A menudo, antes de contemplar realizar una adquisición para el área de seguridad, lo primero que los directivos tienen en cuenta es qué tan rentable resultará esta inversión (R.O.I.).
Esta conducta constituye una de las razones fundamentales por las que las compañías limitan sus presupuestos para seguridad hasta no verse en la obligación de afrontar un incidente.
Esto precisamente pone a los CIO’s y CISO’s en una situación bastante compleja ya que, por una parte, no cuentan con el presupuesto necesario para desarrollar su plan de seguridad y por otra, sus argumentos no son lo suficientemente decisivos mientras no se encuentren “bajo ataque”.
En este sentido cobra importancia destacar, a favor de los CIO’s, CISO’s, y en general a las buenas prácticas de seguridad informática, que un incidente solamente es el inicio del problema.
¿Cuál es su verdadero impacto?
Tomando en cuenta los ataques que han sufrido algunas compañías podemos observar que sin un adecuado plan de manejo y una correcta prevención de incidencias, su impacto puede escalar diversos niveles en la organización, siendo la confiabilidad el más importante de estos, lo que Gartner llama el Digital Trust.
En otras palabras, la verdadera víctima tras una incidencia es la confianza que tienen los clientes en la organización. Esto naturalmente puede derivar en nuevos costos además de los mandatorios en seguridad, como por ejemplo los publicitarios, en los que se necesita incurrir con el objetivo de preservar el buen nombre de la compañía y mantener lo más lejos posible la situación de la opinión pública.
Entonces, ¿cómo puede medirse el R.O.I. en las adquisiciones de seguridad?
El retorno de inversión (ROI, por sus siglas en inglés) es una métrica financiera que mide la eficacia de una inversión en términos de la cantidad de dinero ganado o ahorrado en comparación con el costo de la inversión. En el caso de las adquisiciones de seguridad, el ROI se puede medir de varias maneras, algunas de las cuales se describen a continuación:
- Ahorro de costos: Si la adquisición de seguridad permite reducir costos de otra manera, se puede medir el ROI en términos de la cantidad de dinero ahorrado. Por ejemplo, si una empresa invierte en una solución de seguridad que reduce el costo de las horas extras pagadas al personal de seguridad, el ROI se puede calcular comparando el costo de la solución de seguridad con el costo de las horas extras.
- Reducción de riesgos: Si la adquisición de seguridad reduce el riesgo de sufrir pérdidas financieras o de reputación, se puede medir el ROI en términos de la cantidad de dinero que se habría perdido sin la adquisición. Por ejemplo, si una empresa invierte en una solución de seguridad que evita una violación de datos que podría haber costado millones de dólares en multas y pérdida de ingresos, el ROI se puede calcular comparando el costo de la solución de seguridad con el costo potencial de la violación de datos.
- Aumento de la eficiencia: Si la adquisición de seguridad mejora la eficiencia de los procesos empresariales, se puede medir el ROI en términos de la cantidad de dinero que se ahorra al hacer los procesos más eficientes. Por ejemplo, si una empresa invierte en una solución de seguridad que acelera el proceso de verificación de identidad de los clientes, el ROI se puede calcular comparando el costo de la solución de seguridad con el costo de las horas de trabajo ahorradas por los empleados.
Sin entrar en detalles sobre las capacidades de una solución de ciberseguridad antes de optar por adquirir una se debería estimar el siguiente escenario:
- Si ocurriera un incidente, ¿cuál sería su costo?
- ¿Qué tan probable es que ocurra?
- ¿Cuál sería el costo de las medidas necesarias para resolver el incidente?
- ¿En qué nivel quedaría resuelto?
Por lo tanto, tomando en cuenta lo descrito por Christian Locher en su paper Methodologies for evaluating information security investments, podemos transformar la situación en una ecuación así:
ROI = (Beneficio obtenido – Costo de adquisición) / Costo de adquisición
- Beneficio obtenido: representa el beneficio total obtenido gracias a la adquisición de seguridad. Este puede ser una combinación de ahorro de costos, reducción de riesgos y aumento de la eficiencia.
- Costo de adquisición: representa el costo total de la adquisición de seguridad, incluyendo el costo de compra, instalación, configuración y mantenimiento.
El resultado de esta fórmula se expresa como un porcentaje. Un ROI positivo indica que la adquisición de seguridad fue rentable, mientras que un ROI negativo indica que la adquisición no fue rentable.
En otras palabras, si tu R.O.S.I. es positivo, necesitas encontrar una solución de seguridad a le medida de tu organización. Por esto te invitamos a conocer openNAC Enterprise, nuestra poderosa solución de seguridad la cual ha sido certificada recientemente por Common Criteria y ha sido incluida por Gartner en su exclusiva guía de mercado NAC.
Así que si quieres saber por qué openNAC ha logrado tan importante respaldo haz clic aquí ahora y entérate de todo por ti mismo.