Seguridad a través de una lente económica: una guía para los CISO



Un experto en economía y ciberseguridad aplica el costo de oportunidad y otros conceptos de la «ciencia lúgubre» a los roles de seguridad informática.

Los líderes de seguridad y TI están familiarizados con el desafío de tomar decisiones de compensación sobre cómo y dónde invertir recursos para administrar mejor los riesgos para la organización. Ver sus problemas a través del lente de la economía puede ayudarlos a priorizar estas difíciles decisiones de inversión.

Tom Scholtz, vicepresidente de investigación de Gartner, profundizó en esta thought durante una charla en la Cumbre de Gestión de Riesgos y Seguridad de Gartner, que tuvo lugar en línea esta semana. Scholtz argumentó que conceptos como el costo de oportunidad, que son fundamentales para el estudio de la economía, pueden resultar igualmente útiles en la ciberseguridad, donde a menudo es difícil determinar si los recursos se gastan correctamente.

El gasto en seguridad se ha mantenido constante durante los últimos cinco años, dijo Scholtz, señalando datos de Gartner. Aún así, el rango de inversión varía ampliamente. En el nivel más bajo, las empresas gastan tan solo el 1,7% de su presupuesto de TI en seguridad en el extremo outstanding, ese número alcanza el 12% o más.

«Casi el 80% de la inversión en seguridad todavía se realiza en los aspectos de hardware, application y recursos humanos convencionales de las capacidades de seguridad, y solo un poco más del 20% de las inversiones en seguridad se destina a servicios de seguridad», explicó, y señaló que Gartner espera gastar en servicios de seguridad crecerá a medida que más organizaciones hagan la transición a entornos de nube.

Según Gartner, el 82% de las empresas solo cambiarán su cartera de inversiones cuando actualicen sus presupuestos, ya sea de forma anual o bianual. Solo el 18% cambia sus prioridades de inversión a lo largo del año en función de cambios comerciales importantes, explicó Scholtz.

«Todos sabemos que el cambio no se sincroniza con nuestros ciclos presupuestarios y todos sabemos que nuestros ejecutivos tienden a tomar decisiones basadas en cambios en el entorno empresarial», dijo. «Necesitamos encontrar formas de entender cómo la empresa toma decisiones de inversión y cambia las decisiones … para que podamos reaccionar ante eso de la manera más eficaz posible cuando se produzcan esos cambios».

Históricamente, las inversiones en seguridad se basan en la gestión de riesgos: proteger la propiedad intelectual, garantizar la preservación de la marca y marcar las casillas de los mandatos legales y reglamentarios. Hay un giro positivo, agregó Scholtz: estas inversiones también están orientadas a generar confianza entre las partes interesadas y los clientes, lo que ayuda a una organización a generar ingresos. Invertir de manera efectiva puede impulsar la creación de valor para que la empresa pueda invertir en tecnología más nueva y menos madura.

Y cuando los líderes de seguridad toman decisiones de inversión, la tecnología es donde navegan primero. Casi dos tercios (65%) de los encuestados del estudio de Gartner dijeron que sus programas de seguridad e inversiones solo se centran en la compra de tecnología. Hacerlo puede tener un costo de oportunidad, advirtió Scholtz.

«Parece (como) que estamos invirtiendo en las áreas en las que nos sentimos cómodos, en las inversiones en tecnología, y no necesariamente haciendo las inversiones en otras áreas donde potencialmente podemos ayudar a respaldar más valor y mejores retornos para la organización», explicó. .

Calcular el costo de oportunidad
Cada decisión de inversión es una compensación. Para comprender dónde se gastan mejor los recursos, Scholtz recomendó examinar primero las principales áreas de riesgo para la empresa. Los líderes de seguridad deben considerar el riesgo para la propiedad intelectual, el riesgo operativo y el riesgo físico. Las decisiones de riesgo deben tomarse en función del contexto de una aplicación o proyecto determinado en cualquier momento, agregó.

Dio un ejemplo: supongamos que una empresa está pensando en invertir en seguridad para su departamento de investigación y desarrollo (I + D) y ha decidido que el riesgo de propiedad intelectual es comparativamente más importante que el riesgo operativo o de reputación. Si los funcionarios gastan más en mitigar el riesgo operativo y menos en proteger los datos, la decisión no se relaciona con las necesidades de la organización. Existe un costo de oportunidad en gastar más para mitigar un riesgo que no se considera importante.

«Existe el costo de oportunidad de gastar demasiado dinero en un área de bajo valor, y podemos reducir el costo de oportunidad invirtiendo en un área donde tenemos un alto valor comercial, pero el riesgo es demasiado alto», dijo.

Por ejemplo, supongamos que una empresa tiene una aplicación, un proceso comercial o una pieza de infraestructura con un valor comercial bajo pero una postura de seguridad sólida. Podría ser útil recortar potencialmente la inversión en esa pieza de infraestructura y reasignarla hacia una aplicación o proceso con un alto valor pero una postura de riesgo deficiente.

Alternativamente, los líderes de seguridad pueden encontrarse con una aplicación o un sistema que tiene un valor comercial bajo porque el riesgo asociado de usarlo es demasiado alto. Como resultado, la aplicación o el proceso no se united states of america correctamente porque la gente tiene miedo de usarlo, lo que lower su valor comercial a casi cero. Scholtz sugirió que esta podría ser una oportunidad para tomar dinero de un entorno con un valor bajo pero una postura de alto riesgo y asignarlo a la situación de bajo valor y alto riesgo.

«Invertir de manera efectiva en mejorar los controles de ese sistema, lo que permitirá que ese sistema se implemente en producción y se use de manera mucho más efectiva, aumentando así el valor comercial que obtenemos de ese sistema», explicó.

Este modelo permite a las empresas evaluar dónde y cómo toman decisiones de inversión que pueden no ser óptimas y dónde el costo de oportunidad es demasiado alto, y reasignar sus recursos.

Kelly Sheridan es la editora de individual de Darkish Looking at, donde se enfoca en noticias y análisis de ciberseguridad. Ella es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y Tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial