Si bien algunas compañías destinan una parte de su presupuesto a la ciberseguridad, no es suficiente con actuar de manera reactiva ante los ciberataques. El monitoreo y prevención de amenazas es fundamental para un esquema de ciberseguridad.
Los profesionales de la ciberseguridad conocen a la perfección la gran cantidad de amenazas a las que están expuestas las empresas y también están al tanto de las mejores medidas para proteger y prevenir los activos más importantes. Sin embargo, los ejecutivos de otras áreas tienen una perspectiva diferente sobre la seguridad informática.
Por esta razón, una de las tareas más importantes que tienen los gerentes de seguridad informática es exponer y convencer a los cargos directivos sobre la importancia de la inversión en ciberseguridad.
El gran problema a la hora de intentar convencer a las áreas de finanzas sobre la importancia de la ciberseguridad, es que esta no genera ingresos directos. Entonces ¿para qué sirve una inversión que no dará ganancias a la empresa?
La prevención contra ciberataques que pongan en peligro los datos y activos críticos de una empresa, así como las tareas dedicadas a la disminución de riesgos, no generan ingresos, sino que ayudan a mitigar pérdidas económicas.
En términos monetarios, es difícil estimar cuánto dinero dejará de perder la empresa ante un posible ataque. Sin embargo, existen herramientas para calcular el retorno de la inversión en ciberseguridad.
Considera que, para un alto ejecutivo, lo más importantes son las cifras que implica cada movimiento en el presupuesto. Para convencer a los encargados de las finanzas de invertir en ciberseguridad, es importante que realices un estudio de mercado que compare los diferentes enfoques que toman diferentes empresas a la hora de asignar un presupuesto en seguridad informática.
El punto es convertir a números las cualidades que ofrece contar con un equipo de ciberseguridad. Si tu exposición se basa únicamente en mencionar estas cualidades, tus esfuerzos serán estériles, ya que los beneficios deben reflejarse en los ingresos del negocio.
Como lo mencionamos anteriormente, puede resultar complicado establecer una cifra concreta de los beneficios sobre la inversión en ciberseguridad; sin embargo, puedes comenzar exponiendo el panorama general sobre las cifras de ciberseguridad.
Por ejemplo, la ciberseguridad ha ganado terreno dentro de los temas relevantes en el mundo empresarial. A causa del aumento en los ataques cibernéticos, sumado a los confinamientos obligatorios en muchos países del mundo que han incrementado el trabajo remoto, han hecho indispensable la inversión en ciberseguridad.
Según un estudio de KIO Networks, tan solo en 2019 se registraron más de 7 mil violaciones de datos en todo el mundo.
Además, en los últimos cinco años, los 100 ciberataques más dañinos ocasionaron pérdidas económicas por 18 mil millones de dólares. Estas cifras dejan de lado los incidentes no reportados.
Después, agrega diferentes datos arrojados del estudio de mercado que has realizado. Recuerdo que puedes apoyarte en otras áreas para obtener la información necesaria. Algunos puntos relevantes son:
Además, dedica una buena parte del proyecto a los incidentes que ha sufrido tu compañía: impacto ocasionado, pérdidas económicas, tiempo de respuesta y tipo de ataque. Enfócate en reflejar los beneficios que obtendrán al mejorar la partida presupuestal.
Si no han sufrido ataques directos, sustituye este apartado por otro que exponga el creciente número de violaciones de seguridad en las compañías de la misma industria.
Si las cifras son el lenguaje que mejor entienden los encargados de las finanzas de la empresa, el retorno de la inversión es el mensaje que los convence. Una inversión es viable solo si el ingreso que genera es mayor a la cantidad invertida. De lo contrario, la inversión simplemente no será realizada.
Si bien los gastos de las operaciones de ciberseguridad pueden ser calculados fácilmente, no sucede lo mismo con el retorno de la inversión. Al no generar ingresos directos ¿cómo podemos medir la rentabilidad de la ciberseguridad?
La llave de este asunto se encuentra que los ingresos deben medirse como el ahorro que representan ante incidentes en los sistemas informáticos. Para cuantificar de esta manera los beneficios financieros de seguridad, puedes calcular el ROSI.
Conocer el Retorno sobre la Inversión en Seguridad es tu argumento más potente a la hora de justificar el presupuesto de ciberseguridad, ya que con éste quedará en evidencia la viabilidad de la inversión.
