaluando sus costos actuales para ejecutar y operar un plan de proyecto fiable para las redes y la seguridad para el año 2021 y más allá. En las partes 1 y 2 de esta serie de tres partes, expliqué qué números deben alimentar estos cálculos y mediciones y cómo el rendimiento, la flexibilidad y la escalabilidad son claves para esta transformación. Ahora estamos en una etapa crítica para decidir cómo serán nuestros programas y proyectos para nuestras redes y seguridad en un futuro próximo... y sólo tenemos una oportunidad para hacerlo bien.
Impulsar el crecimiento de los ingresos brutos mientras se mejora el balance final aumentando la eficiencia de los costos operativos
Pregunte a un consejo de administración cuál es su objetivo final para la transformación digital, le dirán que es mejorar el crecimiento de los ingresos brutos mientras se aplica la eficiencia en los costos operativos para mantener un resultado final saludable. La transformación conlleva nuevos costos, pero a medida que los equipos de proyecto adquieren más experiencia en la transformación digital, también se consigue más eficiencia económica.
Este mismo enfoque se aplica a la transformación de las redes y la seguridad. Ahora tenemos organizaciones que han seguido los mismos principios de diseño y han trasladado, o están trasladando, sus controles y tecnologías de seguridad a la nube. Estos conjuntos de habilidades están muy solicitados a medida que más y más organizaciones se dan cuenta del valor de esta transformación. Este movimiento también permite a la organización simplificar sus proyecciones presupuestarias y centrarse en la gestión de los gastos reduciendo sus impredecibles gastos de CAPEX y pasando a un modelo OPEX predecible basado en suscripciones que ayuda a la eficiencia de los costes operativos. Comentaré más sobre esto más adelante. En resumen, una situación en la que todos ganan. No sólo es más sencillo de predecir, sino que a medida que la seguridad se convierte en un sector basado en los servicios, sustentará la reducción de costos y permitirá oportunidades adicionales de consolidación.
Ya han pasado los días en que se enrutaba el tráfico a través de la Internet pública y a través de infinidad de equipamientos de seguridad, todos intentando inspeccionar y decodificar el tráfico, mientras que el departamento de redes y el de seguridad necesitan realizar revisiones regulares de cada equipamiento para evaluar el ROI/TCO y haciendo la pregunta obvia: "¿Seguimos necesitando esto? y ¿hay una opción mejor?" Hoy en día, todas las organizaciones tienen la oportunidad de utilizar microservicios basados en la nube cuando surgen las necesidades sin necesidad de costosas revisiones de diseño y arquitectura. Pensando en esto como una analogía, es similar a reservar un viaje internacional y utilizar una docena de aerolíneas y aeropuertos para llegar a su destino. Cada conexión de vuelo requiere otro control de seguridad donde usted y su equipaje deben ser escaneados. Ahora piense en todo lo que le costará esto. Si se le da a elegir, todo el mundo elegirá una opción directa económica con la misma o mejor seguridad aplicada bajo demanda. Esto es de lo que debería tratar la transformación de las redes y la seguridad, algo simple, rápido y seguro, sin retrasos innecesarios.
Flexibilidad fuera de los límites de TI
A medida que transformamos nuestras redes y la seguridad y trasladamos nuestros controles de seguridad a la nube, debemos evaluar cómo planteamos nuestras previsiones y presupuestos. La seguridad de un usuario (prefiero referirme a los usuarios como empleados) en nuestro entorno es un gasto que habitualmente se analiza para cada año fiscal. Si tenemos 20.000 empleados, es obvio que será más caro y requerirá más recursos que para proteger a 2.000 empleados. El problema con las organizaciones es que no pueden predecir con exactitud cómo será el recuento de sus empleados en los próximos 3-5 años. El reto son las fusiones y adquisiciones (M&A), un elemento de cambio que se produce en la mayoría de las organizaciones y que zarandeará cualquier estrategia de seguridad y de TI. Con las fusiones y adquisiciones, predecir los costos de la incorporación de la nueva plantilla suele implicar pensar en un nuevo hardware o incluso en la sustitución de hardware para adaptarlo a los nuevos requisitos de la organización. Este tipo de retos pueden llevar meses de planificación y puesta en marcha, y normalmente ralentizarán a una organización en un momento crítico. Sin embargo, a medida que las organizaciones adoptan y utilizan la nube, podemos utilizar sistemáticamente los flexibles beneficios de la nube para escalar cuando sea necesario, sin compromisos. Añadir otros 5.000 empleados a una Gateway de Seguridad de Nueva Generación (NG SWG) basada en la nube es tan simple como actualizar la licencia. No hay hardware nuevo, no hay que enviar hardware a nuevas ubicaciones, no hay que poner racks y apilar equipamientos, ni conseguir espacio en los armarios. Esta flexibilidad, fuera de los límites de TI, no debe ser subestimada.
Como ya hemos superado algunos de los desafíos más difíciles del pasado y simplificado la incorporación de nuevos empleados, tenemos que pensar en otras oportunidades para consolidarnos. Creo que todos podemos estar de acuerdo en que la organización media ha adquirido muchas tecnologías y soluciones a lo largo de los años que están listas para ser reemplazadas en un mundo donde la prioridad es la nube. La primera afirmación que escucho de la mayoría de los CISOs cuando se habla de la transformación de la seguridad es: "Necesito consolidarme". La consolidación de las tecnologías no es una tarea fácil, pero puede facilitarse utilizando conceptos como el de Secure Access Service Edge (SASE) para identificar qué capacidades clave se requieren para apoyar el futuro ecosistema de la organización. Un elemento básico de la futura arquitectura de la mayoría de las organizaciones es hacer foco en lo siguiente, idealmente en el menor número de plataformas posible con integraciones basadas en API y una red global rápida y eficiente para proporcionar acceso a las aplicaciones e infraestructuras corporativas.
