Consolidación de proveedores de seguridad: ¿demasiadas cosas son buenas?

Se dice que fue Mies Van Rohe quien dijo aquello de “menos es más” (“less is more”, más bien, fue lo que vino a decir), aunque recoge la Wikipedia, compendio de saberes, que quien realmente registró por escrito esa frase fue un artista precursor, Ad Reinhardt, miembro de la generación expresionista abstracta —Van der Rohe era arquitecto. Por aclarar—. Es más, las palabras textuales de Reinhardt son las que siguen —se pueden encontrar en la Wikipedia, que conste—: “Mientras más cosas contenga, cuanto más ocupada sea la obra de arte, peor será. Más es menos. Menos es más. El ojo es una amenaza para despejar la vista. Desnudarse es obsceno. El arte comienza con la eliminación de la naturaleza”. Pura filosofía.

Ahora, ¿podemos aplicar este concepto a la seguridad? Abramos la caja de los truenos.

El estado de la cuestión

Cuando nos pusimos en contacto con diversos actores principales de este mercado, la pregunta que les lanzamos fue tan directa como un gancho de Cassius Marcellus Clay —Aka Muhammad Alí— al mentón: ¿más proveedores de seguridad significa más brechas? Thomas Dupont, ingeniero preventa de Stormshield Iberia, dice que “sí generan complejidad, lo que puede llevar a errores de configuración, por ejemplo, que faciliten incidentes de seguridad. Pero podríamos pensar lo mismo de proveedores que quieren abarcar demasiado campo y ofrecen soluciones no óptimas en algún área. El balance entre un único proveedor o múltiples es más complejo y su punto óptimo dependerá de cada organización.

Y no es el único que lo piensa, pues Francisco Fernández, Businesss Developer manager de Ciberseguridad de Exclusive Networks Iberia, considera que “la lógica así lo indica. Si se diera la posibilidad de gestionar la postura de seguridad corporativa desde una única consola, la principal derivada que impactaría en el índice de riesgo sería la calidad de las soluciones de seguridad utilizadas en cada una de las capas tecnológicas. En este aspecto es importante tener en cuenta que, si se dispone de las mejores soluciones para cada capa, la exposición a los riesgos será más difícil de explotar”.

Claro que luego están los que piensan que más que el cuántos está el cómo. Es el caso de José María Ochoa, Cybersecurity manager de OneseQ (by Alhambra). “No es cuestión de cantidad, sino de cómo se gestionan esos proveedores y su elección. Claro está que si ampliamos la superficie de ataque (más proveedores, más empleados…) más brechas podremos abrir, pero no es tan cierto como puede parecer, ya que, si mi compañía tiene una sólida maduración de su gestión la seguridad va en consonancia a la misma, a los procesos y su gestión y no tanto a la cantidad terceros. Prefiero una compañía con muchos proveedores y un alto grado de madurez en su gestión que una con pocos proveedores y a lo loco”.

La realidad es la que es

La opinión generalizada es la que trae aquí Amador Ortega, director del Área de Ciberseguridad de ITE: “Es cierto que hay demasiados proveedores y, por tanto, la probabilidad de que se generen más brechas de seguridad es mayor porque se necesita más especialización y es imposible saber de todo. Es decir, que cada proveedor puede tener su propio conjunto de herramientas y protocolos de seguridad, lo que puede dificultar la coherencia y la eficacia de la estrategia de seguridad general de una organización ya que es complicado ser experto en todo".

Es más, Ortega considera que tener una gran cantidad de proveedores también puede dificultar la detección y mitigación de problemas de seguridad, ya que los diferentes sistemas pueden no estar conectados entre sí y pueden generar datos en diferentes formatos. “Por lo tanto, es importante que las organizaciones evalúen cuidadosamente el número y la calidad de sus proveedores, y que trabajen con aquellos que puedan proporcionar un nivel adecuado de seguridad y puedan integrarse eficazmente en la infraestructura existente”.

Que sí, que a más proveedores de ciberseguridad, por tanto, mayor complejidad. Pero ojo, “esto no quiere decir que no se cuente con varios proveedores, sino que, en estos casos, lo recomendable es que estén gobernados por una misma entidad”, apunta Ricardo de Ena, Area Sales manager zona Norte, WatchGuard España.

¿Menos proveedores es igual a menores lagunas en la cobertura general?

Mire usted, que solía decir un ex presidente del Gobierno de este país metido después a autor de libros a tanto el kilo de páginas. Puede. Y decimos puede porque depende de cómo se vea y del cristal con el que se mire.

“En general, tener menos proveedores puede significar simplificar la gestión de la seguridad y puede permitir una mejor integración de sistemas, lo que puede reducir la complejidad y el tiempo necesario para obtener valor. Además, trabajar con menos proveedores puede reducir el riesgo de lagunas en la cobertura general, ya que es más fácil asegurarse de que todos los sistemas estén conectados y trabajando juntos de manera efectiva. También puede ser más fácil para los equipos de seguridad de una organización comprender y administrar un conjunto más limitado de herramientas y protocolos de seguridad, lo que puede reducir la necesidad de conocimientos especializados”. Eso dice Amador Ortega. Peero…

“Uno de los problemas con los que nos encontramos actualmente es que hay mucha gente que dice que sabe de seguridad y lo que en realidad es que sabe de unas cuántas -muchas o pocas- cosas de seguridad”, sostiene aquel especialista, quien quiere apostillar lo siguiente: “Esta es la realidad, y están proliferando porque ven negocio. Hay dejar a un lado a los “aficionados” y lo que hay que buscar es la especialización, y esto es en lo que se tienen que fijar las compañías. Para eso, es necesario que haya una concentración en el mercado. 

Es más, Ortega no tiene reparos en reconocer que “lo que tendría que haber es bastantes menos fabricantes y que salgan plataformas que hagan muchas más cosas, ya que esto va a producir evidentemente que baje el número de herramientas y así habrá más especialización y se reducirá la problemática desde el punto de vista de la gestión. Y esto es importante, pues nadie habla de la gestión. Gestionar miles y miles de aplicaciones, dispositivos, sistemas, herramientas, etc. genera unos problemas y una complejidad enormes y cuánto más grande sea la empresa, más elementos y eventos de seguridad serán a los que se tenga que prestar atención, y esto no es viable”.

Puede leer aquí el reportaje completo.