Licenziare l’intero team di sicurezza informatica? Sei sicuro?

Team di sicurezza informatica

Cosa diavolo stavano pensando? Questo è ciò che noi e altri esperti di sicurezza ci chiedevamo quando il gigante dei contenuti Patreon ha recentemente licenziato il suo intero team interno di sicurezza informatica in cambio di servizi esternalizzati.

Naturalmente, non conosciamo le vere motivazioni di questa mossa. Ma, come estranei che guardano dentro, possiamo immaginare che le implicazioni sulla sicurezza informatica della decisione sarebbero inevitabili per qualsiasi organizzazione.

Licenzia il team interno e corri un rischio enorme

Patreon è un sito per la creazione di contenuti che gestisce miliardi di dollari di entrate. Per ragioni a noi sconosciute, Patreon ha licenziato non solo un paio di membri dello staff o qualcuno nella dirigenza intermedia. No: l’azienda ha licenziato l’intero team di sicurezza.

È una decisione importante con conseguenze significative perché si traduce in una perdita incalcolabile di conoscenze organizzative. A livello tecnico, è una perdita di conoscenze trasversali sulle interdipendenze profonde del sistema che gli esperti di sicurezza interna semplicemente “conosceranno” e accumuleranno nel tempo. Conoscenze che raramente vengono mai scritte.

Licenzia la squadra e tutta quella conoscenza è svanita. Si può ricostruire? Possibile, ma nel bel mezzo di una crisi, quanto tempo impiegherà una squadra esterna per capire le cose? Nessuno lo sa, ma non sarà facile.

Il “buy-in” e il “proprio ora”

Ci sono altre due cose di cui preoccuparsi quando si considera l’in-house vs. squadre in outsourcing e licenziare la tua squadra interna. È dedizione e reattività.

Non importa quanto sia esperto un appaltatore, un appaltatore non avrà mai lo stesso consenso che ottieni dal tuo dipendente interno che gestisce i tuoi sistemi presso la tua azienda. Dopotutto, gli appaltatori guardano a un sistema perché hanno un contratto e non si integreranno mai completamente nella cultura aziendale.

Ciò influisce sulla dedizione e la velocità con cui i problemi vengono risolti e su quanto un team è impegnato nella risoluzione di un problema. Sì, gli SLA possono guidare gli standard di prestazione, ma quando è importante, in una crisi, uno SLA non replicherà mai il senso urgente di “adesso” che hai con un team interno dedicato.

Certo, i team interni potrebbero non essere in grado di risolvere un problema all’istante. Tuttavia, nel bel mezzo di una crisi di sicurezza, l’ultima cosa che vuoi è un gruppo di appaltatori che guardano l’orologio e dividono la loro attenzione su diversi clienti.

Dimentica di sostituire il talento perso

Quando prendiamo una decisione significativa come questa, un altro punto da considerare: possiamo invertire la decisione se ce ne pentiamo? Sì, con un tempo sufficiente, Patreon potrebbe ricostruire le capacità e le conoscenze perse. Ma l’azienda può trovare il talento per farlo?

L’acquisizione di talenti è un problema significativo nel mercato tecnologico: trattenere i talenti è difficile e assumere nuovi talenti è ancora più impegnativo. Ad ogni modo, ci vorranno mesi e mesi per ricostruire un livello moderato di competenza.

Avrà anche un grande costo poiché le reclute prenderanno tempo per capire il loro nuovo ambiente e in che modo le sue complessità differiscono dagli altri ambienti in cui hanno lavorato. Gran parte di questo viene appreso attraverso l’esperienza: nessun manuale di “migliori pratiche” può coprirlo completamente.

Il risultato netto è quello previsto?

Non sappiamo perché Patreon abbia preso questa decisione, ma potrebbe essere una misura di risparmio sui costi, la motivazione comune per l’outsourcing. Ma ecco il punto: investire in un team interno di sicurezza informatica che sia veramente al passo con le cose è progettato per farti risparmiare sui costi quando conta.

Quando i sistemi di un’organizzazione sono sotto attacco, un team interno profondamente radicato e altamente qualificato avrà lavorato per prevenire una violazione riuscita. Tutto quel duro lavoro, dedizione e conoscenza si sommano a sistemi altamente sicuri.

Questa è una sfida per la sicurezza informatica: quando un team ben finanziato e motivato fa bene il suo lavoro, non c’è nulla da dimostrare a parte l’assenza di incidenti. D’altra parte, gli incidenti derivanti da una sicurezza inadeguata fornita da un appaltatore esterno (più economico?) possono essere incredibilmente costosi da affrontare e ripulire.

Pessimo per la stampa, pessimo per le finanze, pessimo per la sicurezza

C’era un motivo valido oltre al risparmio sui costi per licenziare un intero team di sicurezza informatica interno? Mancanza di competenza, rischio interno, problemi interpersonali, mancanza di comunicazione o mancato raggiungimento degli obiettivi aziendali? Questi sarebbero tutti validi motivi.

Eppure, anche se c’è un motivo valido, il risultato non sarà buono. C’è una cattiva copertura da parte della stampa poiché enormi e improvvisi cambiamenti nei regimi di sicurezza informatica inviano il segnale sbagliato. Questo, a sua volta, può portare a una perdita di fiducia con i creatori che guidano i profitti di Patreon.

Il rischio più significativo è un errore di sicurezza informatica. Il rischio più importante è un errore di sicurezza informatica quando si licenzia un intero team di sicurezza interna. Il team interno era incompetente? Forse la soluzione migliore sarebbe stata combinare la conoscenza interna con l’esperienza esterna.

Con nessuno ora al timone, pensiamo che la mossa di Patreon non funzionerà bene per i suoi sforzi di sicurezza e che il loro è un rischio che non funzioni bene per i creatori che continuano a fidarsi di Patreon per i loro contenuti .

La sicurezza informatica non sta diventando più facile e anche trovare un aiuto esterno affidabile e affidabile non sta diventando più facile. Quando soppesa le tue opzioni, dovresti ricontrollare la tua situazione prima di impegnarti in una mossa del genere. Anche se fosse la decisione migliore, la macchia reputazionale sarebbe difficile da rimuovere.

.

Leave a Comment

Your email address will not be published. Required fields are marked *