- Gestión de Identidades y Accesos & Acceso de confianza cero a la Red (IAM & ZTNA)
- Gateway de Seguridad Web e Gateway de Acceso Seguro a la Nube (SWG y CASB)
- Protección de datos (Clasificación de datos y DLP)
- Protección contra amenazas (Anti-Malware, Sandboxing, Aislamiento de navegadores)
- Protección del punto final (NG-AV, EDR)
- Automatización y Orquestación (SIEM & SOAR)
Al evaluar la reducción de costos y este nuevo modelo conceptual, debemos seguir asegurándonos de que vemos el valor, el beneficio y la reducción general de riesgos para nuestras organizaciones, al tiempo que proporcionamos la mejor conectividad y flexibilidad a nuestra plantilla. Después de todo, un presupuesto de seguridad siempre debe ser el adecuado según el apetito de riesgo de la organización.
Valor para el negocio, beneficios y reducción de riesgos
Al examinar el valor, los beneficios y, en última instancia, las oportunidades de reducción del riesgo y la eficacia de un mejor control, a menudo es difícil llegar a un cálculo realista del valor que está en juego. Hay distintas variantes para evaluar tales situaciones frente al riesgo y ciertamente hay muchos debates alrededor de este tema. Bruce Schneier escribió un gran artículo sobre este mismo tema para CSO en septiembre de 2008 que ha envejecido relativamente bien. En lo que respecta al enfoque tradicional de poner un valor en dólares al riesgo, afirma: "La metodología clásica se llama expectativa de pérdida anual (ALE), y es sencilla. Calcula el costo de un incidente de seguridad tanto en tangibles, como el tiempo y el dinero, e intangibles, como la reputación y la ventaja competitiva. Multiplique eso por la probabilidad de que el incidente ocurra en un año. Eso te dice cuánto debes gastar para mitigar el riesgo".
Este enfoque de "probabilidad x impacto" ha sido el método que todos hemos tratado de aplicar de un modo, forma o manera, para obtener alguna semblanza de un indicador financiero del costo de los riesgos que hemos identificado y estamos tratando de gestionar. El problema, como también señala Bruce, es que los resultados de estos cálculos van esencialmente en contra nuestra cuando hablamos con los dirigentes empresariales, y se ven empañados por la falta de buenos datos para las variables de entrada.
Por ejemplo, si el costo calculado de un riesgo determinado es de 40.000 dólares anuales y el costo total de propiedad de las personas, los procesos y la tecnología que intentan gestionar mejor o reducir ese riesgo es de 65.000 dólares anuales, imagínese lo que el Director Financiero va a querer saber. ¿Cuán precisos son nuestros datos sobre los factores que entran en la medición del impacto (pérdida real, reputación, etc.) y cuán precisos son nuestros datos para determinar la probabilidad real? E, incluso si todos estamos de acuerdo con estas cifras, la forma en que el Director Financiero interpreta y en última instancia decide permitirle invertir, puede obviamente ser influenciada por estos, y muchos otros factores. Al hablar con muchas personas del sector, así como por mi propia experiencia como profesional, tenemos a menudo el reto de cerrar la brecha en la comprensión. Si no se comprenden financieramente los verdaderos niveles de tolerancia al riesgo de la organización, se podría estar librando una difícil batalla.
Cuando reflexionamos sobre la gestión de riesgos es fundamental determinar cuán eficazmente se gestionan los riesgos. Desde la perspectiva de la ciberseguridad, a menudo veremos a las organizaciones alinear las políticas y los controles con marcos estandarizados que a menudo son auditados por terceros anualmente para determinar la madurez, la alineación y el progreso general. Los departamentos de seguridad se ven entonces obligados a priorizar reactivamente muchos de sus esfuerzos después de la evaluación para abordar las conclusiones.
Desde la perspectiva de la gestión de riesgos, cuando una organización progresa en términos de riesgo, entonces se convierte puramente en un producto de los esfuerzos realizados para responder a las conclusiones de la evaluación. Los marcos de Valor en Riesgo como FAIR (Análisis Factorial del Riesgo de la Información) llaman a este enfoque un Método Implícito de gestión de riesgos debido a su naturaleza reactiva y a la falta de un circuito de retroalimentación consistente. El resultado suele ser un menor control del resultado de la gestión de riesgos desde la perspectiva de la exposición a las pérdidas, ya que los elementos de probabilidad y de impacto no se incluyen de forma nativa en los marcos. En cambio, una postura proactiva de gestión de riesgos tiene un objetivo de riesgo muy explícito que se gestiona constantemente como resultado de la valoración y las aportaciones al proceso de gestión de riesgos.
Al evaluar la eficiencia de los costos operacionales, la flexibilidad, la reducción de costos, el valor para el negocio y una mejor gestión de riesgos como práctica, nos proponemos trabajar dentro de un modelo que informe y apoye continuamente los ajustes proactivos de nuestros controles para abordar un panorama cambiante de costos, beneficios para el negocio y riesgos.
