Seguridad de los sistemas de información Es muy vital en las empresas de hoy, para frenar las numerosas amenazas cibernéticas contra los activos de información. A pesar de los buenos argumentos presentados por los gerentes de seguridad de la información, la Junta Directiva y la Alta Gerencia en las Organizaciones, aún pueden arrastrar sus pies, para aprobar los presupuestos de seguridad de la información, visar otros artículos, como el marketing y la promoción, que creen que tienen un mayor retorno sobre Inversión (ROI). ¿Cómo, entonces, como Gerente Principal de Seguridad de la Información (CISO) / IT / Gerente de Sistemas de Información, convence a la Administración o al Consejo de la necesidad de invertir en seguridad de la Información?

Una vez tuve una conversación con un gerente de TI de una de las grandes instituciones financieras regionales, que compartió su experiencia sobre la aprobación de un presupuesto de seguridad de la información. El departamento de TI estaba discutiendo con Marketing por algunos fondos que se habían puesto a disposición de los ahorros en el presupuesto anual. “Verá, si invertimos en esta campaña de marketing, el segmento de mercado objetivo no solo nos ayudará a hacer y superar los números, sino que también las estimaciones muestran que podríamos más que duplicar nuestra cartera de préstamos”. argumentó la gente de marketing. Por otro lado, el argumento de TI era que “Al ser proactivos en la adquisición de un Sistema de prevención de intrusiones (IPS) más robusto, se reducirán los incidentes de seguridad”. La gerencia decidió asignar los fondos adicionales a Marketing. La gente de TI se preguntó entonces, qué habían hecho mal, ¡que la gente de marketing acertó! Entonces, ¿cómo se asegura de obtener la aprobación del presupuesto para su proyecto de seguridad de la información?

Es vital para la gerencia apreciar las consecuencias de la inacción en lo que respecta a la seguridad de la empresa, si se produce una violación no solo la organización sufrirá la pérdida de reputación y clientes, debido a la menor confianza en la marca, pero también una violación podría conducir a la pérdida de ingresos e incluso a la adopción de medidas legales contra la organización, situaciones en las que las buenas campañas de marketing podrían no redimir a su organización.

Tratamos de abordar los principales puntos que la administración podría generar contra la inversión en seguridad de la información.

1. Las soluciones de seguridad de la información tienden a ser costosas, ¿dónde están los retornos tangibles?

El objetivo general de cualquier organización es crear / agregar valor para los accionistas o propietarios. ¿Puede cuantificar los beneficios de la contramedida que desea obtener? ¿Qué indicadores está empleando para justificar esa inversión en seguridad de la información? ¿Su argumento a favor de una contramedida se alinea con los objetivos generales de la Organización? ¿Cómo justifica que su acción ayudará a la organización a alcanzar sus objetivos y aumentar el valor de los accionistas / accionistas? Por ejemplo, si la organización ha priorizado la adquisición y retención de clientes, ¿de qué manera la adquisición de la solución de seguridad de la información que propone ayuda a lograr ese objetivo?

2. ¿No es la contramedida una reacción de pánico / aislada a un requisito regulatorio o una consulta de auditoría reciente?

La gran mayoría de los proyectos de seguridad de la información podrían estar impulsados ​​por regulaciones externas o requisitos de cumplimiento, o podrían ser una reacción a una consulta reciente de los auditores externos o incluso como resultado de una violación reciente de los sistemas. Por ejemplo, un regulador financiero podría requerir que todas las instituciones financieras implementen una herramienta de evaluación de vulnerabilidad de TI. Por lo tanto, la organización debe cumplir a cualquier costo o enfrentar multas. Si bien es necesario responder a estos requisitos reglamentarios, simplemente taponando los agujeros y “luchando contra los incendios” El enfoque no es sostenible. La implementación del cambio de proceso de forma aislada podría generar un entorno de trabajo en silos, información y terminología conflictivas, tecnología dispareja y una falta de conexión con la estrategia comercial. [1]
Las reacciones no coordinadas a los requisitos reglamentarios específicos pueden llevar a implementar soluciones que no están alineadas con la estrategia comercial de la organización. Por lo tanto, para superar este problema y obtener la aprobación de fondos y el apoyo de la administración, su argumento y su caso de negocios deben mostrar cómo las soluciones que pretende obtener encajan en el panorama general y cómo esto se alinea con el objetivo general de asegurar los activos en la organización.

¿Cuáles son los costos, las implicaciones y el impacto de no hacer nada?

