en un Artículo anterior, Dije lo importante que period para las organizaciones del mercado medio gastar en seguridad: “Cuanto más gaste, más difícil será poder penetrar, incluso si el objetivo es, en última instancia, más grande”. Para las pandillas de ransomware, por ejemplo, el ROI es clave: se preguntan, ¿cómo obtengo el mayor retorno con la menor inversión? Descubrieron que ciertos segmentos, como la fabricación, tienen un rendimiento más alto que el promedio, por lo que se enfocan en ellos, y el mercado medio tiene un rendimiento mucho más alto que la mayoría, por lo que también se enfocan en eso.
Sin embargo, si no ha estado invirtiendo en seguridad durante los últimos 5 años, vendrá de un lugar en el que está atrasado., y no hay forma de ponerse al día que no implique gastar dinero. Puede terminar teniendo que hacer un aumento de gasto de 1 año para ponerse al día de una manera que realmente muestre valor y lo lleve a la paridad. Entonces, ¿cómo abordar esto, dado que los presupuestos son cada vez más ajustados?
Comience con la autoevaluación y las herramientas existentes
Mi recomendación sería comenzar con el Autoevaluación NIST de madurez y seguridad, y ver realmente dónde colocas. Apuntaría (como un buen objetivo) a estar en el rango de 2.5 a 2.9. 3 obviamente sería bueno, pero si está por debajo de 2.5 a 2.9, tendrá una gran cantidad de recuperación.
La buena noticia es que tienes algunas frutas al alcance de la mano. 3 es una madurez significativa del espacio: a medida que nos adentramos en los 3, nos enfocamos más en la auditabilidad y la repetibilidad. Si está en el rango alto de 1.5 a 1.9, estaría buscando algunos servicios repetibles que pueda aprovechar, para impulsar su madurez y realmente tener un par de ojos en el espacio, para asegurarse de que no No tiene grandes agujeros en su entorno, que es otro problema peligroso.
Una de las cosas que hacen los atacantes, piense en ellos como autónomos, es que penetrarán en una organización, pero no harán cambios. Simplemente verán hasta dónde pueden llegar y lo documentarán, luego pondrán el exploit a la venta. Piense en ello como un intercambio de negocios que cube, oye, penetré hasta aquí en esta organización, aquí hay un perfil de la organización, y luego te lo venden en la esquina de la calle. Entonces, si estás en los 1 bajo a medio-alto, realmente comenzaría a mirar: ¿es esto algo que ha sucedido? ¿Hay algo de lo que deba ser consciente, como una brecha histórica que no llegó a ninguna parte?
Entonces, probablemente necesitará gastar algo de dinero para asegurar su borde, sus firewalls. Esta parte de la arquitectura tiende a ser un poco antigua. ¿Están todos sus cortafuegos actualmente en mantenimiento? Y tal vez no tengan todas las funciones que necesita, encendidas y funcionando.
Entonces probablemente también estaría investigando Zero Belief Community Entry, para cerrar algunos de los problemas de seguridad allí. He visto mucha penetración de VPN en los últimos tiempos. Especialmente aquellos que no tienen un uso completo de la autenticación multifactor (MFA), o donde su MFA se anula fácilmente. Esa es la primera parte de la conversación de seguridad.
A continuación, mire a las personas, dentro y fuera de la organización.
En lo que quiero centrarme a continuación es en que es increíblemente difícil capacitar y retener a las personas. Lo digo en ese orden, porque si los entreno, los he hecho más valiosos en el mercado, y la seguridad se está robando como loca. Entonces, quiero pensar dónde estoy haciendo eso y cómo lo estoy haciendo con la gente. Tiendo a aconsejar y abordarlo como CXO de la siguiente manera: si no se requiere conocimiento tribal para el rol o la función, quiero subcontratar la función.
Quiero subcontratar la función no porque quiera reducir mi plantilla. Generalmente ando corto de gente, así que eso no es possible. Pero si puedo usar un servicio administrado, tal vez tenga cuatro personas de las que pueda descargar algo de trabajo. Esas cuatro personas son difíciles de retener para mí, y si pierdo a una, pierdo el 25% de mi capacidad en ese espacio. Una tienda administrada tendrá cuatrocientas personas: si pierden diez personas, no va a interrumpir su capacidad para brindarme el servicio.
Considere esto en comparación con aquellas cosas que requieren conocimiento tribal, como comprender cómo funciona mi negocio, qué hace mi negocio y cómo funcionan las operaciones dentro de mi empresa. Ahí es realmente donde quiero enfocar a mi gente. Donde quiere comenzar, donde quiere retener a las personas y realmente enfocarlas, puede considerarlo como la G de GRC (Gobierno, Riesgo y Cumplimiento). Estaría invirtiendo en eso, probablemente una inversión del 40% (fuera de mi presupuesto). Hay un límite de capacitación que puedo dar a mi gente, sólo un número limitado de personas que puedo contratar. Por lo tanto, cualquier persona que contrato no es una inversión de una sola vez, sino una inversión duradera.
