Tareas que atascan a los equipos de seguridad (y qué hacer al respecto)

Jul 19, 2023

Los problemas presupuestarios y de personal están ejerciendo presión sobre los CISO y otros líderes de seguridad. Aquí hay 10 tareas que normalmente atascan a los equipos cibernéticos y lo que hicieron algunos jefes de seguridad para resolver los problemas.

La mayoría de los CISO conocen los desafíos que conllevan las limitaciones presupuestarias y de personal, y no creen que vayan a desaparecer pronto. Investigaciones recientes respaldan su preocupación: el informe La Voz del CISO 2023 de Proofpoint encontró que el 58% de los CISO globales encuestados dijeron que la recesión económica que se aproximaba al año afectó negativamente el presupuesto de ciberseguridad de su organización, el 61% dijo que enfrentan expectativas excesivas y el 60% experimentó agotamiento durante el año anterior.

Mientras tanto, las encuestas realizadas por la empresa de software de seguridad Tessian encontraron que el entorno actual hace que la mayoría de los profesionales de seguridad trabajen horas extra. Un informe encontró que el personal de seguridad trabaja un promedio de 17 horas más por semana de las horas contratadas. Su encuesta CISO Lost Hours encontró que el 18% de los líderes de seguridad trabajan 25 horas adicionales por semana.

Los desafíos relacionados con las limitaciones presupuestarias y de personal, así como el reconocimiento de que las amenazas cibernéticas continúan aumentando, hacen que muchos ejecutivos de seguridad piensen en cómo ser más eficientes y productivos. Para tener éxito en esa búsqueda, algunos se han centrado en remodelar tareas que, si bien son necesarias, requieren más tiempo del que valen. Aquí, los jefes de seguridad detallan 10 actividades que paralizaron a sus equipos y cómo respondieron.

Una de las tareas más importantes dentro de un programa de seguridad es responder a las alertas; sin embargo, los CISO y su personal dicen que este trabajo puede saturarlos. Una encuesta reciente de la firma de seguridad Censornet reveló que el 47% de los profesionales de seguridad se sentían abrumados por el volumen de alertas. Una encuesta realizada por Sapio Research para el fabricante de software de seguridad Vectra encontró que el 67% de los centros de operaciones de seguridad no podían gestionar la cantidad de alertas diarias recibidas.

Benjamin Dulieu, CISO de Duck Creek Technologies, dice que puede identificarse con estos hallazgos. "El esfuerzo manual que hay que realizar cada vez que se activa algo puede resultar agotador", afirma. "Hay una enorme pérdida de tiempo allí solo en ese proceso. Y se descubre que la mayoría de estas alertas no son nada; son falsos positivos. Sin embargo, es algo con lo que tenemos que lidiar. Y eso descarrila lo que estaba en la agenda del día. "Es casi como tener alguien tocando el timbre constantemente".

Dulieu contrató a un proveedor de servicios de seguridad gestionados (MSSP) para quitarle la tarea a su equipo. "Ahora tengo un mayordomo respondiendo al timbre", dice, señalando que la mudanza libera tiempo y permite a sus trabajadores mantenerse más concentrados y cumplir con el cronograma porque ya no se ven distraídos por las alertas.

Otros CISO tuvieron experiencias similares y algunos también optaron por los MSSP; otros implementaron inteligencia y automatización para reducir tanto la cantidad de falsos positivos como el tiempo de su equipo dedicado a la tarea.

Los CISO a veces restringen o incluso bloquean el uso o el acceso a las tecnologías. Aunque pueden tener argumentos sólidos para hacerlo, puede generar más trabajo para los equipos de seguridad que el trabajo requerido para establecer las barreras de seguridad adecuadas en primer lugar.

Si dedica su tiempo a decirles [a otros departamentos] lo que no pueden hacer sin tener en cuenta el contexto empresarial, la gente lo eludirá y terminará con una relación de confrontación donde el resto de la empresa lo evitará”, dice Greg Notch. CISO en Expel, una empresa de software de seguridad. "Tomar una postura demasiado dura agotará a tu equipo y no estarás haciendo nada del trabajo que realmente mueve la aguja", añade.

