\u00bfEn qu\u00e9 demonios estaban pensando? Eso es lo que nosotros, y otros expertos en seguridad, nos pregunt\u00e1bamos cuando el gigante de contenido Patreon despidi\u00f3 recientemente a todo su equipo interno de ciberseguridad a cambio de servicios subcontratados.<\/p>\n
Por supuesto, no conocemos las verdaderas motivaciones de este movimiento. Pero, como observadores externos, podemos adivinar que las implicaciones de seguridad cibern\u00e9tica de la decisi\u00f3n ser\u00edan ineludibles para cualquier organizaci\u00f3n.<\/p>\n
Despide al equipo interno y corres un gran riesgo<\/h2>\n
Patreon es un sitio de creaci\u00f3n de contenido que maneja miles de millones de d\u00f3lares en ingresos. Por razones que desconocemos, Patreon no solo despidi\u00f3 a un par de miembros del personal o a alguien en la gerencia intermedia. No: la empresa despidi\u00f3 a todo su equipo de seguridad. <\/p>\n
Es una gran decisi\u00f3n con importantes consecuencias porque resulta en una p\u00e9rdida incalculable de conocimiento organizacional. A nivel t\u00e9cnico, es una p\u00e9rdida de conocimiento b\u00e1sico sobre las interdependencias profundas del sistema que los expertos en seguridad interna simplemente “saben” y acumulan con el tiempo. Conocimiento que rara vez se escribe.<\/p>\n
Despedir al equipo, y todo ese conocimiento se ha ido. \u00bfSe puede reconstruir? Posiblemente, pero en medio de una crisis, \u00bfcu\u00e1nto tiempo le tomar\u00e1 a un equipo externo resolver las cosas? Es una inc\u00f3gnita, pero no ser\u00e1 f\u00e1cil.<\/p>\n
El “buy-in” y el “ahora mismo”<\/h2>\n
Hay otras dos cosas de las que preocuparse al considerar equipos internos versus equipos subcontratados y despedir a su equipo interno. Es dedicaci\u00f3n y capacidad de respuesta.<\/p>\n
No importa qu\u00e9 tan bien informado est\u00e9 un contratista, un contratista nunca tendr\u00e1 la misma aceptaci\u00f3n que obtiene de su empleado interno que administra sus sistemas en su empresa. Despu\u00e9s de todo, los contratistas miran un sistema porque est\u00e1n contratados y nunca se integrar\u00e1n por completo en la cultura de la empresa.<\/p>\n
Eso afecta la dedicaci\u00f3n y la velocidad con la que se resuelven los problemas y qu\u00e9 tan comprometido est\u00e1 un equipo en solucionar un problema. S\u00ed, los SLA pueden guiar los est\u00e1ndares de rendimiento, pero cuando importa, en una crisis, un SLA nunca replicar\u00e1 el sentido urgente de “ahora mismo” que tiene con un equipo interno dedicado. <\/p>\n
Claro, es posible que los equipos internos no puedan resolver un problema al instante. A\u00fan as\u00ed, en medio de una crisis de seguridad, lo \u00faltimo que desea es un grupo de contratistas mirando el reloj y dividiendo su atenci\u00f3n entre varios clientes.<\/p>\n
Olv\u00eddate de reemplazar el talento perdido<\/h2>\n
A la hora de tomar una decisi\u00f3n tan importante como esta, otro punto a tener en cuenta: \u00bfpodemos revertir la decisi\u00f3n si nos arrepentimos? S\u00ed, con el tiempo suficiente, Patreon podr\u00eda reconstruir las capacidades y el conocimiento que perdieron. Pero, \u00bfpuede la empresa encontrar el talento para hacerlo?<\/p>\n
La adquisici\u00f3n de talento es un problema importante en el mercado tecnol\u00f3gico: retener talento es dif\u00edcil y contratar nuevos talentos es a\u00fan m\u00e1s desafiante. De cualquier manera, llevar\u00e1 meses y meses reconstruir un nivel moderado de competencia.<\/p>\n
