En un entorno donde las amenazas cibernéticas evolucionan constantemente y los recursos disponibles para proteger los activos de una organización son limitados, maximizar el retorno de inversión (ROI) en ciberseguridad se convierte en una prioridad para los líderes de tecnología y seguridad de la información.
Sin embargo, esta tarea puede resultar desafiante, especialmente cuando los activos a proteger crecen exponencialmente y los recursos asignados son insuficientes.
Actualmente, el CISO no cuenta con los elementos para poder determinar un retorno de inversión de una estrategia de seguridad meramente preventiva. No es posible tener un ROI si no sabe cómo determinarlo y los elementos que lo sustentan.
Cambio de enfoque
En este artículo, exploraremos cinco pasos clave para maximizar el ROI en una estrategia de ciberseguridad, transformando el discurso de seguridad desde lo meramente tecnológico hacia un enfoque centrado en el negocio.
1. Cuantificar el valor de los activos de información. El primer paso crucial para determinar el ROI en ciberseguridad es cuantificar el valor de los activos de información. A menudo, las organizaciones carecen de la capacidad para evaluar adecuadamente el valor económico de sus datos y sistemas. Sin embargo, comprender el valor de activos críticos, como bases de datos de clientes en el comercio electrónico, es fundamental para priorizar la protección de estos activos en función de su importancia para el negocio.
A diferencia del mundo de TI, en OT donde hay que proteger líneas de producción, es más sencillo determina el valor de los activos y estimar en términos económicos cuánto genera una línea de producción en un periodo determinado, y las potenciales pérdidas si llegan a pararse totalmente.
2. Determinar el factor de exposición. Una vez que se ha cuantificado el valor de los activos, es necesario determinar el factor de exposición, que representa la frecuencia con la que una amenaza podría impactar los activos. Analizar el historial de incidentes pasados y evaluar la probabilidad de ocurrencia de amenazas específicas, como ataques de ransomware, ayuda a calcular este factor de exposición con mayor precisión.
3. Calcular la expectativa anual de pérdida. Con el valor de los activos y el factor de exposición establecidos, es posible calcular la expectativa anual de pérdida por cada amenaza. Esta estimación proporciona una comprensión clara de los riesgos financieros asociados con posibles interrupciones en las operaciones comerciales debido a ciberataques.
4. Evaluar la inversión en ciberseguridad. El siguiente paso consiste en comparar el costo de implementar medidas de ciberseguridad con el impacto económico esperado de los ataques. Esta evaluación ayuda a justificar la inversión en controles de seguridad al demostrar cómo la protección de activos críticos supera significativamente el costo de posibles pérdidas financieras.
Con esto, el CISO tiene los argumentos para apuntalar el costo de la estrategia de seguridad, y contrastarlo con la expectativa de pérdida, que puede ser hasta cinco veces mayor.
5. Comunicarse en términos de negocio. Finalmente, es esencial comunicar los hallazgos en términos comprensibles para la alta dirección. En lugar de centrarse únicamente en las implicaciones tecnológicas de la ciberseguridad, los líderes de seguridad deben articular cómo las inversiones en seguridad protegen los ingresos, el margen operativo y la reputación de la organización.
Al hablar el lenguaje del negocio, los profesionales de ciberseguridad pueden establecer un diálogo efectivo con los líderes financieros y obtener el apoyo necesario para implementar estrategias de seguridad efectivas.
Un enfoque centrado en el negocio para la ciberseguridad
En resumen, maximizar el ROI en ciberseguridad requiere un cambio de paradigma, donde los CISO abandonen su enfoque exclusivamente tecnológico y adopten una perspectiva centrada en el negocio.
Al cuantificar el valor de los activos, evaluar los riesgos financieros y comunicar el impacto de las inversiones en seguridad, los líderes de ciberseguridad pueden demostrar cómo sus estrategias protegen los intereses comerciales de la organización.
Este enfoque no sólo mejora la eficacia de las medidas de seguridad, sino que también fortalece la posición de la ciberseguridad dentro de la empresa, convirtiendo al CISO en un estratega clave en la protección de activos digitales y el crecimiento sostenible del negocio.
