¿En qué demonios estaban pensando? Eso es lo que nosotros, y otros expertos en seguridad, nos preguntábamos cuando el gigante de contenido Patreon despidió recientemente a todo su equipo interno de ciberseguridad a cambio de servicios subcontratados.
Por supuesto, no conocemos las verdaderas motivaciones de este movimiento. Pero, como observadores externos, podemos adivinar que las implicaciones de seguridad cibernética de la decisión serían ineludibles para cualquier organización.
Despide al equipo interno y corres un gran riesgo
Patreon es un sitio de creación de contenido que maneja miles de millones de dólares en ingresos. Por razones que desconocemos, Patreon no solo despidió a un par de miembros del personal o a alguien en la gerencia intermedia. No: la empresa despidió a todo su equipo de seguridad.
Es una gran decisión con importantes consecuencias porque resulta en una pérdida incalculable de conocimiento organizacional. A nivel técnico, es una pérdida de conocimiento básico sobre las interdependencias profundas del sistema que los expertos en seguridad interna simplemente «saben» y acumulan con el tiempo. Conocimiento que rara vez se escribe.
Despedir al equipo, y todo ese conocimiento se ha ido. ¿Se puede reconstruir? Posiblemente, pero en medio de una crisis, ¿cuánto tiempo le tomará a un equipo externo resolver las cosas? Es una incógnita, pero no será fácil.
El «buy-in» y el «ahora mismo»
Hay otras dos cosas de las que preocuparse al considerar equipos internos versus equipos subcontratados y despedir a su equipo interno. Es dedicación y capacidad de respuesta.
No importa qué tan bien informado esté un contratista, un contratista nunca tendrá la misma aceptación que obtiene de su empleado interno que administra sus sistemas en su empresa. Después de todo, los contratistas miran un sistema porque están contratados y nunca se integrarán por completo en la cultura de la empresa.
Eso afecta la dedicación y la velocidad con la que se resuelven los problemas y qué tan comprometido está un equipo en solucionar un problema. Sí, los SLA pueden guiar los estándares de rendimiento, pero cuando importa, en una crisis, un SLA nunca replicará el sentido urgente de «ahora mismo» que tiene con un equipo interno dedicado.
Claro, es posible que los equipos internos no puedan resolver un problema al instante. Aún así, en medio de una crisis de seguridad, lo último que desea es un grupo de contratistas mirando el reloj y dividiendo su atención entre varios clientes.
Olvídate de reemplazar el talento perdido
A la hora de tomar una decisión tan importante como esta, otro punto a tener en cuenta: ¿podemos revertir la decisión si nos arrepentimos? Sí, con el tiempo suficiente, Patreon podría reconstruir las capacidades y el conocimiento que perdieron. Pero, ¿puede la empresa encontrar el talento para hacerlo?
La adquisición de talento es un problema importante en el mercado tecnológico: retener talento es difícil y contratar nuevos talentos es aún más desafiante. De cualquier manera, llevará meses y meses reconstruir un nivel moderado de competencia.
También tendrá un gran costo, ya que los reclutas se toman el tiempo para comprender su nuevo entorno y cómo sus complejidades difieren de otros entornos en los que trabajaron. Mucho de esto se aprende a través de la experiencia; ningún manual de «mejores prácticas» puede cubrirlo a fondo.
¿El resultado neto es el previsto?
No sabemos por qué Patreon tomó esta decisión, pero podría ser una medida de ahorro de costos, la motivación común para la subcontratación. Pero aquí está la cuestión: invertir en un equipo de seguridad cibernética interno que realmente esté al tanto de todo está diseñado para ahorrarle costos cuando sea necesario.
Cuando los sistemas de una organización están bajo ataque, un equipo interno profundamente arraigado y altamente capacitado habrá trabajado para evitar una violación exitosa. Todo ese trabajo duro, dedicación y conocimiento se suman a los sistemas altamente seguros.
Ese es un desafío para la ciberseguridad: cuando un equipo bien financiado y motivado hace bien su trabajo, no hay nada que mostrar excepto la ausencia de incidentes. Por otro lado, los incidentes resultantes de una seguridad inadecuada brindada por un contratista externo (¿más barato?) pueden ser increíblemente costosos de tratar y limpiar.
Malo para la prensa, malo para las finanzas, malo para la seguridad
¿Hubo una razón válida que no sea el ahorro de costos para despedir a todo un equipo interno de ciberseguridad? ¿Falta de competencia, riesgo interno, problemas interpersonales, falta de comunicación o incapacidad para alcanzar los objetivos comerciales? Todas estas serían razones válidas.
Sin embargo, incluso si hay una razón válida, el resultado no será bueno. Hay una mala cobertura de prensa ya que los cambios masivos y repentinos en los regímenes de ciberseguridad envían una señal equivocada. Esto, a su vez, puede generar una pérdida de confianza con los creadores que impulsan los resultados de Patreon.
El riesgo más significativo es una falla de seguridad cibernética. El riesgo más importante es una falla de ciberseguridad al despedir a todo un equipo de seguridad interna. ¿Era incompetente el equipo interno? Quizás la mejor solución hubiera sido combinar el conocimiento interno con la experiencia externa.
Ahora que nadie está al mando, creemos que el movimiento de Patreon simplemente no funcionará bien para sus esfuerzos de seguridad y que existe el riesgo de que no funcione bien para los creadores que continúan confiando en Patreon con su contenido.
La ciberseguridad no se está volviendo más fácil, y encontrar ayuda externa respetable y confiable tampoco se está haciendo más fácil. Al sopesar sus opciones, debe verificar dos veces su situación antes de comprometerse con tal movimiento. Incluso si fuera la mejor decisión, la mancha reputacional sería difícil de eliminar.