Tambi\u00e9n tendr\u00e1 un gran costo, ya que los reclutas se toman el tiempo para comprender su nuevo entorno y c\u00f3mo sus complejidades difieren de otros entornos en los que trabajaron. Mucho de esto se aprende a trav\u00e9s de la experiencia; ning\u00fan manual de “mejores pr\u00e1cticas” puede cubrirlo a fondo.<\/p>\n
\u00bfEl resultado neto es el previsto?<\/h2>\n
No sabemos por qu\u00e9 Patreon tom\u00f3 esta decisi\u00f3n, pero podr\u00eda ser una medida de ahorro de costos, la motivaci\u00f3n com\u00fan para la subcontrataci\u00f3n. Pero aqu\u00ed est\u00e1 la cuesti\u00f3n: invertir en un equipo de seguridad cibern\u00e9tica interno que realmente est\u00e9 al tanto de todo est\u00e1 dise\u00f1ado para ahorrarle costos cuando sea necesario.<\/p>\n
Cuando los sistemas de una organizaci\u00f3n est\u00e1n bajo ataque, un equipo interno profundamente arraigado y altamente capacitado habr\u00e1 trabajado para evitar una violaci\u00f3n exitosa. Todo ese trabajo duro, dedicaci\u00f3n y conocimiento se suman a los sistemas altamente seguros. <\/p>\n
Ese es un desaf\u00edo para la ciberseguridad: cuando un equipo bien financiado y motivado hace bien su trabajo, no hay nada que mostrar excepto la ausencia de incidentes. Por otro lado, los incidentes resultantes de una seguridad inadecuada brindada por un contratista externo (\u00bfm\u00e1s barato?) pueden ser incre\u00edblemente costosos de tratar y limpiar. <\/p>\n
Malo para la prensa, malo para las finanzas, malo para la seguridad<\/h2>\n
\u00bfHubo una raz\u00f3n v\u00e1lida que no sea el ahorro de costos para despedir a todo un equipo interno de ciberseguridad? \u00bfFalta de competencia, riesgo interno, problemas interpersonales, falta de comunicaci\u00f3n o incapacidad para alcanzar los objetivos comerciales? Todas estas ser\u00edan razones v\u00e1lidas.<\/p>\n
Sin embargo, incluso si hay una raz\u00f3n v\u00e1lida, el resultado no ser\u00e1 bueno. Hay una mala cobertura de prensa ya que los cambios masivos y repentinos en los reg\u00edmenes de ciberseguridad env\u00edan una se\u00f1al equivocada. Esto, a su vez, puede generar una p\u00e9rdida de confianza con los creadores que impulsan los resultados de Patreon.<\/p>\n
El riesgo m\u00e1s significativo es una falla de seguridad cibern\u00e9tica. El riesgo m\u00e1s importante es una falla de ciberseguridad al despedir a todo un equipo de seguridad interna. \u00bfEra incompetente el equipo interno? Quiz\u00e1s la mejor soluci\u00f3n hubiera sido combinar el conocimiento interno con la experiencia externa. <\/p>\n
Ahora que nadie est\u00e1 al mando, creemos que el movimiento de Patreon simplemente no funcionar\u00e1 bien para sus esfuerzos de seguridad y que existe el riesgo de que no funcione bien para los creadores que contin\u00faan confiando en Patreon con su contenido.<\/p>\n
La ciberseguridad no se est\u00e1 volviendo m\u00e1s f\u00e1cil, y encontrar ayuda externa respetable y confiable<\/a> tampoco se est\u00e1 haciendo m\u00e1s f\u00e1cil. Al sopesar sus opciones, debe verificar dos veces su situaci\u00f3n antes de comprometerse con tal movimiento. Incluso si fuera la mejor decisi\u00f3n, la mancha reputacional ser\u00eda dif\u00edcil de eliminar.<\/p>\n <\/p>\n<\/div>\n