ROI: Consejos de expertos para justificar inversiones en seguridad

Los desafíos del ROI en la seguridad informática

Durante los últimos meses, he tenido varias conversaciones sobre la necesidad de justificar el gasto en seguridad. Este año ha sido difícil para muchas organizaciones, por lo que los presupuestos de TI generalmente no están creciendo. Además, el dinero ya asignado a menudo tuvo que ser re-priorizado para satisfacer las necesidades comerciales cambiantes. Al mismo tiempo, los ejecutivos y miembros de la junta se han vuelto dolorosamente conscientes de los riesgos cibernéticos actuales y el costo de no prestar atención. Esperan que el equipo de TI y los líderes de seguridad informática proporcionen puntos de datos sólidos que permitan las decisiones de inversión en seguridad más efectivas.

Ahí es donde muchas empresas con las que hablo se encuentran con un obstáculo inesperado. Durante décadas, la TI (y la seguridad de TI) ha sido tratada como una disciplina puramente técnica, y los profesionales técnicos más destacados fueron promovidos a posiciones de liderazgo en TI. Pueden guiarte a través de cualquier pregunta tecnológica sofisticada, pero no todos hablan el idioma del “negocio”. Esto hace que sea difícil para ambos lados de la conversación llegar a decisiones productivas.

Otro desafío para muchos líderes de TI es la falta de datos fácticos en los que confiar. En tecnología, trabajas con hechos y tienes mediciones precisas y defendibles. Por ejemplo, puedes informar sobre el número de incidentes en un período de tiempo determinado o el tiempo necesario para parchear un servidor vulnerable. Pero, ¿cómo demuestras el retorno esperado de una inversión en seguridad sin adentrarte en el ámbito de suposiciones y probabilidades? Esto empuja a muchos profesionales de TI, incluyéndome, fuera de su zona de confort.

Aprovechemos estas perspectivas como una oportunidad para ver qué hay allá afuera.

Los cuatro pilares del ROI

Cuando tengo la oportunidad de hablar sobre inversiones en seguridad, ya sea en personas, procesos o tecnología, siempre trato de hacer una pregunta: ¿Cómo crees que esto puede rendir? Las respuestas varían mucho, pero pueden condensarse en una o más de estas cuatro categorías:

• Esta inversión nos ahorrará dinero al reducir los costos continuos.
• Esta inversión nos ayudará a cumplir con las obligaciones contractuales o las regulaciones de la industria o del gobierno.
• Esta inversión reducirá los riesgos de nuestro negocio (disminuyendo la probabilidad, el impacto o ambos).
• Esta inversión nos permitirá perseguir nuevas oportunidades de negocio.

Los cuatro elementos parecen ser buenas razones para invertir. Pero, ¿dónde encaja cada uno de estos en la conversación y cómo se unen todos? Veamos cada elemento por turno.

Ahorro en costos operativos

El ahorro de costos es una de las medidas más evidentes del ROI, especialmente cuando el CIO o el jefe de TI también es responsable de la seguridad. Si un proyecto te permite reducir el espacio de almacenamiento, consolidar licencias o disminuir el tiempo y esfuerzo a través de la automatización, puedes calcular los retornos con una certeza razonable.

La advertencia aquí es comprender que esto nunca debe ser la única razón para la inversión. El objetivo principal de la seguridad informática es gestionar el riesgo, y te estás haciendo un flaco favor con cualquier proyecto que no comience por ahí. Sin embargo, el ahorro de costos funciona muy bien como una razón adicional para invertir en algo que reduce un riesgo que le importa a la empresa.

Cumplimiento

Las organizaciones saben que deben cumplir con las regulaciones pertinentes simplemente para seguir operando. Muchos equipos de seguridad de TI aprovechan esto y presentan nuevas iniciativas de seguridad como algo imprescindible para el cumplimiento. No es raro escuchar un consejo como “utiliza el cumplimiento para financiar tus iniciativas de seguridad” en comunidades profesionales o conferencias.

En general, es cierto que las regulaciones intentan establecer pautas mínimas para asegurar ciertos tipos de datos o actividades. Sin embargo, ninguna regulación puede proporcionarte una guía universal para proteger tu negocio específico contra las amenazas actuales en un momento particular.

El cumplimiento puede ser una forma efectiva de iniciar una conversación sobre el retorno de la inversión y captar la atención en una organización menos madura donde el equipo ejecutivo es menos consciente de los riesgos reales. Sin embargo, es potencialmente un terreno peligroso: nunca debes ceder a una falsa sensación de seguridad basada en marcar todas las casillas de cualquier lista de verificación de cumplimiento.

Otra trampa que quieres evitar es crear la percepción de que el equipo de seguridad de TI es un “mal necesario” que los ejecutivos tolerarán e incluso financiarán, pero del que se desharían felizmente si pudieran.

Definitivamente no estoy diciendo que no debas mencionar el cumplimiento en una conversación sobre presupuesto. Al contrario, debes estar consciente de los requisitos regulatorios actuales y anticipados para tu industria y jurisdicción. Sin embargo, al igual que la reducción de costos operativos, creo que sería un error depender demasiado del cumplimiento como la principal manera de justificar una inversión en seguridad.