Quiero asegurarme de que soy dueño de la arquitectura, el diseño, las personas que interactúan con el departamento authorized, las personas que interactúan con las operaciones y las personas que han desarrollado un toque más suave y están integradas dentro de mi organización. No necesariamente quiero ser dueño de las personas que monitorean mi SIEM o monitorean mis firewalls y mi actividad de firewall. Quiero subcontratar esas cosas a proveedores que sean realmente buenos en eso.
Los proveedores de seguridad administrada pueden ver el tráfico a una escala increíblemente grande y pueden detectar patrones de tráfico que nosotros no podemos ver porque nuestro conjunto de datos es demasiado pequeño. Los pequeños conjuntos de datos en seguridad te perjudican. Ellos no te ayudan. Quiero aprovechar conjuntos de datos masivos. Y todo eso cube, lo que busco hacer es construir un ecosistema de talento, y eso es tanto talento dentro de mi organización como fuera de ella.
Si estoy pensando en gastar entre el 25 y el 40 % de mi presupuesto en servicios de seguridad administrados, tienden a venir junto con licencias de software program: si subcontrato SIEM, probablemente no voy a mantener mi propio SIEM. Entonces, si actualmente estoy pagando por Splunk, digamos, quiero mirar mi servicio subcontratado y decir, ¿qué estás usando para un SIEM? ¿Cómo se licencia? ¿Tiene sentido aprovechar mi Splunk? De no ser así, ¿cómo mitigo el costo duradero de un contrato por un equipo que no voy a usar? Si estoy en un contrato de 3 o 5 años. Quiero buscar un SIEM que aproveche las herramientas que tengo actualmente, sin aumentar los costos de mi contrato, sabiendo que voy a buscar no renovar en el futuro.
Eso es 40% de inversión en personas, 25-40% en servicios. Eso deja entre un 20 y un 35 % en nuevas herramientas, dependiendo de su edad precise. Por ejemplo, Zero Belief Community Entry será un nuevo gasto, al igual que los nuevos firewalls. Es possible que la ‘protección del perímetro’ sea un punto de gasto specific, la actualización de un antiguo software program de protección de terminales a algo más moderno y controlado centralmente, potencialmente administrado.
Reúna todo, con tiempos basados en renovaciones de contratos
Los costos no necesariamente aumentan, pero los presupuestos se reducen. Lo que estamos viendo a nivel mundial es que los presupuestos están subiendo alrededor de un 4 %, lo que en realidad es una reducción del presupuesto teniendo en cuenta que estamos viendo un aumento de la inflación de alrededor del 8,5 %. Además, vemos que los costos de los empleados aumentan en un 15 %. Entonces, incluso con una mejora del presupuesto del 4 %, en realidad está mucho más cerca de una pérdida common del 12 %. Mientras tanto, muchos de los grandes fabricantes siguen lidiando con problemas de cadenas de suministro largas, en algunos casos de más de 12 meses.
Es un desafío porque el trabajo no se vuelve más fácil: los requisitos de seguridad se vuelven más complejos y la cantidad de cosas que se nos pide que hagamos no disminuye. Así que realmente estaría buscando, ¿dónde están los lugares tangibles donde puedo llevar mi campo verde, mis nuevas incorporaciones de seguridad y nuevas capacidades para administrar la organización? ¿Tengo una buena estrategia sobre cómo voy a aprovecharlos y medir el ROI? Si no, consideraría retrasarlos.
Si un reloj vence y es hora de hacer una renovación, pero realmente no voy a poder ver el reemplazo hasta dentro de un año, es el momento de pensar, ¿ahora es el momento adecuado para ejecutar esa renovación? ¿Realmente necesito planificar el espacio de cabeza y el espacio de cabeza operativo para cosas que probablemente no veré durante 12 meses? Entonces, ¿hay algunas cosas que podría sacar del presupuesto del próximo año? ¿Hay algunas cosas que pueda sacar del presupuesto de 2024 para 2023, si no puedo ejecutar otras cosas?
Cuando se trata de contratos; si tengo herramientas y servicios que vencen en octubre, debería negociarlos en enero. Si negocio en enero, primero, la capacidad de renovar antes de tiempo proporciona algo de alivio para el proveedor al que le compro; y segundo, si no voy a poder negociar términos que considero ventajosos para mí, tengo nueve meses para idear un plan alternativo.
Esa es la conversación que estaría teniendo ahora, así que sé dónde voy a obtener mejores condiciones y asegurar esas cosas. No necesito revisar esas decisiones hoy. Donde no obtengo mejores condiciones, es en eso en lo que quiero concentrarme. Y mientras tanto, aquí hay algunos proyectos de campo verde: tenemos un buen ROI potencial y realmente queremos devolver el valor al negocio, pero no me siento muy cómodo de poder responder estas preguntas con confianza. Estas cosas que quiero retrasar y reducir su costo ahora mismo, hasta que podamos.
La gestión del presupuesto se convertirá en algo más importante en 2023, y mi expectativa es que 2024 no será más fácil. Al igual que en 2021 y 2020, dijimos: “¡2018 seguro parece una fiesta en comparación con hoy!” Pero considerar su cartera existente, administrar a las personas que aportan el mayor valor por su conocimiento tribal y centrarse en los contratos que necesitan más atención en los próximos 12 meses, ofrece un camino a seguir.
