Un programador está cerca de una fecha límite y debe trabajar rápido. Por esta vez, decide saltarse ciertos protocolos de seguridad. Prometen no volver a hacerlo, pero no lo consiguen.
Una empresa en rápido crecimiento debe elegir dónde destinar su presupuesto. Pueden seguir desarrollando su mejor producto, realizar una campaña de marketing más fuerte para seguir creciendo o reducir la probabilidad de que se produzcan violaciones de datos. Una de ellas es la opción menos probable.
Si la gente conoce la seguridad es extremadamente importante, ¿por qué se siguen produciendo estas situaciones?
Bueno, tal vez sea porque nosotros, como profesionales de la seguridad, aún no nos hemos dado cuenta la seguridad no es que importante. ¿Qué queremos decir con esto?
La seguridad no es más que un medio para alcanzar un fin.
La seguridad es importante; en eso estamos todos de acuerdo. Pero por qué es importante? La seguridad no es más que un medio para alcanzar un fin.
Si no hay negocio, no se necesita seguridad.
Para un negocio, seguridad es tan importante como lo es para ese negocio. Nada nada más y nada menos.
La seguridad es tan buena como el dinero que ahorra. Por trivial que parezca, la idea encierra una valiosa perspicacia:
Beneficio de una estrategia de seguridad = P(exploit) * Coste(exploit) - Coste(estrategia de seguridad)
Para una empresa, el beneficio de una estrategia de seguridad depende no sólo de en qué medida reduce el coste previsto de las violaciones de datos sino también en el coste de la propia estrategia de seguridad.
Si tratamos la seguridad como la máxima prioridad, será feo e incómodo.
Si la seguridad es lo más importante del mundo, no hay opción: programadores, contables, diseñadores y gestores tendrán que adaptarse a nuestros protocolos, procesos y requisitos.
Sin alternativa, no habría incentivos para hacer la seguridad más cómoda o para pensar en aspectos más amplios que la reducción de riesgos, como los aspectos económicos de la seguridad o los efectos de las distintas estrategias sobre la productividad.
Es fácil caer en la trampa del especialista, que es creer que la gente no le da tanta importancia a la seguridad porque todavía no la tiene. comprender su importancia, y que la solución es celebrar otra formación para repasar exactamente los mismos puntos del año anterior.
La verdad es que la seguridad es incómoda y complicada.
Si ofrecemos soluciones de seguridad sin tener en cuenta que la seguridad es no tan importante, no prosperaremos hacia mejores alternativas de seguridad.
Tratar la seguridad como un objetivo secundario significa pensar en su coste tan profundamente como en sus beneficios y sabiendo que el coste de la seguridad incluye cuánto tiempo y atención requiere y cuánto obstaculiza otras actividades.
Cuando la seguridad se desarrolla de esta manera, la adopción de medidas de seguridad tiende a ser más sólida. No se ve como un deber abstracto, sino como una inversión naturalmente buena. Cuando la seguridad se diseña como un objetivo secundario, siempre es una buena opción porque reconoce las necesidades de la empresa y trabaja precisamente para ser la mejor inversión posible.
Comprender el papel de la seguridad es el camino a seguir.
Hay que tener en cuenta algunos factores para que la seguridad sea más sólida, mejor para las empresas y más fácil de adoptar.
- Simplicidad: Reconocer que el tiempo, la atención y los recursos humanos forman parte del coste de la seguridad, no sólo para el departamento de seguridad, sino para toda la empresa. Esto no es fácilmente cuantificable, pero es real: pensar en la seguridad es costoso. Cuanto más sencillo, mejor.
- Adaptabilidad: Cuantos más empleados se salen de su camino para satisfacer las necesidades de seguridad, más costosa es una estrategia de seguridad, ya que obstaculiza las actividades de las empresas en otros ámbitos. Cuanto mejor se adapte la seguridad a los flujos de trabajo existentes, mejor será.
- Eficiencia: El principal objetivo de la seguridad no es la impenetrabilidad, sino ser una inversión inteligente, lo que consiste en mejorar la relación entre el coste y el beneficio de la seguridad.
Menos es más
Un buen ejemplo de estas ideas puede verse en el abrumador número de herramientas de seguridad, escáneres y protocolos disponibles. Eso ocurre cuando el diseño de soluciones considera la seguridad como único objetivo: se desarrollan cada vez más herramientas para resolver problemas cada vez más específicos, sin centrarse en cómo las empresas integrarán el uso de herramientas en el mercado.
El cuello de botella de la seguridad ya no está en la existencia de soluciones a distintos problemas, sino en la integración de las soluciones disponibles en la estrategia global más eficiente.
En Faraday, abordamos el problema centrándonos en un proceso crucial y que requiere mucho tiempo: la gestión de la vulnerabilidad, y desarrolló una plataforma para que fuera sencilla, adaptable y eficaz.
Nuestro objetivo era centrarnos en técnicas de diseño heurístico para que la plataforma simple y fácil de aprender al tiempo que permite a los equipos llevar a cabo todos los procesos de gestión de vulnerabilidades desde una única plataforma, mejorando la comodidad, la eficacia y la rapidez.
Los primeros pasos incluyeron varios retos técnicos:
- integración de plugins para herramientas de escaneado disponibles,
- facilitando el proceso de triaje,
- desarrollo de técnicas de visualización continua,
- permitiendo a los equipos crear informes dentro de la plataforma.
Pero incluso al abordarlas, nunca perdimos de vista la búsqueda de comodidad, facilidad de uso y integridad, la sensación de que la plataforma funciona como un todo integrado.
Posteriormente, y sobre esa base, mejoramos la eficacia y el alcance, al
- Permitir la automatización de pasos clave, como el escaneado o la clasificación de vulnerabilidades,
- Integrando plataformas de ticketing como Jira, Gitlab o ServiceNow para permitir a los equipos seguir el ciclo de vida de una vulnerabilidad hasta su mitigación.
El resultado fue la Plataforma Faraday.
Además de ser simple y eficiente, Faraday es adaptable porque los equipos de seguridad de cualquier tamaño o madurez pueden utilizarlo como necesiten, pero también porque es muy fácil desplegar una batería de escáneres en función del producto que desarrollen.
Tratar la seguridad como un objetivo secundario es, quizá, el principal punto fuerte de Faraday.
El punto principal es no que mejora la seguridad, sino que lo hace facilitar el trabajo de las personas.
¿Le interesan nuestros productos? Póngase en contacto con nosotros. ⚡🚀
