En la Conferencia Black Hat Europe en diciembre, me senté con uno de nuestros analistas de seguridad de alto nivel, Paul Stringfellow. En esta primera parte de nuestra conversación, discutimos la complejidad de navegar en las herramientas de ciberseguridad y definir métricas relevantes para medir el ROI y el riesgo. Jon: Paul, ¿cómo tiene sentido una organización de usuario final de todo lo que sucede? Estamos aquí en Black Hat, y hay una gran cantidad de diferentes tecnologías, opciones, temas y categorías. En nuestra investigación, hay 30-50 temas de seguridad diferentes: gestión de postura, gestión de servicios, gestión de activos, SIEM, SOAR, EDR, XDR, etc. Sin embargo, desde una perspectiva de la organización del usuario final, no quieren pensar en 40-50 cosas diferentes. Quieren pensar en 10, 5 o tal vez incluso 3. Su papel es implementar estas tecnologías. ¿Cómo quieren pensar en ello y cómo los ayudan a traducir la complejidad que vemos aquí en la simplicidad que están buscando? Paul: Asisto a eventos como este porque el desafío es tan complejo y rápidamente evolucionando. No creo que pueda ser un líder moderno o líder de seguridad sin pasar tiempo con sus proveedores y la industria en general. No necesariamente en Black Hat Europe, pero debe comprometerse con sus proveedores para hacer su trabajo. Volviendo a su punto de unos 40 o 50 proveedores, tiene razón. El número promedio de herramientas de ciberseguridad en una organización es de entre 40 y 60, dependiendo de la investigación a la que se refiera. Entonces, ¿cómo te mantienes al día? Cuando llego a eventos como este, me gusta hacer dos cosas, y he agregado un tercero desde que comencé a trabajar con Gigaom. Una es reunirme con vendedores, porque la gente me ha pedido que lo hagan. Dos, ve a algunas presentaciones. Tres es caminar por el piso de la exposición hablando con los vendedores, particularmente los que nunca he conocido, para ver lo que hacen. Ayer me senté en una sesión, y lo que me llamó la atención fue el título: «Cómo identificar las métricas de ciberseguridad que le darán valor». Eso me llamó la atención desde el punto de vista de un analista porque parte de lo que hacemos en Gigaom es crear métricas para medir la eficacia de una solución en un tema determinado. Pero si está implementando tecnología como parte de SecOps o operaciones de TI, está reuniendo muchas métricas para tratar de tomar decisiones. Una de las cosas de las que hablaron en la sesión fue el problema de crear tantas métricas porque tenemos tantas herramientas que hay tanto ruido. ¿Cómo comienzas a averiguar el valor? La larga respuesta a su pregunta es que sugirieron algo que pensé que era un enfoque realmente inteligente: dar un paso atrás y pensar como una organización sobre lo que importan las métricas. ¿Qué necesitas saber como un negocio? Hacer eso le permite reducir el ruido y también potencialmente reducir la cantidad de herramientas que está utilizando para entregar esas métricas. Si decide que una determinada métrica ya no tiene valor, ¿por qué mantener la herramienta que la proporciona? Si no hace nada más que darle esa métrica, tómelo. Pensé que era un enfoque realmente interesante. Es casi como, «Hemos hecho todo esto. Ahora, pensemos en lo que realmente aún importa». Este es un espacio en evolución, y cómo tratamos con él también debe evolucionar. No puede asumir que debido a que compró algo hace cinco años, todavía tiene valor. Probablemente tengas otras tres herramientas que hacen lo mismo por ahora. La forma en que abordamos la amenaza ha cambiado y cómo abordamos la seguridad ha cambiado. Necesitamos volver a algunas de estas herramientas y preguntar: «¿Realmente necesitamos esto más?» Jon: Medimos nuestro éxito con esto y, a su vez, vamos a cambiar. Paul: Sí, y creo que eso es muy importante. Recientemente estaba hablando con alguien sobre la importancia de la automatización. Si vamos a invertir en automatización, ¿somos mejores ahora que hace 12 meses después de implementarla? Hemos gastado dinero en herramientas de automatización, y ninguno de ellos viene gratis. Nos han vendido con la idea de que estas herramientas resolverán nuestros problemas. Una cosa que hago en mi papel de CTO, fuera de mi trabajo con Gigaom, es tomar los sueños y visiones de los proveedores y convertirlos en realidad por lo que los clientes solicitan. Los proveedores tienen aspiraciones de que sus productos cambiarán el mundo para usted, pero la realidad es lo que el cliente necesita en el otro extremo. Es ese tipo de consolidación y comprensión, ser capaz de medir lo que sucedió antes de implementar algo y lo que sucedió después. ¿Podemos mostrar mejoras y esa inversión ha tenido un valor real? Jon: En última instancia, esta es mi hipótesis: el riesgo es la única medida que importa. Puede dividir eso en el riesgo de reputación, el riesgo comercial o el riesgo técnico. Por ejemplo, ¿vas a perder datos? ¿Va a comprometer los datos y, por lo tanto, dañará su negocio? ¿O expondrá datos y molestará a sus clientes, lo que podría golpearlo como una tonelada de ladrillos? Pero luego está el otro lado: ¿estás gastando mucho más dinero del que necesitas, para mitigar los