El ROI en la seguridad digital y la justificación de presupuesto en ciberseguridad.

Uno de los aspectos más importantes y complicados para la asignación de presupuesto en proyectos y soluciones de ciberseguridad con las que se topan nuestros clientes y en general el personal de tecnología es la falta de claridad en el cálculo del retorno de inversión, el ROI en la seguridad digital. 

A pesar de que las organizaciones en el 2016, aumentaron sus presupuestos destinados a la seguridad de la información en un 24%, la mayoría de los responsables de la ciberseguridad aún tiene que justificar a su administración cada cantidad adicional gastada.

Hace unos días me encontré con una publicación, de la cual realicé algunos extractos, donde se proporciona información útil para el cálculo de este aspecto determinante en la operación de la seguridad digital de la empresa.

En primera instancia nos menciona que, si queremos incrementar al menos en el doble nuestras probabilidades de aprobación, la justificación para el presupuesto de la seguridad digital debe de estar claramente explicada, usando terminología y lenguaje entendible para la alta gerencia.

Cálculo del ALE (expectativa de pérdida anual).

El cálculo del ROI se basará en la prevención directa de pérdidas financieras.

Para ejemplificar lo expresado tomaremos de ejemplo el presupuesto necesario para la protección de un portal web informativo y transaccional con operaciones de e-commerce.

Primero, es necesario calcular la expectativa de pérdida anual o ALE (Annual Loss Expectancy), es decir una estimación de perdida financiera esperada causada por riesgo y amenaza no mitigada.

De acuerdo a CISSP (Certified Information System Security Professional):

ALE = (Número de incidentes por año) X (Pérdida potencial por incidente)

En el caso mostrado, el número de incidentes fue establecido razonablemente en 6 por año, esperando al menos 1 intento de intrusión o ataque directo al portal cada bimestre.

Para la determinación de la pérdida potencial por incidente el cálculo es un poco más “abstracto” dado que deben considerarse numerosos factores (interrupción directa en la operación, pérdidas por daño en la reputación, repercusiones en el valor de la acción y demás pérdidas de alto perfil relacionadas con una violación a la seguridad).

Lo recomendado es recurrir a fuentes de buena reputación para tomar costos promedios de incidentes de acuerdo a nuestra industria y tipo de empresa.

Por ejemplo, de acuerdo a estudios recientes de Kaspersky Lab la pérdida financiera como resultado de un ataque a portal web con e-commerce para una empresa PYME es en promedio de $30,000 USD. En este caso es relativamente fácil identificar de manera “directa” la mayoría de las cantidades:

  • Costo del robo y exposición de la base de datos de clientes y demás información sensible.
  • El costo de la indisponibilidad del portal de comercio electrónico durante la investigación forense y la recuperación.
  • Costo de los expertos de terceros asignados para investigar y corregir el incidente.
  • Costo de las multas legales y de cumplimiento.

Entonces:

ALE = (Número de incidentes por año) X (Pérdida potencial por incidente)

ALE = 6 X $38000

ALE= $228,000

Esta es la cantidad anual que una compañía debería esperar perder, si no se hace nada para proteger su activo.

Cálculo del ROI (retorno de inversión).

Una vez obtenida esta cantidad el siguiente paso es justificar el dinero que se está requiriendo. La manera más sencilla de realizar esto es proporcionarle a la alta gerencia la información de los productos y soluciones más eficientes y efectivos, seleccionados cuidadosamente acorde a la relación precio/ calidad.

Para el ejemplo de la página web e-commerce (y sin tomar en cuenta costos relacionados con un programa de desarrollo seguro) típicamente se necesitará:

  1. Web Application Firewall.
  2. Análisis de vulnerabilidades y monitoreo de seguridad continuos.
  3. Verificaciones de seguridad (web application pen testing).

Estimando que el costo anual del 1+2+3 = 6 $40,000 y utilizando la fórmula para calcular el ROI de acuerdo a CISSP:

ROI = (ALE / Costo de controles compensatorios) X 100%

ROI = ($228,000 / $40,000) X 100%

ROI = 570%

Incluso como en este caso, con un ROI grande, con un valor subjetivo desde un punto de vista puramente técnico, hará más sentido este resultado al negocio y a la alta dirección que cualquier platica larga, persuasiva y detalla acerca de los peligros de los ataques de inyección de código SQL en las aplicaciones web.

El enfoque en ciberseguridad no se encuentra en mostrar las ganancias que se tendrán a través de ella, sino en mostrar las pérdidas y riesgos que se evitarán al utilizarlas adecuadamente.

Para que exista un adecuado entendimiento entre las partes (Seguridad Digital y Alta Gerencia) ambas deben de hablar el mismo idioma, en este caso dinero es el que ofrece ese común denominador.

Te podemos ayudar: http://purplesec.com/servicios/redteam/ 

Mis redes:

https://twitter.com/HumanHardener
https://www.facebook.com/HumanHardener/

 

Fuente de publicación: https://www.csoonline.com/article/3010007/advanced-persistent-threats/how-to-calculate-roi-and-justify-your-cybersecurity-budget.html