Notch habla por experiencia y señala una situación que surgió durante su mandato en la Liga Nacional de Hockey (NHL), donde ocupó varios puestos, incluido el de vicepresidente senior de TI y seguridad.

Cuando el departamento de marketing estaba creando una base de datos de fanáticos de la NHL, "lo identifiqué como un riesgo enorme, y tenía restricciones de privacidad y seguridad sobre cómo iban a trabajar con datos que eran demasiado restrictivas y eso dificultaba incluso la creación de la tecnología que marketing necesario", afirma Notch. "El departamento de marketing siguió llegando y pidiendo excepciones y nuestro equipo de seguridad pasaba tantas horas a la semana respondiendo a estas [consultas] que contratamos a alguien específicamente para eso".

"Habíamos aplicado demasiada fricción en el negocio. Así que di un paso atrás y pregunté cómo cambiamos para que la respuesta predeterminada no sea No sino Sí". Notch restableció la relación de seguridad con el resto de las unidades organizativas, se esforzó por estar "súper alineado con los objetivos del negocio", articuló más claramente los riesgos del negocio (no los problemas de seguridad) y creó "caminos pavimentados" que el negocio podría seguir. para garantizar la seguridad y aun así lograr sus objetivos.

Como muchos ejecutivos, Dulieu tenía un puñado de trabajadores a quienes recurría constantemente por sus conocimientos y experiencia. Vio varios problemas con esa situación.

En primer lugar, fue un uso ineficiente del tiempo de sus trabajadores, ya que alejó a esos trabajadores de las tareas planificadas y priorizadas, sin utilizar adecuadamente a los empleados que estaban trabajando en proyectos menos urgentes.

En segundo lugar, la situación creó más ineficiencias en su personal. Dulieu dice que utilizar siempre a esos trabajadores de referencia significó que podían desarrollar continuamente su experiencia y conocimiento, pero impidió que otros trabajadores aprendieran tanto como pudieran. Y todo eso combinado podría ser malo para la retención de empleados, agrega, ya que podría sobrecargar a algunos, provocando agotamiento, mientras que infravalora a otros que, como resultado, podrían ver limitadas oportunidades de crecimiento.

Para evitar esos problemas y equilibrar mejor el tiempo de su equipo, Dulieu creó equipos SWAT. Asignó un equipo a cada implementación de TI y les encomendó la tarea de desarrollar una comprensión profunda de la misma, y ​​luego esos miembros del equipo fueron responsables de responder preguntas relacionadas con la seguridad sobre ellos. "Eso permite el entrenamiento cruzado y crea una fuerza de banco más profunda", dice Dulieu.

Dulieu reconoce que su enfoque no es "una solución de la noche a la mañana", pero dice que ha tenido grandes beneficios. El enfoque distribuye la experiencia y, por lo tanto, un mejor equilibrio de trabajo para todos. Ha ayudado a mejorar las habilidades de más trabajadores que están ganando más reconocimiento, incluidas bonificaciones puntuales. Y todo eso ha ayudado a impulsar los esfuerzos de retención. Eso, a su vez, creó un equipo más estable y más eficiente.

Dulieu dice que investigar, seleccionar e implementar nueva tecnología de seguridad puede mantener a los CISO y sus equipos de seguridad enterrados en revisiones e informes de analistas, en lugar de brindar los servicios de seguridad para los que realmente fueron contratados. Sin embargo, no hay razón para hacer todo ese trabajo solo.

Dulieu desarrolló una sólida relación de trabajo con un revendedor de valor agregado (VAR), y dijo que confía en esa empresa y su equipo de expertos para hacer ese trabajo preliminar y asesorarlo sobre los hallazgos. "Aportan un nivel de experiencia; eso es lo mejor del 'valor agregado'". Pasan todo el día evaluando proveedores. Eso es sólo una parte de lo que puedo hacer como CISO, pero eso es todo lo que hacen", afirma.

Dulieu dice que la asociación no elimina todos los pasos que él y su equipo deben dar; por ejemplo, todavía supervisa el trabajo de prueba de concepto necesario al considerar nuevas herramientas. Pero la asociación le ha devuelto tiempo: Dulieu calcula que trabajar con un VAR le ahorra a él y a su equipo unas 120 horas de trabajo y acelera todo el proceso seis semanas por cada nueva implementación.

