Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
El coste real de despedir a todo un equipo de ciberseguridad
Joao Correia
2 de noviembre de 2022 - Evangelista técnico
El gigante de contenidos Patreon ha despedido recientemente a todo su equipo interno de ciberseguridad. Aunque se sabe públicamente que cinco empleados del equipo fueron despedidos, la organización no confirmó que todo el equipo había sido despedido - pero una publicación en las redes sociales de uno de los individuos recién despedidos implicaba exactamente eso.
En cualquier caso, la noticia de que la empresa liberaba a todo su equipo de ciberseguridad corrió como la pólvora. Fue una gran decisión que hizo que muchos expertos en ciberseguridad se preguntaran: ¿en qué está pensando exactamente esta empresa? ¿Tiene algún sentido deshacerse de un equipo interno cualificado a cambio de un proveedor subcontratado, así como así?
Nadie sabrá nunca qué motivó a Patreon a tomar este camino. Sin embargo, desde un punto de vista externo, las implicaciones de ciberseguridad de la decisión de Patreon son claras.
Deshacerse de la experiencia interna establecida es un gran lastre
Ninguna organización puede permitirse correr riesgos con la postura de ciberseguridad, pero la ciberseguridad es más pertinente para algunas organizaciones que para otras. Si proporcionas servicios de alojamiento a innumerables creadores de contenidos con unos ingresos de más de mil millones de dólares, sin duda debes tomarte la ciberseguridad muy en serio.
En otras palabras, no corras grandes riesgos.
Despedir a un mando intermedio o a uno o dos miembros del personal sería un riesgo en sí mismo, pero sería un riesgo asumible. Despedir a todo el equipo de seguridad de una sola vez es un riesgo colosal.
No sabemos por qué Patreon despidió a todo su equipo interno de seguridad, pero parece que eso es exactamente lo que ocurrió. No es difícil predecir consecuencias negativas porque perder a todo un equipo interno significa perder una cantidad incalculable de conocimiento organizativo.
Los equipos internos tienen un conocimiento "blando" de las interdependencias profundas del sistema, acumulado a lo largo del tiempo. Si se despide al equipo interno, se pierde todo ese conocimiento "blando". Y, en la mayoría de los casos, no hay forma de recuperar los conocimientos perdidos porque rara vez están escritos en alguna parte.
Con el tiempo, los conocimientos pueden reconstruirse, pero no es fácil, y lo más probable es que una organización tenga que prescindir de importantes conocimientos de ciberseguridad durante un periodo de tiempo considerable.
¿Cómo será (probablemente) el sustituto?
Patreon no despidió a su equipo de seguridad para no dejar nada en su lugar. Lo más probable es que la empresa decidiera subcontratar.
Presumiblemente, se trata de un proveedor de servicios externo muy capaz que, aunque no posea los conocimientos del equipo saliente, aportaría serios conocimientos de ciberseguridad.
Pero hay otra cuestión en el debate entre la seguridad interna y la externa: ¿con qué grado de dedicación contará exactamente el equipo de seguridad externo?
Nosotros diríamos que ni siquiera los contratistas más expertos tendrán nunca el mismo nivel de compromiso que los empleados internos. Patreon habría tenido mucha más dedicación y capacidad de respuesta por parte del equipo interno.
Los contratistas vigilan la seguridad porque se les contrata para ello, pero nunca se ocuparán de la seguridad con el mismo nivel de compromiso que un equipo interno. Sencillamente, están menos comprometidos con la seguridad de los sistemas de una organización, y esto afecta a la velocidad y dedicación con la que se resuelven los problemas de seguridad.
Sí, los contratistas de seguridad están sujetos a acuerdos de nivel de servicio que rigen las normas de rendimiento, pero lo cierto es que las exigencias de un cliente compiten con las de otro. En caso de crisis, cabe preguntarse si un contratista se tomará la situación tan en serio como lo haría un equipo interno.
