Comencemos con esta cita de Tate (que formuló la pregunta de StackExchange), "Los lectores de blogs de mucho tiempo deberían saber que no confío en las herramientas para defender mi empresa. Primero confío en las personas, seguidas de las herramientas, luego procesos ", Richard Bejtlich
Esto es correcto. Es casi exactamente correcto Lo único que cambiaría es que las herramientas y los procesos deben tener una estrategia simultánea, y que se puede escalar el proceso con personas adicionales (aunque, por supuesto, a partir de al menos uno).
Por ejemplo, supongamos que está intentando iniciar un programa de prueba de lápiz. Necesitas un probador de tiempo completo. Ese probador debe trabajar a través de una cadena de valor de proceso (o cadenas). Esas cadenas de valor constan de técnicas (por ejemplo, whitebox, graybox y blackbox) y técnicas secundarias (por ejemplo, mobile, web, network, etc.). Una herramienta (o herramientas) se puede asignar a cada técnica secundaria. Cuando necesite escalar, simplemente agregue más personas.
Una reciente Cloak & El episodio de Swagger en YouTube hizo varios comentarios que cubren esta pregunta. La discusión acerca de las personas frente a las herramientas comienza alrededor de 47 minutos, pero la mejor parte es la fórmula de Ali de "lo que las organizaciones pueden pagar" (comenzando alrededor de 55 minutos), donde menciona que solo podemos pagarle a las personas +1 en herramientas.
Disfruto de estas dos ideas. En el libro, "Métricas de seguridad de TI", los autores (Lance Hayden, et al) discuten la dotación de personal para incidentes utilizando una distribución de Poisson, así como otros métodos de subcontratación, y finalmente incluso incluyen una gran pieza sobre la definición de procesos con integración de personas: - todo cubierto en el capítulo 9. Esta es otra fuente que vale la pena revisar.