Ahora que la seguridad es una preocupación a nivel de la junta directiva y el foco de un número creciente de regulaciones, los CISO de hoy y los miembros de su equipo dedican mucho más tiempo a responder preguntas sobre sus programas de seguridad. Proporcionar respuestas, ya sea a los equipos de cumplimiento internos que necesitan la información para cumplir con las obligaciones legales o a los socios comerciales externos que desean garantías, es ahora una parte esperada de las responsabilidades del departamento de seguridad moderno. Sin embargo, no es el uso más eficaz del tiempo de los trabajadores.

"No sólo es frustrante, sino que también consume mucho tiempo", dice Kayne McGladrey, miembro senior del Instituto de Ingenieros Eléctricos y Electrónicos (IEEE), una asociación profesional sin fines de lucro, y CISO de campo en Hyperproof. Existen estrategias para cumplir con las obligaciones de seguridad de proporcionar información sin comprometer demasiado a los CISO y sus equipos, afirman él y otros. McGladrey dice que la automatización es una de esas estrategias y afirma que "la evidencia de las operaciones de control debe automatizarse, y la evidencia de efectividad también puede automatizarse".

Otra estrategia: tener información lista para brindar. "La mayoría de los CISO dedican una cantidad excesiva de tiempo a responder cuestionarios de seguridad, así que, para adelantarse a eso, comparta cosas como un informe SOC 2", dice McGladrey.

Jamil Farshchi, vicepresidente ejecutivo y CISO de Equifax, dice que su equipo, a pesar de ser profesionales de la seguridad, tuvo que asistir a la capacitación anual obligatoria en seguridad de la compañía a la que él también debía asistir. "Pensé: '¿Por qué estoy perdiendo una hora?'

Frustrados por el tiempo perdido, Farshchi y su equipo desarrollaron e implementaron un proceso de prueba. Elaboraron cuidadosamente una colección de preguntas y diseñaron una prueba que seleccionaría aleatoriamente 50 preguntas de varios temas para presentarlas a cada examinado. Si el trabajador obtiene una puntuación lo suficientemente alta, demostrando así un conocimiento sólido de una amplia gama de prácticas de seguridad, entonces puede optar por no participar en la formación obligatoria.

Farshchi dice que contó con el apoyo ejecutivo para el programa. También señala que su equipo de seguridad crea cuadros de mando que califican los comportamientos relacionados con la seguridad de los trabajadores y contratistas, para que puedan identificar a las personas cuyas acciones indican que necesitan capacitación adicional o específica. Como resultado, dice que tenía confianza y pudo demostrar que el enfoque de prueba no aumentó el riesgo para la empresa. Dice que este enfoque ha devuelto miles de horas a sus trabajadores de seguridad y a la empresa en su conjunto.

Farshchi dice que su empresa tenía un proceso establecido en el que los proyectos de tecnología planificados se sometían a una cadena de aprobaciones antes de su implementación, con múltiples personas o equipos evaluando y valorando los planes. Hizo que su equipo profundizara en por qué el proceso involucraba a varios equipos y si todos esos niveles de evaluación aportaban valor. "Lo que descubrieron fue que la propuesta de valor era realmente baja. Estábamos haciendo mucho trabajo que aportaba poco valor y estaba provocando limitaciones de capacidad en materia de seguridad", afirma Farshchi. De modo que eliminó eslabones superfluos en esa cadena de aprobación.

Luego fue más allá, automatizando los controles de seguridad y creando un programa tipo "pase rápido" mediante el cual los equipos de desarrollo que cumplen consistentemente los requisitos de seguridad solo necesitan una evaluación de seguridad antes de la producción final. Esos cambios, dice Farshchi, han hecho retroceder más tiempo a los equipos de seguridad sin aumentar nuevos riesgos.

