La ciberseguridad acompaña la evolución de la tecnología, y como tal debe inscribirse en el marco de una estrategia integral, como una “pata más” para tener en cuenta desde el inicio de los proyectos.
En tal sentido, cabe destacar que durante los últimos años se observó un cambio rotundo a nivel del consumo de tecnología: por un lado, hoy tanto el consumidor de un servicio como las personas que toman decisiones en el más alto nivel dan por sentado que la tecnología que se despliega en una organización ya es intrínsecamente segura, es decir, que la ciberseguridad ya está embebida en la solución. Y, por otro lado, pasamos de una situación en la que había un sentido de propiedad sobre la tecnología y en la que todo se hacía “in house” –la infraestructura y el data center, entre otros–, a otro modelo en el que el uso de tecnologías compartidas lleva a aceptar que parte de las soluciones no serán propias y se pagará por su uso.
A nivel de las tecnologías de ciberseguridad también se está dando este cambio en el consumo.
Aunque todavía es algo parcial, cada vez más organizaciones consumen la ciberseguridad como un servicio.
Esto se ve en primer lugar en los modelos de la nube, donde el proveedor de la nube suele ofrecer servicios básicos de seguridad.
Ganar eficiencia a través de la inversión
El gran desafío es ver cómo se hace eficiente la seguridad desde el punto de vista de la prevención, detección y mitigación para los distintos bordes o edges que tienen las organizaciones, a sabiendas de que algunos edges serán de infraestructura propia y otros serán dinámicos, como accesos remotos sobre los que no se tiene total control.
Todavía hay compañías que ven a cada borde como un silo o una isla separada, y tienen distintas estrategias para cada uno, eso habla de una planificación de la seguridad más bien reactiva: a lo largo de los años se fueron habilitando distintos bordes y se fue colocando seguridad para cada uno. Pero no hubo un enfoque holístico para resolver el tema de manera integral. Este modo de trabajar, además de ser más burocrático, resulta más caro, porque hace que las organizaciones se llenen de soluciones y se genere una complejidad abrumadora.
Por eso hoy las organizaciones más dinámicas están empezando a mirar el tema de manera integral y eficiente. Y allí es donde aparece el concepto de costo total de propiedad, que incluye como factor clave al costo de operación. Hoy las compañías interpretan que deben ir hacia un enfoque de seguridad más abarcativo, donde habrá tareas que convendrá consumir como servicio y otras que se deberán resolver con infraestructura propia. Lo importante es que el abordaje sea homogéneo y que haya una estrategia integral: esto permitirá tener un mejor nivel de seguridad y a la vez maximizar la eficiencia.
El impacto del factor tiempo
Al costo total de operación de las tecnologías de ciberseguridad se lo puede medir en dólares, pero también en tiempo de parada ante un incidente o en horas-hombre requeridas para superar la brecha. Si consideramos que el capital de una empresa se puede medir por la variable tiempo, entonces una forma de evaluar el retorno de la inversión (ROI) en seguridad es tener en cuenta que cuanto más rápido se detecten los incidentes, menor será el impacto de las brechas y el retorno a un estado seguro.
De esta forma, el concepto de ROI en ciberseguridad se puede evaluar en función del factor tiempo. Luego, a cada compañía le tocará cuantificar cuánto vale ese tiempo para su operación.
Hoy sabemos que es bastante posible recibir ataques que vulneren algún tipo de activo dentro de la infraestructura de las empresas, ya que lamentablemente existen organizaciones muy bien armadas y fondeadas para perpetrar estos delitos. Si una empresa tarda 6 meses en enterarse que fue vulnerada o lo hace cuando el ataque es muy obvio, es porque fallaron los controles de su infraestructura.
La falla en la capacidad de prevención y detección tiene que ver ya sea con la inexistencia de una solución en los bordes (endpoints) que permita detectar alguna entidad maliciosa, o con la falta de una infraestructura de red moderna que detecte la presencia de tráfico fuera de lo usual, junto con la carencia de una visión holística que ofrezca indicadores claros de compromiso. Por eso, lo que tienen que hacer las organizaciones es mejorar su nivel de infraestructura y asegurarse de que trabaje de manera integrada.
En el terreno de la ciberseguridad, la conclusión es que medir el ROI no es lo ideal, ya que es difícil atribuir costos tangibles. En cambio, hay que hablar de optimizar el costo total de propiedad para mejorar la eficiencia y los tiempos de detección y respuesta.
Eduardo Zamora, Country Manager para Fortinet México.