En medio de un incidente de seguridad importante, lo último que quiere es un empleado contratista sentado y pendiente del reloj mientras se ocupa de la crisis a la que se enfrenta su organización.
¿Puede Patreon dar marcha atrás?
Despedir a un equipo interno y contratar a un contratista es una cosa, y puede ocurrir rápidamente. Reconstruir un equipo interno desde cero es otra historia completamente distinta. Es un punto importante a tener en cuenta a la hora de tomar este tipo de decisiones: ¿hasta qué punto es fácil revertir la decisión si lo necesitamos?
La adquisición de talentos es, al menos en este momento, un reto importante en el mundo de la tecnología. Conservar el talento que se tiene es bastante difícil. Contratar a un nuevo miembro del equipo es más difícil, y reconstruir un equipo entero es un reto aún mayor.
No es sólo una cuestión de gastos -y va a ser caro, dados los requisitos de formación y todo lo demás que implica crear todo un equipo desde cero-.
La pregunta más importante: ¿es factible? ¿Y cuántos meses tardará?
Dar por sentada la adquisición de talentos es una mala idea y Patreon puede haber tomado una decisión que es esencialmente irreversible, atándose a los contratistas y a los inconvenientes asociados durante algún tiempo.
Pensar en el resultado
No hay ninguna razón para pensar que Patreon no sea una empresa bien gestionada y con ejecutivos cualificados, por lo que cabe suponer que había un razonamiento válido detrás de la decisión y que el equipo ejecutivo tenía un resultado en mente.
¿Fue un ejercicio de ahorro? Posiblemente. Pero aquí está el punto importante a recordar sobre el valor de un equipo interno altamente capacitado: los equipos internos se construyen con cuidado a lo largo del tiempo y están destinados a ahorrar dinero cuando realmente importa.
¿Qué queremos decir con esto? Bueno, puede que ahorre dinero externalizando la ciberseguridad y despidiendo a los caros empleados internos. Pero cuando te encuentres en una crisis de ciberseguridad de buena fe, lo más probable es que tu equipo interno sea el que responda más rápida y eficazmente, lo que te ahorrará daños mucho mayores por ataques.
En otras palabras, su equipo interno le ahorra dinero cuando realmente importa, al reducir tanto el daño total causado como los costes de limpieza resultantes.
Esa es la ironía, por supuesto, sobre un equipo de seguridad interna bien financiado: el equipo a menudo no tiene nada que mostrar por sus esfuerzos porque los esfuerzos se dirigen a evitar incidentes de seguridad ruidosos.
Con una buena ciberseguridad interna se consigue la ausencia de incidentes y la ausencia de los costes masivos y catastróficos asociados a estos incidentes.
Sí, puede que ahorre algo de dinero con un equipo subcontratado, pero -al mismo tiempo- podría acabar pagando una suma enorme para recoger los pedazos después de un incidente de ciberseguridad.
A fin de cuentas, ¿qué ha ganado Patreon?
Esa es la gran pregunta que nos hacemos nosotros y todo el mundo.
Una vez más, sólo podemos especular sobre el razonamiento detrás de la decisión de Patreon, y un candidato probable es el ahorro de costes. Sin embargo, Patreon puede acabar pagando mucho más si su decisión sale mal y se produce una violación (¿y qué mejor objetivo que una empresa que acaba de despedir a su equipo de seguridad?)
Por supuesto, podría haber otra razón válida, desde incompetencia por parte del equipo interno hasta problemas interpersonales o cualquier otra cosa. En cualquier caso, no es una buena señal y ha generado mucha mala prensa para Patreon.
¿Y qué se supone que piensan los creadores que utilizan Patreon?
Desde nuestro punto de vista, es difícil prever un buen resultado para cualquiera de las partes implicadas, por lo que recomendamos mucha cautela a cualquier organización que se plantee dar el paso.