Mike Manrod, CISO de Grand Canyon Education, tenía un problema con los correos electrónicos: tanto él como su equipo recibían demasiados. Cuando asumió su puesto actual de CISO, la cuenta de correo electrónico general del equipo de seguridad recibía alrededor de un millón de correos electrónicos al año de listas de distribución, sistemas de seguridad que enviaban alertas y otras fuentes. Es una cifra que Manrod reconoció inmediatamente como una carga para el tiempo de su equipo, así como para el sistema de correo electrónico (que fallaba regularmente cuando llegó al trabajo). Como CISO, Manrod también recibió muchos de esos mensajes en su propia bandeja de entrada, estimando que recibía alrededor de 100.000 al año y necesitaba de cinco a diez horas a la semana para leerlos.

Decidió recuperar parte de ese tiempo para su equipo y para él mismo mediante la implementación de un nuevo sistema de gestión de eventos e información de seguridad (SIEM). Eso redujo la cantidad total de alertas provenientes de sistemas dispares. También permitió al equipo crear reglas sobre qué información podría mostrarse en los paneles y qué información debería enviarse como alertas, reduciendo aún más el volumen de correo electrónico.

Este trabajo redujo la cantidad de correos electrónicos en el buzón general a 95.000 al año. Luego se priorizaron los correos electrónicos, creando un sistema más manejable que evitó que los trabajadores tuvieran que leer información sin importancia y, en cambio, les permitió centrarse en los que más importaban.

Varios CISO enumeran las demandas de comunicación como otra tarea necesaria que puede requerir una cantidad desproporcionada de tiempo y energía para el valor que proporciona. Ofrecen ideas sobre cómo crear un mejor equilibrio.

Manrod, por ejemplo, dice que se ha vuelto más selectivo en cuanto a los informes que produce. Continúa escribiendo informes que ha identificado como esenciales, como los que se envían a la junta directiva y a otros ejecutivos. Pero descartó otros, sospechando que algunos informes no ofrecían nada necesario y, en consecuencia, no se perderían si desaparecieran. "Normalmente nadie se dio cuenta de que había desaparecido", añade.

Farshchi también aportó más eficiencia a las tareas de comunicación al identificar y utilizar a aquellas personas que son buenos comunicadores y hábiles en el desarrollo de presentaciones. "Hay arquitectos e ingenieros que intentan montar diapositivas y es simplemente un desastre", dice Farshchi, admitiendo que él mismo no está dotado para la tarea. "Me lleva demasiado tiempo y no soy bueno en eso".

Por otro lado, dice que aquellos que son comunicadores talentosos no sólo pueden desarrollar mensajes de seguridad más rápido, sino que también suelen producir un producto de mayor calidad.

El equipo de seguridad de Lexmark tiene un mecanismo para que los trabajadores informen sobre correos electrónicos que crean que podrían ser intentos de phishing. Es una característica de seguridad importante, dado lo generalizados y exitosos que son los ataques de phishing en estos días, dice el CISO Bryan S. Willett. "Si el usuario dio un paso adicional para hacer clic en el botón de alerta de peces, nuestro objetivo en ese proceso es responder rápidamente al usuario para decirle 'Sí, fue malicioso, gracias por notificarnos' o 'No, no es phishing'. '", dice Willett.

Sin embargo, Willett también vio cuánto tiempo dedicaba su departamento de seguridad a este proceso. Como resultado, creó una forma más eficaz de revisar los correos electrónicos sospechosos. Hizo que un trabajador estudiara correos electrónicos legítimos que habían sido etiquetados como sospechosos e identificara palabras clave que ayudaran a indicar que, de hecho, eran legítimos.

El trabajador utilizó esos datos para crear una herramienta automatizada que revisaba mensajes cuestionables y luego informaba al destinatario inicial si un correo electrónico era un mensaje legítimo o era realmente un phishing.

Willett dice que automatizar el proceso de revisión "tuvo implicaciones reales en el ancho de banda del equipo", y explica que recuperaron cantidades significativas de sus horas de trabajo que luego podrían usarse en tareas de seguridad de mayor valor.

Willett dice que su equipo de seguridad continúa afinando los filtros para garantizar que detengan los correos electrónicos maliciosos sin bloquear los legítimos, un acto de equilibrio constante. Y está implementando una herramienta comercial habilitada con inteligencia artificial para reemplazar su filtro basado en reglas de cosecha propia, con la esperanza de agregar aún más eficiencia al proceso de revisión de correo electrónico.