Inversiones sostenibles y adaptativas en Ciberseguridad
Transformando el modelo de las inversiones cibernéticas
A medida que las organizaciones navegan por las complejidades de las amenazas cibernéticas, el equilibrio adecuado entre la inversión y la mitigación de riesgos emerge como un determinante clave de la resiliencia de la ciberseguridad.
Su organización ha experimentado un aumento de las ciberamenazas y reconoce la necesidad de reforzar sus medidas de ciberseguridad. El equipo directivo está preocupado por las posibles pérdidas financieras, los daños a la reputación y las sanciones normativas en caso de que se produzca una violación de la seguridad.
Donde se ha visto que tiene deficiencias es en los equipos de seguridad de red debido a la obsolescencia, ya que hace tres años el fabricante indicó que estos equipos en seis meses estarían fuera de soporte. Por tanto, ya no hay medidas de seguridad para compensar su continuidad en la infraestructura y arquitectura tecnológica.
Debido a esto desde gobierno corporativo solicitan realizar una evaluación de las inversiones que se van a realizar y de qué forma se gestionará el uso de los recursos. ¿Cuáles son los criterios a considerar y a establecer en el proceso de adquisición? Imagínese que ha recibido seis propuestas de diversos proveedores y de estos hay dos ofertas que le han llamado la atención donde los costes son de 45.000 y 57.000 euros.
¿Considera que esos son criterios suficientes para evaluar su toma de decisión ante el informe que debe de presentar? Si usted lo consideraba le digo que no es el camino correcto. Su acción debió de ser más exhaustiva y no sólo focalizada en el coste sino ir más allá. Es por eso que aquí le ayudaré a cómo evaluar una inversión con enfoque sostenible y adaptativo en Ciberseguridad.
La postura de ciberseguridad de una organización es tan fuerte como su eslabón más débil; por lo tanto, la gestión estratégica de recursos se extiende más allá de las finanzas para incluir personal, capacitación e infraestructura tecnológica.
La inversión en Ciberseguridad debe ser una prioridad para las organizaciones. A pesar de la dificultad en calcular su retorno financiero exacto (como en toda inversión en seguridad, sea del tipo que sea), dada la cada vez mayor frecuencia de los ciberataques y el gran impacto que tienen tanto en afectación al servicio prestado como en salvaguarda de la información y reputación de la propia organización, no debe existir ninguna duda en llevarla a cabo.
Tal y como plantea Gartner define el Coste Total de Propiedad (TCO, siglas en inglés) como una evaluación exhaustiva de los costes de las tecnologías de la información (TI) u otros costes a través de los límites de la empresa a lo largo del tiempo. En el caso de las TI, el TCO incluye la adquisición de hardware y software, la gestión y el soporte, las comunicaciones, los gastos del usuario final y el coste de oportunidad del tiempo de inactividad, la formación y otras pérdidas de productividad.
La naturaleza dinámica de las ciberamenazas requiere una reflexión continua sobre la adecuación y adaptabilidad de las medidas de ciberseguridad, empujando a las organizaciones a reevaluar regularmente sus estrategias de inversión.
Este es un marco diseñado para ayudar a evaluar los costes globales asociados a la adquisición de cualquier activo informático. En lugar de centrarse únicamente en el precio de compra inicial, como cuando se compra un firewall, este modelo fomenta una evaluación exhaustiva.
Esto incluye considerar no sólo el coste del ordenador, sino también otros elementos como los gastos de traslado, las necesidades de espacio, el consumo de energía, los costes de implantación, los gastos de mantenimiento y los costes relacionados con el personal. Al sopesar y agregar estos costes diversos, el modelo facilita la toma de decisiones de inversión más informadas, ofreciendo una perspectiva holística de los costes reales asociados a un activo informático a lo largo de todo su ciclo de vida.
Más allá de las métricas tradicionales de los costes monetarios, el verdadero valor de las inversiones en ciberseguridad reside en la mitigación de los daños a la reputación, la preservación de la confianza de los clientes y el evitar sanciones regulatorias.
Durante mi día a día para ayudar a las organizaciones trabajo con indicadores financieros que tienen perspectiva en la Ciberseguridad como una inversión en donde buscó evaluar su rentabilidad positiva o negativa y como puede verse la seguridad.
Algunos de estos indicadores son:
- Retorno de la inversión (ROI): Medida de los beneficios más ahorros en costes en proporción al gasto.
- Retorno de la inversión en seguridad (ROSI): Medida de los beneficios (de seguridad) más ahorros en costes (reducción de pérdidas por incidentes) en proporción al gasto en seguridad.
- Tasa interna de retorno (IRR): Se calcula sobre unos cuantos años; por ejemplo, 5. Visto el gasto como una inversión, ¿cuál es la rentabilidad para el organismo? Sirve para determinar si sería mejor haber puesto el dinero en un activo financiero remunerado.
