Casi todas las empresas enfrentan problemas de seguridad de la información. Cybersecurity Ventures, señala en un informe reciente que hay ataques cada 14 segundos y el daño de las acciones de los ciberdelincuentes a escala global alcanzará los 6 billones de dólares el próximo año, según ITworld. Pero incluso a pesar del hecho de que hoy casi todos los gerentes comprenden la necesidad de proteger los activos de las amenazas de la información, nadie tiene prisa por redistribuir el presupuesto a favor de la seguridad de la información. Pero cuando ocurre un incidente, el dinero comienza a asignarse muy rápidamente y en cantidades mucho mayores que si se hubiera planeado.
Cada líder tiene sus propios indicadores comerciales y puntos débiles que pueden usarse al justificar la asignación de fondos para la seguridad de la información: esto es tanto el incumplimiento de los indicadores comerciales (KPI) como la responsabilidad por el incumplimiento de los requisitos de seguridad de la información, que hoy en día a menudo recae en la administración por ley.
Al mismo tiempo, la demostración de riesgos debe llevarse a cabo de la manera más pragmática posible. Por ejemplo, para explicar elocuentemente al jefe de contabilidad que los archivos de Excel en la carpeta de su departamento pueden modificarse ilegalmente o simplemente eliminarse, y luego hacer la pregunta: ¿cuáles serán las consecuencias si esto sucede? A su vez, se debe explicar al CEO que una decisión de la junta con conclusiones estratégicas y resultados financieros puede caer en manos de una persona con información privilegiada y ser ilegítima solo porque no hay control sobre el acceso a la carpeta de la junta. Las pérdidas comerciales pueden ser mucho más altas que el costo del equipo de protección cuando esta información cae en manos de la competencia. Y en el caso de empresas con una infraestructura de información crítica (CII), las violaciones de las regulaciones de SI pueden generar incluso responsabilidad penal.
La seguridad de la información no genera ingresos directos para la empresa. Puede aumentar las ganancias sólo reduciendo el costo de eliminar las consecuencias de los incidentes previniéndolos o minimizando los daños. Es muy difícil calcular esta influencia incluso para proyectos implementados, e incluso los intentos de predecir se asemejan a la adivinación en posos de café. A menudo, intentan calcular el retorno de la inversión (ROI), aunque este indicador integral es más necesario para evaluar la efectividad de las inversiones de un inversor en el negocio de la empresa. La posibilidad de usarlo para determinar la efectividad de la parte de costos del presupuesto corporativo es cuestionable: después de todo, los costos no deben confundirse con inversiones.
La seguridad de la información no genera ingresos directos para la empresa
A lo largo de los años, la industria ha acumulado muchos indicadores y métodos para su determinación. Existe, por ejemplo, el índice ROSI (Retorno de la inversión para seguridad), que le permite medir el impacto en el ROI relacionado con los costos de seguridad de la información, así como otros indicadores que requieren cálculos de diversos grados de complejidad. Una cosa los une: para calcular las pérdidas que no ocurrieron (prevenidas), hay que utilizar la teoría de la probabilidad. Este método es ciertamente mejor que la ‘adivinación’, pero no por mucho.
Calcular los beneficios
La alta dirección de las empresas es consciente de la incapacidad de pronosticar pérdidas con una precisión aceptable; cualquier estadística puede presentarse de diferentes formas y justificar diferentes necesidades. Una cosa está clara: los riesgos de seguridad de la información para las empresas existen y, tarde o temprano, la afectan en un grado u otro.
En base a lo anterior, los expertos recomiendan cubrir los riesgos más significativos con soluciones tecnológicas sustentadas en una metodología y calcular el ROI comparando alternativas. Una vez que la lista de riesgos está clara, la forma óptima de cerrarlos aún más se puede evaluar de las siguientes maneras:
1. A través del trabajo manual, desarrollo interno: es barato, requiere mucho tiempo y, por regla general, solo cubre parcialmente la necesidad.
2. La combinación de trabajo manual y el uso de software de código abierto es una especie de camino intermedio.
3. Por medio de herramientas especializadas: es caro pero eficaz.
4. Una combinación de los tres o dos de los anteriores.
La elección de la ruta óptima dependerá de los resultados del análisis de costos, el marco de tiempo requerido, los costos laborales y la efectividad de cada elemento. Cualquiera que sea la opción que elija, la solución funcionará solo si existen regulaciones y metodología que cubran todo el ciclo de vida del proceso protegido. Pongamos el ejemplo más simple: el registro de visitantes en la entrada de la empresa: qué datos se registran, dónde se ingresan, qué les sucede a continuación, quién tiene acceso a ellos, quién los usa, cuándo se eliminan, etc. Las respuestas a todas estas preguntas deben ser reguladas por adelantado.
Existen varios enfoques desarrollados por empresas consultoras de renombre mundial (por ejemplo, Forrester) con una metodología para evaluar el impacto económico total (TEI) de la implementación de sistemas de información. Se utiliza para proyectos ya ejecutados y para la previsión requiere cierta adaptación. Para empezar, debe resaltar los problemas y necesidades clave que la nueva solución debe cubrir. Por ejemplo:
· Deseo proporcionar una mejor visibilidad de los datos locales y en la nube. En muchas organizaciones, hay poca comprensión de qué datos se recopilan en los sistemas de TI y no hay forma de rastrear automáticamente las estadísticas de acceso con un nivel suficiente de granularidad y análisis.
· La necesidad de reducir la probabilidad de fugas de datos y el daño potencial de los ataques cibernéticos. Los sistemas de TI actuales son demasiado complejos para rastrear manualmente las vulnerabilidades explotables y los ataques de piratas informáticos. En el caso de un pirateo exitoso, debe minimizar sus consecuencias y restaurar la infraestructura lo más rápido posible.
El siguiente paso es determinar los resultados y beneficios que obtendrá la empresa tras la implementación. Pueden ser medibles en términos monetarios (cuantitativos) e inciertos (cualitativos). Por ejemplo, así:
· Reducir el riesgo de incidencias.
· Ahorre tiempo en la investigación de incidentes de seguridad.
· Velocidad de reacción ante un incidente potencial: detección rápida de signos de ataque / acciones de un intruso y respuesta.
· Mejorar la eficiencia de los procesos de acceso a los datos.
· Mayor satisfacción del usuario y tranquilidad para los profesionales de la seguridad.
Las ganancias en el control de acceso se miden en horas-hombre y se comparan con el tiempo necesario para realizar las mismas acciones manualmente. Asimismo, se puede calcular el aumento de la velocidad de respuesta del departamento de seguridad ante incidencias. Es mejor dejar fuera de los paréntesis los beneficios inciertos (como una mayor satisfacción de los empleados y la tranquilidad del personal de seguridad) y dejarlos en el estudio de viabilidad como una cláusula «lírica» separada.
Una vez que haya calculado todos los beneficios cuantitativos, todo lo que queda es reunirlos, correlacionarlos con el costo total de propiedad y estimar el período de recuperación del proyecto. Si vale la pena intentar determinar los beneficios usted mismo o si es mejor confiarlo a los profesionales del equipo del integrador de sistemas, quedará claro en los primeros intentos (aproximados) de calcular el TCO. El método de Gartner también es bueno porque le permite evaluar adecuadamente sus propias posibilidades para implementar un proyecto, por lo que es mejor comenzar con él y luego tratar asuntos sutiles y modelos probabilísticos.