Ciberseguridad: Estrategias para conseguir el presupuesto que necesitas, o más. (II)
La tarea de liderar equipos de ciberseguridad y decidir con respecto a la asignación de recursos, involucra evaluaciones y decisiones que trascienden por mucho la suficiencia en el conocimiento técnico, al tiempo que, se torna muy relevante para el directivo, demostrar su capacidad de gestión e interpretación adecuada de la visión estratégica y necesidades del negocio.

En la primera entrega de esta serie, tuvimos la oportunidad de delinear el contexto de la ciberseguridad y entender de mejor manera su impacto en las iniciativas, operaciones y estados financieros de la empresa. Ahora, podemos avanzar un poco más y conocer en forma detallada las tres primeras estrategias para conseguir presupuesto que he decidido compartir:

  • Presentar la posibilidad de incursionar en nuevos negocios al implementar mecanismos de ciberseguridad, de manera que sean considerados como elementos habilitadores del negocio; en términos de eficiencia en operación y digitalización, aplicables en casos de uso que sean relevantes para la organización, por ejemplo:
  • Para instituciones financieras, el uso de biometría facial y técnicas de validación de documentos de identidad para autenticar a clientes en el flujo de servicios digitales, como apertura de cuentas de ahorro, solicitudes de tarjetas de crédito, acceso a los canales electrónicos, etc. Lo que permite expandir la oferta de servicios digitales, así también ayuda a reducir los costos de mantenimiento y operación de las sucursales físicas, minimizando la afluencia de clientes en ellas.
  • Implementación de certificados y firmas digitales, para eliminar el desgaste del cliente en tener que acercarse físicamente a firmar un documento legal o en su defecto invertir en el costo de un courier para que el cliente firme en su domicilio o lugar de trabajo, el ahorro en estos escenarios es significativo.
  • Incorporación de modelos de machine learning para la aplicación de estrategias y modelos de prevención de fraude o medición de riesgo en la ejecución de transacciones financieras en tiempo real o también en procesos fuera de línea como la evaluación previa del cliente para la concesión de un crédito. 
  • Apalancar la inversión en ciberseguridad, contra los ingresos generados por los Activos de Negocio que estamos protegiendo.

Una buena forma de pedir el presupuesto es colocar en una presentación de alto nivel, con claridad y precisión, los activos de negocio con la contribución al margen que cada uno genera, y contrastarlo versus el rubro que solicitamos para ciberseguridad. 

El objetivo sería, evidenciar ante el Consejo Directivo que, de los ingresos generados por los Activos de Negocio, la porción correspondiente a la inversión en ciberseguridad es razonable. Para la visión del Consejo, la cantidad de presupuesto solicitado seguirán siendo los 500k USD/año (dato aleatorio), pero resultaría más sencillo que lo aprueben si conseguimos explicar, por ejemplo: que del ingreso anual bruto de 15 M/año (dato aleatorio), el costo atribuible a ciberseguridad asciende a la módica cifra de 3 centavos por cada dólar.

Bajo ningún concepto se trata de engañar a la administración, pero sí demostrar objetivamente dos puntos relevantes:

  • Que, la propuesta de inversión en ciberseguridad se encuentra estrictamente alineada a la estrategia del negocio, presentando métricas específicas en función de ello. 
     
  • La cobertura conseguida por los elementos de ciberseguridad, mostrando financieramente el riesgo contenido y el monto de pérdida evitado en el presente y la proyección a futuro. 

Se debe considerar, que la mayor parte de iniciativas de ciberseguridad, involucran acciones orientadas al cumplimiento regulatorio y normativo, es decir, no representan un aporte significativo a los objetivos del negocio. Entonces, lo ideal sería, establecer una proporción adecuada en la distribución de presupuesto para los proyectos, mi sugerencia es hacerlo de la siguiente manera: 70% para atender necesidades del negocio y 30% para las acciones de cumplimiento regulatorio y operación de ciberseguridad. 

  • Mostrar numéricamente cómo la ciberseguridad puede aportar a la eficiencia o rentabilidad operativa. 

Es importante demostrar cómo, los elementos de ciberseguridad pueden conseguir generar eficiencias operativas significativas, al reducir o eliminar actividades manuales en procesos de gestión, mientras se protege la información del negocio y los clientes. 

Antes de realizar una nueva inversión, las preguntas clave pueden ser: ¿Qué nueva eficiencia estamos generando con este proyecto? o ¿Cómo aporta esta implementación al objetivo estratégico “X” de la organización? Generalmente, existe la tendencia de exponer beneficios de forma cualitativa, no obstante, el esfuerzo debe estar enfocado en demostrarlo de forma cuantitativa. De esta manera, es posible medir el impacto percibido en el ejercicio, sea como una disminución en el gasto o un incremento en el rubro de ingresos.

Un ejemplo práctico de eficiencia, puede ser la incorporación de firma electrónica para legalizar procesos que se realicen de forma digital; al hacerlo se eliminan costos de suministros de oficina pues ya no se necesita imprimir, al no tener que recibir al cliente en las instalaciones físicas, los agentes de servicio al cliente se pueden dedicar a atender otras actividades de valor.

Como hemos podido apreciar, la tarea de liderar equipos de ciberseguridad y decidir con respecto a la asignación de recursos, involucra evaluaciones y decisiones que trascienden por mucho la suficiencia en el conocimiento técnico, al tiempo que, se torna muy relevante para el directivo, demostrar su capacidad de gestión e interpretación adecuada de la visión estratégica y necesidades del negocio. 

En la siguiente y última entrega de esta serie, serán abordadas tres estrategias no menos importantes, las cuales, tienen como objetivo cubrir aristas que influyen directamente en el éxito o no, de la aventura de solicitar un presupuesto. 

¡Nos vemos ahí! (O)