Deberá comunicar a la gerencia el valor comercial básico de la solución que desea obtener. Comenzará mostrando / calculando el costo actual, las implicaciones y el impacto de no hacer nada; si la contramedida que desea adquirir no está en su lugar. Podrías clasificarlos como:

Costo directo – el costo en que incurre la organización por no tener la solución en su lugar.
Costo indirecto – la cantidad de tiempo, esfuerzo y otros recursos organizativos que podrían desperdiciarse.
Costo de oportunidad – el costo resultante de la pérdida de oportunidades comerciales, si la solución o servicio de seguridad que propone no estaba en su lugar y cómo eso podría afectar la reputación y la buena voluntad de la organización.

Puede utilizar los siguientes punteros y exponer más sobre estos:

• ¿Qué multas regulatorias debido al incumplimiento, enfrenta la organización?
• ¿Cuál es el impacto de la interrupción del negocio y las pérdidas de productividad?
• ¿Cómo se verá afectada la organización, su marca o reputación que podría resultar en enormes pérdidas financieras?
• ¿Qué pérdidas se producen debido a la mala gestión del riesgo empresarial?
• ¿Qué pérdidas enfrentamos atribuidas al fraude: externo o interno?
• ¿Cuáles son los costos gastados en las personas involucradas en la mitigación de riesgos que de otra manera se reducirían al implementar la contramedida?
• ¿Cómo afectará la pérdida de datos, que es un gran activo comercial, a nuestras operaciones y cuál es el costo real de recuperación de tal desastre?
• ¿Cuál es la implicación legal de cualquier incumplimiento como resultado de nuestra no acción?

Cómo la solución propuesta reduce los costos y aumenta el valor comercial.

Luego deberá mostrar cómo la contramedida que propone reducirá los costos y aumentará el valor comercial. Una vez más, podría exponer más sobre las siguientes áreas:

• Muestre cómo el aumento de la eficiencia y la productividad de la implementación de la contramedida beneficiarán a la organización.
• Cuantifique cómo el tiempo de inactividad reducido aumentará la productividad del negocio.
• Muestre cómo ser proactivo podría reducir los costos de auditoría y evaluación de TI.
• Cuantifique la reducción de costos que de otro modo estaría asociada con auditorías internas, auditorías de terceros y tecnología.

Según una investigación de 2011 realizada por el Instituto Ponemon y Tripwire, Inc. , se descubrió que la interrupción del negocio y las pérdidas de productividad son las consecuencias más costosas del incumplimiento. En promedio, el costo de incumplimiento es 2.65 veces el costo de cumplimiento para las 46 organizaciones que fueron muestreadas. Con la excepción de dos casos, el costo de incumplimiento excedió el costo de cumplimiento. [2]. Lo que significa que invertir es seguridad de la información para proteger los activos de información y cumplir con los requisitos reglamentarios, en realidad es más barato y reduce los costos, en comparación con no implementar ninguna contramedida.

Obtenga apoyo de las distintas unidades de negocio de la organización.

Una buena propuesta de presupuesto debe contar con el apoyo de las otras unidades de negocios de la organización. Por ejemplo, le sugerí al gerente de TI mencionado anteriormente, que probablemente debería haber discutido con Marketing y explicarles cómo una red confiable y segura les facilitaría comercializar con confianza, probablemente TI no habría tenido competencia por el presupuesto. No creo que a la gente de marketing le gustaría enfrentarse a los clientes, cuando hay posibles preguntas de servicio poco confiable, fallas del sistema y tiempo de inactividad. Por lo tanto, debe asegurarse de contar con el apoyo de todas las demás unidades de negocio y explicarles cómo la solución propuesta podría facilitarles la vida.

Cree una relación con la Administración / Junta, incluso para futuras aprobaciones de presupuesto, deberá publicar e informar a la administración sobre el número de anomalías de la red que el sistema de detección de intrusiones que adquirió recientemente, por ejemplo, encontró en una semana, el ciclo de parche actual tiempo y cuánto tiempo ha estado funcionando el sistema sin interrupciones. La reducción del tiempo de inactividad significará que ha hecho su trabajo. Este enfoque mostrará a la gerencia que, por ejemplo, hay una reducción indirecta del costo del seguro en función del valor de las políticas necesarias para proteger la continuidad del negocio y los activos de información.

Obtener la aprobación del presupuesto de su proyecto de seguridad de la información no debería ser un gran desafío, si se tratara de atender el problema principal de la adición de valor. La pregunta principal que debe hacerse es cómo la solución propuesta mejora el resultado final. Lo que la Administración / Junta requiere es una garantía de que la solución que usted proponga producirá un valor comercial real a largo plazo y que está alineada con los objetivos generales de la organización.

Referencias

1. Thomson Reuters Accelus, CONSTRUYENDO UN CASO DE NEGOCIO PARA GOBERNANZA, RIESGO Y CUMPLIMIENTO, 2010

2. Instituto Ponemon, El verdadero costo de cumplimiento, 2011