Ciberseguridad: Estrategias para conseguir el presupuesto que necesitas, o m�s. (III)

Contar con un CISO (Chief Information Security Officer) con pensamiento anal�tico y visionario, orientado a resultados y que sepa interpretar adecuadamente la estrategia del negocio, resulta en una ventaja competitiva para cualquier compa��a.

Hemos llegado a la entrega final de esta serie, en la cual compartir� finalmente tres estrategias de alto nivel y cobertura organizacional, que aportar�n elementos relevantes para la decisi�n que deber� tomar la Alta Direcci�n, antes de conceder el presupuesto para Ciberseguridad:�

Contrastar de forma tangible los beneficios en la disminuci�n del riesgo, cuando implementamos ciberseguridad versus no implementarla.

Debido a que la ciberseguridad est� fundamentada en la administraci�n y gesti�n del riesgo, hay que considerar esta arista para reforzar la decisi�n de invertir en planes y programas. El directivo encargado de la ciberseguridad debe aportar su criterio especializado para ayudar en la definici�n del “apetito de riesgo” para toda la organizaci�n, con respecto a un producto, servicio o iniciativa en particular.�

Para ello, es adecuado relacionarlo con datos de competidores, pares locales y regionales, as� como tambi�n reportes de cuerpos colegiados y diferentes organismos internacionales especializados en ciberseguridad, estudiar la informaci�n y adaptarla al contexto local de la empresa, para que esta indagaci�n proporcione resultados aplicables y efectivos.

Es importante tener claro, por ejemplo: Del universo de transacciones procesadas (considerando el ingreso por comisiones) cu�l es el porcentaje de transacciones rechazadas y/o reclamos (con la consiguiente p�rdida econ�mica) que la empresa puede asumir y, si estas p�rdidas mencionadas disminuyen o no con la implementaci�n focalizada de medidas de ciberseguridad.�

Si el riesgo o p�rdida esperada del proceso evaluado es mayor al porcentaje de riesgo aceptable, es mandatorio implementar controles compensatorios o acciones correctivas. Si la p�rdida esperada es menor al apetito de riesgo definido, entonces se lo considera como un riesgo inherente a la operaci�n del negocio.

Explicar qu� hacer con el riesgo remanente despu�s de ciberseguridad, o qu� alternativas existen si el presupuesto es una limitante.

Una vez que ya se ha establecido el apetito de riesgo en el proceso de negocio que se est� evaluando, se debe determinar qu� hacer con la p�rdida proyectada, entre varias alternativas se tiene:

No hacer nada. Aceptar el riesgo de p�rdida tal cual es, debido a que no representa un impacto significativo con respecto a los ingresos que el negocio genera.

�Transferir el riesgo. Evaluar escenarios y transferir el riesgo a un tercero, como una aseguradora. En este escenario, es requerida la intervenci�n de otros actores o especialistas para validar los t�rminos de cobertura, monto de la prima, excepciones, etc.�

Tratar el riesgo remanente. Se deber� definir planes de seguimiento recurrente, donde los responsables de los procesos deber�n proponer diferentes alternativas que ayuden a mitigar dicho riesgo en el transcurso del tiempo.�
Establecer indicadores alineados estrictamente con la estrategia del Negocio.

�

De esta manera ser� posible mostrar la efectividad de los controles implementados o la contribuci�n que cada elemento de ciberseguridad aporta a la estrategia. La seguridad b�sicamente es la percepci�n de confianza, y esta debe alimentarse con informaci�n clara y precisa, en t�rminos que puedan ser f�cilmente explicados a un p�blico no t�cnico.�

Una vez identificados los indicadores y procedimientos internos para la medici�n y generaci�n de reportes, en lugar de trabajar en la recopilaci�n manual de los datos; hace sentido implementar tableros de informaci�n gerencial. Es un esfuerzo adicional, pero tener a mano informaci�n en tiempo real, vale la pena (tiempo=dinero, informaci�n=poder).
Ante lo propuesto, nace la preocupaci�n: “Suena espectacular tener este tablero gerencial, pero requiere un tiempo, presupuesto y recursos que hoy no tengo. �C�mo pretendes que lo haga?”�Una respuesta v�lida puede ser: Realizar alcances priorizados, definir para cada t�rmino de evaluaci�n una m�trica en particular, sobre la cual dedicar el esfuerzo de contar con informaci�n, conectividad, visualizaci�n en tiempo real, pero solo una m�trica y que sea relevante.�
�Para qu� y por qu� una?� Una m�trica o indicador basta para mostrar a la Direcci�n el valor de contar con un tablero de indicadores de ciberseguridad, y a partir de ese MVP (M�nimum Viable Product), exponer el esfuerzo que se requiri� para lograrlo y proponer la ejecuci�n de un proyecto tecnol�gico integral para hacerlo realidad.

Finalmente, contar con un CISO (Chief Information Security Officer) con pensamiento anal�tico y visionario, orientado a resultados y que sepa interpretar adecuadamente la estrategia del negocio, resulta en una ventaja competitiva para cualquier compa��a. De no tenerlo, la empresa enfrentar�a peligros como: no poder garantizar la continuidad de sus operaciones por ataques inform�ticos o fallas de ciberseguridad, incurrir en pago de multas por hacer un uso inapropiado de los datos de clientes; invertir de forma no controlada en iniciativas que no aporten mayor valor a la estrategia del negocio, o en su defecto, no realizar inversi�n alguna y mantener el estado actual, con una visi�n temerosa respecto al cambio futuro.�

Deseo profundamente que las estrategias que he compartido se conviertan en un apoyo para el CISO encargado de la Gesti�n de Ciberseguridad. As� como tambi�n, que todo integrante de la Alta Direcci�n (CEO, director adjunto, entre otros) haya podido encontrar aqu� elementos clave que incorporar en su toma de decisi�n,�comprendiendo que la Ciberseguridad�debe estar presente en todas las iniciativas tecnol�gicas y sobre todo, ofrecer al negocio soluciones flexibles, din�micas, oportunas y sin fricci�n para el cliente. �(O)

Te puede interesar