Cómo justificar los proyectos de seguridad de la información

Buscar la aprobación de proyectos al interior de las organizaciones es un reto, más aun cuando se trata de iniciativas en seguridad de la información. En este artículo te proponemos algunas herramientas.

Herramientas para justificar los proyectos de seguridad de la información

Información

Aquí se considera la información que posea la empresa acerca de:

  • Los incidentes de seguridad de la información que haya sufrido la misma u otras empresas del sector y los impactos identificados.
  • Los análisis de riesgos de procesos o del negocio que muestren uno o más riesgos importantes que puedan ser mitigados por controles de seguridad de la información del proyecto.
  • Datos de la industria que muestren el aumento de los incidentes de seguridad en el sector y los impactos derivados de no atender eficazmente o a tiempo las problemáticas asociadas a seguridad de la información.
  • Resultados de encuestas de seguridad de la información realizadas por entes independientes, entes de investigación, policivos y gremios a nivel nacional e internacional, que revisen temas relacionados con el proyecto.

ROSI

Identificar el retorno de la inversión de un proyecto es un tema complejo y lo es más si se trata del retorno de la inversión en seguridad de la información. Por lo tanto es pertinente tener en cuenta las siguientes consideraciones:

  • El ROSI tiene como objetivo que se justifique un proyecto en términos monetarios, por lo cual es un caso especial de ROI. ROSI es la diferencia entre el retorno y el costo de las inversiones en controles de seguridad. Por esta razón debemos conocer lo que es un ROI y sus componentes para hablar en los mismos términos financieros de la gerencia.
  • Es un hecho que los incidentes de seguridad de la información o de continuidad del negocio tienen un costo: Directos por los impactos que causan en recursos del negocio como el financiero, imagen, personas, información, e indirectos, por los recursos y los tiempos de recuperación en que hay que invertir.
  • Es difícil hablar a priori de rentabilidad o retorno si no hemos medido la “inseguridad”, es decir se hace necesario el uso de un “PPV” (Pay Per View - Pague por Ver). Los principales “PPV” de los cuales se puede hacer uso son: la gestión de activos, la gestión de riesgos y el BIA, que nos resolverá entre otras las dudas acerca de: a) ¿Qué tan valiosos son mis activos de información? b) ¿Qué tan altos son los impactos al negocio por incidentes o eventos de seguridad o pérdida de la continuidad? 3) ¿Cuáles controles realmente necesito para lidiar con los riesgos de continuidad o seguridad de la información?
  • De ROSI, son más los artículos y las tesis académicas que exponen su uso que casos de negocio reales que se hayan soportado la venta de proyectos de seguridad a través de esta herramienta, por lo tanto el tema sigue formalizándose y sigue en continua discusión, aquí solo presentamos sus bases para que luego se pueda estudiar más en profundidad. Uno de las propuestas más clásicas, pero al mismo tiempo más sencillas de comprender, es la planteada por Adrian Mizzi en el 2004, que tiene los siguientes elementos:
  • Las pérdidas por ataques o fallas de seguridad se deberían establecer a través del uso de la variable de gestión de riesgos ALE, a través de la cual se hace un estimativo de la frecuencia anual del incidente o evento de seguridad (ARO), y se estima el posible impacto monetario (SLE). El producto de estas dos estimaciones deriva en el valor del ALE correspondiente al incidente o evento estudiado. En este sentido, deberíamos determinar los ALE que sean posibles de los incidentes o eventos más importantes que mitiga el proyecto, para de esta manera mostrar beneficios tangibles cuando la inversión anual es mucho más baja que las pérdidas esperadas.

Caso de Negocio

Esta herramienta debería involucrar las dos anteriores, y parte del supuesto de que la organización de seguridad de la información debe actuar siempre como un asesor del negocio para generar proyectos de valor. En este sentido se debe definir y mostrar a la alta gerencia un caso de negocio para proyectos de seguridad de la información que puede incluir:

  • El valor estratégico que tiene la información para el negocio, como un activo a proteger.
  • Los riesgos de la organización que el proyecto ayudará a gestionar y mitigar.
  • La relevancia de la seguridad de la información y la ciberseguridad en la gestión del riesgo de procesos y el riesgo operativo del negocio.
  • El valor que genera la debida diligencia en seguridad de la información para socios de negocios, clientes e incluso en las acciones de la empresa, más aun si se desea expandir en el mercado internacional.
  • La justificación financiera del proyecto (ROSI), con las cifras que se hayan podido obtener.
  • Mostrar las iniciativas de seguridad de la información que hayan adelantado otras empresas del sector.
  • Presentar casos claves de fraude, fuga y robo de información del sector que se han presentado a nivel nacional o mundial y sus impactos.
  • Indicar que áreas o procesos de la compañía se beneficiarían del proyecto. Para lo cual hay que iniciar la venta anticipada del mismo en las diferentes gerencias.
  • Mostrar los aspectos del proyecto que apoyan la gestión empresarial en términos de la debida diligencia del gobierno corporativo (código del gobierno empresarial) y de la normatividad existente (Políticas que apoya el proyecto para su implementación).
  • Las implicaciones jurídicas que tiene para el administrador del negocio (Alta gerencia) la negligencia en protección de la información y la garantía de los controles mínimos necesarios para no colocar en riesgo el negocio.
  • Identificar cómo el proyecto apoya al control interno, a los planes de acción para el cierre de hallazgos de auditoría o revisoría fiscal.
  • Las necesidades y tendencias mundiales y nacionales en gestión de seguridad de la información.

Cumplimiento

Este es uno de los elementos que favorecen totalmente la venta de proyectos de seguridad, debido a la inversión obligatoria que hay que realizar debido a las exigencias que los entes reguladores, el estado, el mercado o de un socio de negocios. Sin embargo se debería aprovechar esta coyuntura para mostrar todos los beneficios que se obtienen más allá de solamente cumplir, para así ir abriendo el camino a nuevas inversiones. Ejemplo de elementos que propician inversiones en seguridad de la información por temas de cumplimiento son: SOX, SARLAFT, SARO, Circulares de superintendencias, Leyes de Delitos Informáticos, Leyes de protección de datos personales, Leyes de Comercio Electrónico, modelos de seguridad y privacidad de los estados, entre otras.

Es importante en la justificación de proyectos de seguridad de la información hacer uso de todas estos herramientas para tener mayor probabilidad de éxito, para que la gerencia perciba de manera más objetiva y con hechos el aporte del proyecto de seguridad de la información, y para que estos no sean evaluados como un costo sino como una inversión de valor para el negocio.

Con nuestro software NovaSec MS puede gestionar los activos de información, los riesgos de seguridad y ciberseguridad, la planeación estratégica de TICs y de seguridad de la información, la arquitectura empresarial y administrar sus proyectos de seguridad de la información con seguimiento de tiempos, costos e indicadores claves de desempeño de los proyectos, mostrando como estos aportan al tratamiento adecuado de los activos de información, cómo ayudan a mitigar los riesgos, cómo aportan al cumplimiento de los objetivos estratégicos y a la construcción y mejora de la arquitectura empresarial de manera integral.

Autor
Fabián Alberto Cárdenas Varela
https://www.linkedin.com/in/fabiancardenas/
@_fabiancardenas
NovaSec S.A.S