Reducción de riesgos

El objetivo principal de cualquier organización de seguridad informática es la gestión y mitigación de riesgos. Pero comprender los riesgos puede ser complicado: ¿Es una vulnerabilidad recién descubierta un riesgo para su empresa en particular? ¿Debería prestar atención a las noticias sobre grupos APT respaldados por el estado como Lazarus?

La clave es alinear la gestión de riesgos de seguridad de TI con la gestión de riesgos empresariales en su organización. Las organizaciones de defensa o financieras suelen tener una estrategia de gestión de riesgos madura y establecida, a veces con un rol dedicado de Chief Risk Officer; si su organización cuenta con alguien en ese puesto, es de quien usted querrá aprender. Pero cada organización está constantemente tomando decisiones sobre el riesgo. A menudo, esta responsabilidad recae en el CFO y el CEO. Creo que usted debería buscar su consejo para construir una estrategia de gestión de riesgos alineada y consistente para la organización. No hacerlo genera trabajo adicional y puede dejar a la organización expuesta a amenazas reales que la TI pasó por alto debido a la falta de participación empresarial.

Esto nos lleva de vuelta al desafío con el que comencé: ¿Cómo medir el riesgo y los ahorros esperados? No intentaré desglosarlo todo en una sola publicación; hay libros extensos sobre el tema (aquí hay uno bueno: “How to Measure Anything in Cybersecurity Risk” de Douglas W. Hubbard y Richard Seiersen).

Tendrá que confiar en la opinión de expertos para estimar el costo o riesgo y el nivel de reducción. Sin embargo, esto no significa que tenga que adivinar simplemente. Existe un enfoque bidireccional para evitar las suposiciones:

• Aprende desde dentro. Aprende de tu proceso de gestión de riesgos empresariales y trata de ser coherente con él. Necesitarás establecer una conexión con el C-suite para hacer esto, y necesitarás su opinión sobre las pérdidas estimadas.
• Aprende desde el exterior. Verifica si hay un grupo o foro de CISO relevante al que puedas unirte para aprender de la experiencia de otras compañías. Otra buena fuente es la investigación de la industria, como el “Cost of Data Breach Report” del Ponemon Institute, patrocinado por IBM.

No compliques esto en exceso: acuerda un enfoque y úsalo de manera consistente. Después de algunos trimestres, podrás ver (y demostrar) tendencias y realizar ajustes si es necesario.

Oportunidad de negocio

Es posible que hayas escuchado charlas sobre la “seguridad como habilitador de negocios” en varios eventos de la industria en los últimos años. La mayoría de las personas parecen estar de acuerdo en que esta es una gran idea, pero no muchas organizaciones logran cumplir con esta promesa.

Como con otros aspectos del ROI, la comunicación es crucial aquí. Tienes que construir conexiones y mantenerte en contacto con el equipo ejecutivo y los líderes de las unidades de negocio. De esa manera, tendrás la oportunidad de hacer que la seguridad sea parte de cada nueva discusión de proyecto — y una parte inseparable del plan de implementación — desde el principio.

Dado que no eres el propietario de un nuevo proyecto empresarial, no puedes estimar el tamaño de los retornos de la oportunidad en general. Sin embargo, no tienes que hacerlo. Recomiendo referirse a estas nuevas iniciativas en tus conversaciones sobre el ROI, pero sin intentar proporcionar números específicos.

Puntos clave

Comencé a trabajar en esta publicación con el fin de resumir mis conclusiones personales de todas las conversaciones que tuve este año sobre el ROI en seguridad. Aquí está mi lista:

• Utilice su criterio y experiencia para estimar la mitigación de riesgos de cada inversión. No tiene que ser preciso; acepte la imperfección. Recuerde que la experiencia en gestión de riesgos probablemente existe en otra parte de su empresa — intente aprender de esas personas y aproveche el mismo enfoque. Utilice las herramientas y datos disponibles para usted.
• Aprende a hablar el lenguaje de los negocios. La seguridad no es (solo) un asunto técnico. Hay mucho que puedes aprender del CFO o CRO y del CEO, y puedes usar estas conversaciones para ayudarles a aprender más también. Construir un programa de gestión de riesgos integral que abarque riesgos financieros, de reputación y de seguridad ayudará a tu empresa a fortalecerse en todos los frentes.
• Mantenga abiertas las líneas de comunicación con los líderes de la empresa. La inversión en seguridad puede (y a menudo debe) ser parte de nuevos proyectos y nuevas oportunidades. Ayude a los líderes empresariales a ver la seguridad no como un centro de costos, sino como una iniciativa estratégica.
• Aproveche y equilibre los cuatro argumentos de ROI. Aunque la reducción de riesgos debe ser el punto de partida, siempre considere cómo el mismo dólar gastado puede ayudar a su organización a lograr el cumplimiento, reducir los costos operativos y/o apoyar oportunidades de negocio.