Cómo mostrar un ROI sobre los gastos en ciberseguridad


No es fácil justificar los gastos en ciberseguridad en función de las ganancias financieras. Lea consejos sobre cómo mejorar las probabilidades.

fundign.jpg

anyaberkut, Getty Photographs / iStockphoto

Uno de los trabajos más difíciles que enfrentan los profesionales de la ciberseguridad es convencer a los ejecutivos de la alta gerencia de que existe un retorno de la inversión (ROI) genuine de los gastos en ciberseguridad. Hay formas de eliminar la desconexión del ROI entre el C-suite y el departamento de TI, dice el autor del site de seguridad de Hitachi Units Presupuesto de ciberseguridad 101: cómo optimizar su gasto en seguridad para obtener el máximo ROI.

Cuando se trata de ver un ROI, el autor escribe:

«Con el gasto en seguridad en aumento, los profesionales de seguridad y TI se enfrentan a las últimas y mejores herramientas, tecnologías y servicios de seguridad que supuestamente ayudan a proteger los activos críticos de su organización. La mayoría de las veces, &#39calcular un presupuesto de ciberseguridad es a menudo una mezcla de emoción y conjeturas. &#39″

Mientras trabaja con un presupuesto para la ciberseguridad, el artículo sugiere hacer las siguientes preguntas:

  • ¿Para qué es el gasto?

  • ¿Cuál es el límite de gasto?

  • ¿Cómo se determinará la efectividad del gasto?

El autor de la publicación de Hitachi, al darse cuenta de que las preguntas son algo nebulosas, publicó cómo responderían las preguntas anteriores.

VER: Informe de investigación del presupuesto de TI de 2021: el impacto de COVID-19 en los proyectos y las prioridades (TechRepublic Top quality)

Sepa qué está tratando de proteger y por qué

Parece que más de unas pocas organizaciones implementan medidas y estrategias de seguridad sin hacer un equilibrium de los activos digitales de la empresa. Eso lleva a no estar seguro de qué necesita protección y qué es elementary para garantizar el éxito empresarial continuo.

Si un inventario interno está fuera de discusión, el artículo sugiere que obtener «una evaluación de ciberseguridad de un experto en seguridad independiente puede ayudar a descubrir qué existe, por dónde empezar y cómo alcanzar los objetivos de la empresa».

En pocas palabras, comprender por qué se necesita un gasto en seguridad ayudará a legitimar el gasto, evitar el despilfarro y tomar mejores decisiones.

Defina su apetito por el riesgo

los Instituto de Gestión de Riesgos define el apetito por el riesgo (en parte) como «La cantidad y el tipo de riesgo que una organización está dispuesta a asumir para alcanzar sus objetivos estratégicos».

Según el autor de la publicación de Hitachi, esto significa que las decisiones de gasto en seguridad deben guiarse por:

  • Cuánto riesgo están dispuestos a asumir los responsables de la toma de decisiones

  • Cuál sería el impacto comercial de una violación de datos y

  • Lo que costará lograr las medidas adecuadas de protección de datos.

«El apetito por el riesgo de su organización deberá discutirse y definirse en colaboración con su equipo de gestión ejecutiva, la Junta Directiva y otros actores clave, según sea necesario», explica la publicación. «Una vez definido correctamente, su apetito por el riesgo puede guiar a su equipo a establecer objetivos claros que respaldarán su visión y estarán en línea con su tolerancia al riesgo».

VER: Política de gestión de riesgos (TechRepublic High quality)

Alinee su gasto en seguridad con pérdidas potenciales

Curiosamente, el artículo sugiere algo que los departamentos de TI a menudo pasan por alto, pero no los que ocupan la C-suite. «Uno de los principios básicos de un presupuesto de ciberseguridad eficaz es asegurarse de que la cantidad gastada en ciberseguridad no supere la potencial El impacto monetario que puede tener un incidente de ciberseguridad «, escribe el autor.» En otras palabras, no gaste más dinero tratando de proteger algo que le costaría menos perder «.

Tenga cuidado con las tecnologías de seguridad prometedoras

No es difícil ver que es un mercado de vendedores cuando se trata de tecnología de seguridad. El software de gestión de eventos e información de seguridad (SIEM) se destaca como una tecnología de la que hay que desconfiar. El autor del artículo señala: «A menudo (SIEM) es costoso de adquirir e incluso un obstáculo mayor de configurar y mantener».

A la hora de decidir si mantener las operaciones de seguridad internamente o subcontratarlas, el tamaño de la empresa es obviamente importante. Las empresas de tamaño empresarial tendrán recursos internos, tiempo y presupuesto para ocuparse de la seguridad por sí mismas. Podría ser mejor para las empresas más pequeñas contratar proveedores de servicios de seguridad de buena reputación que tengan experiencia y estén al día con las condiciones y amenazas de seguridad actuales.

VER: Cómo manejar la ciberseguridad en medio de un presupuesto de TI ajustado (TechRepublic)

Mida la efectividad de su estrategia de seguridad

Lord Kelvin (William Thompson) se ha citado vagamente diciendo: «Si no puede medirlo, no puede administrarlo».

De acuerdo a esto Informe de métricas sobre el estado de la ciberseguridad, la mayoría de las organizaciones no miden la efectividad de su plataforma de ciberseguridad con respecto a las mejores prácticas de la industria y los indicadores de desempeño. El autor del artículo de Hitachi sugiere que «antes de invertir partes de su presupuesto en herramientas de ciberseguridad, tenga la capacidad de medir su efectividad una vez que estén implementadas en su organización».

Conclusiones clave

El artículo concluye reconociendo que no existe una regla de oro para los gastos en ciberseguridad. El autor ofrece estos consejos finales:

  • El gasto en ciberseguridad, en última instancia, se juzgará en función de su relevancia y eficacia.

  • Concéntrese en lo que le importa a la empresa y obtendrá el máximo retorno de la inversión.

Es importante comprender que la ciberseguridad es un problema humano, no técnico. Las necesidades de ciberseguridad son tan individuales como cada negocio y solo se optimizan mediante la intervención de expertos humanos.

Ver también



Enlace a la noticia primary