riesgos? Entonces, entra en costo, eficiencia, etc., pero ¿es así como las organizaciones están pensando en ello? Porque esa es mi forma de verlo en la vieja escuela. Tal vez se mueve. Paul: Creo que estás en el camino correcto. Como industria, vivimos en una pequeña cámara de eco. Entonces, cuando digo «la industria», me refiero a la pequeña parte que veo, que es solo una pequeña parte de toda la industria. Pero dentro de esa parte, creo que estamos viendo un cambio. En las conversaciones de los clientes, se habla mucho más sobre el riesgo. Están comenzando a comprender el equilibrio entre gastos y riesgos, tratando de calcular con cuánto riesgo se sienten cómodos. Nunca vas a eliminar todo riesgo. No importa cuántas herramientas de seguridad implementen, siempre existe el riesgo de que alguien haga algo estúpido que exponga el negocio a las vulnerabilidades. Y eso es incluso antes de que nos metamos en agentes de IA que intentan hacerse amigos de otros agentes de IA para hacer cosas maliciosas, esa es una conversación completamente diferente. Jon: ¿Te gusta la ingeniería social? Paul: Sí, mucho. Ese es un espectáculo diferente. Pero, comprender el riesgo se está volviendo más común. Las personas con las que hablo están comenzando a darse cuenta de que se trata de la gestión de riesgos. No puede eliminar todos los riesgos de seguridad y no puede lidiar con cada incidente. Debe concentrarse en identificar dónde se encuentran los riesgos reales para su negocio. Por ejemplo, una crítica de los puntajes de CVE es que las personas miran una CVE con un puntaje de 9.8 y asumen que es un riesgo masivo, pero no hay contexto a su alrededor. No consideran si el CVE ha sido visto en la naturaleza. Si no lo ha hecho, ¿cuál es el riesgo de ser el primero en encontrarlo? Y si el exploit es tan complicado que no se ha visto en la naturaleza, ¿qué tan realista es que alguien lo use? Es tan complicado explotar que nadie lo explotará. Tiene un 9.8, y aparece en su escáner de vulnerabilidad que dice: «Realmente necesitas lidiar con esto». La realidad es que ya has visto un cambio en el que no hay contexto aplicado a eso, si lo hemos visto en la naturaleza. Jon: El riesgo es igual a la probabilidad multiplicada por impacto. Entonces estás hablando de probabilidad y luego, ¿va a afectar tu negocio? ¿Está afectando un sistema utilizado para el mantenimiento una vez cada seis meses, o es su sitio web orientado al cliente? Pero tengo curiosidad porque en los años 90, cuando estábamos haciendo esto práctico, pasamos por una ola de evitación de riesgos, luego fuimos a «Tenemos que detener todo», que es de lo que estás hablando, a través de la mitigación del riesgo y la priorización de riesgos, y así sucesivamente. Pero con el avance de la nube y el surgimiento de nuevas culturas como Agile en el mundo digital, parece que hemos vuelto a la dirección de: «Bueno, necesitas evitar que eso suceda, bloquear todas las puertas e implementar cero confianza». Y ahora, estamos viendo la ola de «Tal vez necesitamos pensar en esto un poco más inteligente». Paul: Es un punto realmente bueno, y en realidad, es un paralelo interesante que planteas. Tengamos un pequeño argumento mientras grabamos esto. ¿Te importa si discute contigo? Preguntaré tu definición de confianza cero por un momento. Entonces, Zero Trust a menudo se ve como algo que intenta detener todo. Eso probablemente no sea cierto para Zero Trust. Zero Trust es más un enfoque, y la tecnología puede ayudar a apuntalar ese enfoque. De todos modos, ese es un debate personal conmigo mismo. Pero, Zero Trust … ahora, solo me recortaré aquí más tarde y discutiré conmigo mismo. Entonces, Zero Trust … si lo tomas como ejemplo, es bueno. Lo que solíamos hacer era una confianza implícita: iniciaría sesión, y aceptaría su nombre de usuario y contraseña, y todo lo que hizo después de eso, dentro de la burbuja segura, se consideraría válido sin actividad maliciosa. El problema es que, cuando su cuenta está comprometida, iniciar sesión podría ser lo único no malicioso que está haciendo. Una vez iniciado sesión, todo lo que su cuenta comprometida intenta hacer es maliciosa. Si estamos haciendo una confianza implícita, no estamos siendo muy inteligentes. Jon: Entonces, ¿lo contrario de eso sería bloquear el acceso por completo? Paul: Esa no es la realidad. No podemos evitar que las personas inicien sesión. Zero Trust nos permite dejar que inicie sesión, pero no confiar ciegamente en todo. Confiamos en usted por ahora, y evaluamos continuamente sus acciones. Si haces algo que ya no nos confía en ti, actuamos sobre eso. Se trata de evaluar continuamente si sus actividades son apropiadas o potencialmente maliciosas y luego actuar en consecuencia. Jon: Va a ser un argumento muy decepcionante porque estoy de acuerdo con todo lo que dices. Discutiste contigo mismo más de lo que voy a ser capaz, pero creo que, como dijiste, el modelo de defensa del castillo, una vez que estás, estás dentro. Estoy mezclando dos cosas allí, pero la idea es que una vez que estás dentro del castillo, puedes hacer lo que quieras. Eso ha cambiado. Entonces, ¿qué hacer al respecto? Lea la Parte 2, sobre cómo entregar una respuesta rentable.