¿Cuál es la prioridad / combinación adecuada de (personas, herramientas y tecnología, procesos) para optimizar la defensa?

Depende. Todo depende de lo que esté protegiendo, de su presupuesto y de muchos otros tipos de contexto.

Dicho esto, si fuera yo, empezaría con la gente. Las herramientas y las tecnologías no tienen valor sin las personas. Si no tiene a las personas adecuadas para ejecutar su estrategia de seguridad, está decidido. Una vez que tenga personas en las que confía, pueden aconsejarle sobre las herramientas, las tecnologías y los procesos que podrían ayudarlo, y puede hacer el análisis de costo-beneficio para cada uno para determinar si los adopta.     

"Defensa en profundidad", como filosofía, sugeriría que integraría la seguridad de la información en toda la organización: en todas las áreas funcionales, soluciones tecnológicas y prácticas comerciales. Dicho esto, tal enfoque debe ser equilibrado. En última instancia, el esfuerzo dependerá de la organización en cuestión. El ejército, por ejemplo, integra "opsec" (seguridad operacional) en prácticamente todos los aspectos de su operación, mientras que un restaurante probablemente no tenga pistas sobre la seguridad más allá de lo que su procesador de tarjetas le dice que haga.

Entonces, al final, va a variar en MUCHOS factores.

Comencemos con esta cita de Tate (que formuló la pregunta de StackExchange), "Los lectores de blogs de mucho tiempo deberían saber que no confío en las herramientas para defender mi empresa. Primero confío en las personas, seguidas de las herramientas, luego procesos ", Richard Bejtlich

Esto es correcto. Es casi exactamente correcto Lo único que cambiaría es que las herramientas y los procesos deben tener una estrategia simultánea, y que se puede escalar el proceso con personas adicionales (aunque, por supuesto, a partir de al menos uno).

Por ejemplo, supongamos que está intentando iniciar un programa de prueba de lápiz. Necesitas un probador de tiempo completo. Ese probador debe trabajar a través de una cadena de valor de proceso (o cadenas). Esas cadenas de valor constan de técnicas (por ejemplo, whitebox, graybox y blackbox) y técnicas secundarias (por ejemplo, mobile, web, network, etc.). Una herramienta (o herramientas) se puede asignar a cada técnica secundaria. Cuando necesite escalar, simplemente agregue más personas.

Una reciente Cloak & El episodio de Swagger en YouTube hizo varios comentarios que cubren esta pregunta. La discusión acerca de las personas frente a las herramientas comienza alrededor de 47 minutos, pero la mejor parte es la fórmula de Ali de "lo que las organizaciones pueden pagar" (comenzando alrededor de 55 minutos), donde menciona que solo podemos pagarle a las personas +1 en herramientas.

Disfruto de estas dos ideas. En el libro, "Métricas de seguridad de TI", los autores (Lance Hayden, et al) discuten la dotación de personal para incidentes utilizando una distribución de Poisson, así como otros métodos de subcontratación, y finalmente incluso incluyen una gran pieza sobre la definición de procesos con integración de personas: - todo cubierto en el capítulo 9. Esta es otra fuente que vale la pena revisar.