¿Es posible calcular un Retorno de Inversión en Ciberseguridad para mi empresa?

-

Por Ricardo Velasco – Cofundador de </cyberwag>

Generalmente la parte más difícil al llevar a cabo proyectos de ciberseguridad o de continuidad de negocios, es convencer a los dueños y/o directivos, que realmente “hace sentido” invertir en dichos proyectos.

El reto radica en que tradicionalmente “hacer sentido” para los gerentes significa que el ingreso que resulte de la inversión será mayor que el costo total del proyecto.

¿Cuál es el problema entonces? El problema es que sí se puede calcular un costo asociado a proyectos de ciberseguridad, pero no existe un ingreso asociado a dicha inversión.

Por lo anterior, se debe cambiar el sentido de los proyectos de ciberseguridad, en lugar de buscar ingresos se debe de calcular costos por la no implementación de estos proyectos. Es decir, es calcular el costo del riesgo.

Y es que a pesar de que las organizaciones año tras año, aumentan sus presupuestos destinados a la ciberseguridad, la mayoría de los responsables del área aún tiene que justificar a su administración cada cantidad adicional gastada.

Cálculo de la Expectativa de Pérdida Anual (ALE por sus siglas en inglés)

El cálculo del ROI se basará en la prevención directa de pérdidas financieras.

Pongamos de ejemplo el presupuesto necesario para la protección de un portal de e-commerce (venta en línea)

Primero, es necesario calcular el ALE:

ALE = (Número de incidentes por año) X (Pérdida potencial por incidente)

En nuestro caso, el número de incidentes fue establecido razonablemente en 6 por año, esperando al menos 1 intento de intrusión o ataque directo al portal cada bimestre.

Para la determinación de la pérdida potencial por incidente el cálculo es un poco más “abstracto” dado que deben considerarse numerosos factores (interrupción directa en la operación, pérdidas por daño en la reputación, repercusiones en el valor de la acción y demás pérdidas de alto perfil relacionadas con una violación a la seguridad).

Se recomienda recurrir a fuentes de buena reputación para tomar costos promedios de incidentes de acuerdo a nuestra industria y tipo de empresa. Por ejemplo, de acuerdo a estudios recientes de Kaspersky Lab la pérdida financiera como resultado de un ataque a portal web con e-commerce para una empresa PYME es en promedio de USD$38,000. En este caso es relativamente fácil identificar de manera “directa” la mayoría de las cantidades:

Costo del robo y exposición de la base de datos de clientes y demás información sensible.

El costo de la indisponibilidad del portal de comercio electrónico durante la investigación forense y la recuperación.

Costo de los expertos de terceros asignados para investigar y corregir el incidente.

Costo de las multas legales y de cumplimiento.

Entonces:

ALE = (Número de incidentes por año) X (Pérdida potencial por incidente)

ALE = 6 X USD$38000

ALE= USD$228,000

Esta es la cantidad anual que una compañía debería esperar perder, si no se hace nada para proteger su activo.

Cálculo del Retorno de Inversión (ROI por sus siglas en inglés)

El siguiente paso es justificar el dinero que se está requiriendo. Esto se puede hacer proporcionarle a la alta gerencia la información de los productos y soluciones más eficientes y efectivos, seleccionados cuidadosamente acorde a la relación precio/ calidad.

Para el ejemplo de la página web e-commerce (y sin tomar en cuenta costos relacionados con un programa de desarrollo seguro) típicamente se necesitará:

  • Web Application Firewall.
  • Análisis de vulnerabilidades y monitoreo de seguridad continuos.
  • Verificaciones de seguridad (web application pen testing).

Estimando que el costo anual del 1+2+3 = $40,000 y utilizando la fórmula para calcular el ROI de acuerdo a CISSP:

ROI = (ALE / Costo de controles compensatorios) X 100%

ROI = ($228,000 / $40,000) X 100%

ROI = 570%

Incluso como en este caso, con un ROI grande, con un valor subjetivo desde un punto de vista puramente técnico, hará más sentido este resultado al negocio y a la alta dirección que cualquier platica larga, persuasiva y detalla acerca de los peligros de los ataques de inyección de código SQL en las aplicaciones web.

El enfoque en ciberseguridad no se encuentra en mostrar las ganancias que se tendrán a través de ella, sino en mostrar las pérdidas y riesgos que se evitarán al utilizarlas adecuadamente.

Share this article

Recent posts

La libertad se fundamenta en la privacidad

La libertad empieza con la planeación y contención de los riesgos más allá de la confianza o discreción de la persona en casa.

Nulas y malas prácticas de privacidad, generan brechas de seguridad en todas las organizaciones.

Un estudio a más de 11 mil sitios web, ha demostrado que las organizaciones con malas o nulas prácticas de privacidad tienen un 80% más de probabilidades de sufrir una filtración de datos.

El ransomware se ha convertido en la mayor amenaza cibernética del mundo!

Los ataques de ransomware siguen siendo un gran negocio para los criminales, los avances en la tecnología como la Inteligencia Artificial y los modelos de negocio como el Ransomware as a Service (RaaS), ha permitido que con $50 USD y un poco de conocimiento en computación, cualquier persona se convierta en un cibercriminal.

Sextorsión + Deepfake – Una mezcla peligrosa que generó una amenza de “destrucción masiva” de vidas de jóvenes y adultos en el cibermundo.

Con los avances en IA y Deep Learning, solo es cuestión de tiempo para que las personas resulten en una posición en la que otros suplantan su identidad. No hay diferencia entre alguien hackeando la cuenta de un “famoso” o alguien hackeando a la persona que está en la fila del supermercado. Solo depende de si alguien tiene o no el deseo de apuntarle. - Scarlett Johansson - Víctima de deepfake

Cibervigilancia laboral. La polémica aplicación Hubstaff que ayuda a las organizaciones a “espiar” los movimientos de los empleados a cada segundo en el teletrabajo.

Hubsatff, un “agente” informático que da seguimiento a profundidad de los movimientos de los empleados a cada segundo.

Popular categories

Leave a reply

Please enter your comment!
Please enter your name here

Recent comments