- Valor neto presente (VNP): Se calcula sobre unos cuantos años; por ejemplo, 5. Sirve para estimar en valor de la inversión habiendo corregido la depreciación del gasto. Por ejemplo, corrige el efecto de la inflación.
En la práctica el cálculo de las inversiones en Ciberseguridad implica un enfoque estructurado para evaluar los costes asociados a la implantación y el mantenimiento de diversas medidas de ciberseguridad. Aunque los cálculos específicos pueden variar en función del tamaño de la organización, el sector y el perfil de riesgo, a continuación se indican los pasos generales para guiar el proceso:
1. Realizar una evaluación de riesgos
- Identificar y evaluar los riesgos potenciales de Ciberseguridad para la organización.
- Cuantificar el impacto potencial y la probabilidad de varias amenazas y vulnerabilidades.
2. Definir los objetivos de seguridad
- Esbozar claramente los objetivos de seguridad de la organización en función de los riesgos identificados.
- Determinar el nivel de seguridad requerido para los diferentes activos y sistemas de información.
3. Determinar los controles de seguridad necesarios
- Identificar y priorizar los controles de seguridad y las tecnologías necesarias para mitigar los riesgos identificados.
- Considerar las mejores prácticas de la industria, los requisitos reglamentarios y las necesidades específicas de la organización.
4. Estimar los costes de implantación
- Calcule los costes iniciales asociados a la implantación de los controles de seguridad seleccionados.
- Incluya los gastos de hardware, software, licencias, formación y cualquier servicio de consultoría externa.
5. Considerar los costes operativos
- Tenga en cuenta los costes operativos corrientes, como el mantenimiento, las actualizaciones, la supervisión y el personal.
- Calcule el coste de las auditorías de seguridad periódicas, las evaluaciones y los programas de formación.
6. Evaluar el ahorro potencial de costes
- Evalúe el ahorro potencial de costes derivado de la mejora de la seguridad, como la reducción de incidentes, el tiempo de inactividad y las consecuencias legales.
- Considere el impacto en la reputación de la organización y la confianza del cliente.
7. Calcular el rendimiento de la inversión (ROI)
- Compare los costes estimados con los beneficios y ahorros potenciales.
- Calcule el ROI dividiendo la ganancia neta (beneficios menos costes) por la inversión inicial y multiplicando por 100 para obtener un porcentaje.
ROI = (Ahorro de la inversión - Coste de la inversión) / Coste de la inversión * 100%.
8. Considerar el valor de los activos de información
- Evaluar el valor de los activos de información que se protegen.
- Priorizar las inversiones en función de la criticidad y sensibilidad de estos activos.
9. Alineación con los objetivos empresariales
- Asegúrese de que las inversiones en Ciberseguridad se alinean con los objetivos empresariales generales.
- Priorizar las inversiones que contribuyan directamente a alcanzar los objetivos estratégicos.
10. Revisión y ajuste periódicos
- Revisar y ajustar periódicamente las inversiones en Ciberseguridad en función de los cambios en el panorama de amenazas, la tecnología y el entorno empresarial.
- Tenga en cuenta los resultados de las auditorías de seguridad, los incidentes y la eficacia de las medidas existentes.
Conclusión
El intrincado panorama de la inversión en Ciberseguridad y la gestión de recursos exige una comprensión astuta de la interacción dinámica entre las consideraciones financieras, la mitigación de riesgos y la resistencia estratégica.
El análisis subraya que las medidas eficaces de Ciberseguridad trascienden las meras inversiones económicas; requieren una asignación juiciosa de recursos financieros y no financieros. Las organizaciones deben reflexionar sobre la naturaleza integral de la ciberseguridad, reconociéndola como un proceso continuo y en evolución que exige previsión estratégica, adaptabilidad y colaboración en todas las facetas de la empresa.
En el ámbito digital en constante evolución, la reflexión sobre la inversión en Ciberseguridad y la gestión de recursos sirve de brújula que guía a las organizaciones hacia una postura de seguridad equilibrada y sostenible. La eficacia de estas medidas no reside únicamente en las cifras monetarias, sino en la alineación estratégica de las inversiones con los objetivos de la organización, la capacidad de adaptarse a las amenazas emergentes y el cultivo de una cultura de ciberseguridad resistente.
De cara al futuro, las organizaciones que adopten un enfoque holístico de la Ciberseguridad, integrándola sin fisuras en su estrategia empresarial, estarán mejor posicionadas para navegar por las complejidades de un panorama digital en evolución con confianza y previsión. Medir el riesgo cibernético permite a las organizaciones evaluar y abordar sistemáticamente las amenazas emergentes de forma estructurada.