A menudo, antes de contemplar realizar una adquisición para el área de seguridad, lo primero que los directivos tienen en cuenta es qué tan rentable resultará esta inversión (R.O.I.).

Esta conducta podemos decir que ya está generalizada y constituye una de las razones fundamentales por las que las compañías limitan sus presupuestos para seguridad hasta no verse en la penosa, y a menudo también costosa, obligación de afrontar un incidente.

Esto precisamente pone a los CIO’s y CISO’s en una situación bastante compleja ya que, por una parte, no cuentan con el presupuesto necesario para desarrollar su plan de seguridad y por otra, sus argumentos no son lo suficientemente decisivos a mientras no se encuentren “bajo ataque”.

En este sentido cobra importancia destacar, a favor de los CIO’s, CISO’s, y en general a las buenas prácticas de seguridad informática, que un incidente solamente es el inicio del problema. 

 

¿Cuál es su verdadero impacto?

Tomando en cuenta los ataques que han sufrido algunas compañías podemos observar que sin un adecuado plan de manejo y una correcta prevención de incidencias, su impacto puede escalar diversos niveles en la organización, siendo la confiabilidad el más importante de estos, lo que Gartner llama el Digital Trust.

En otras palabras, la verdadera víctima tras una incidencia es la confianza que tienen los clientes en la organización. Esto naturalmente puede derivar en nuevos costos además de los mandatorios en seguridad, como por ejemplo los publicitarios, en los que se necesita incurrir con el objetivo de preservar el buen nombre de la compañía y mantener lo más lejos posible la situación de la opinión pública. 

 

Entonces, ¿cómo puede medirse el R.O.I. en las adquisiciones de seguridad?

Sin entrar en detalles sobre las capacidades de una solución de ciberseguridad antes de optar por adquirir una se debería estimar el siguiente escenario:

  1. Si ocurriera un incidente, ¿cuál sería su costo?
  2. ¿Qué tan probable es que ocurra?
  3. ¿Cuál sería el costo de las medidas necesarias para resolver el incidente?
  4. ¿En qué nivel quedaría resuelto?

Por lo tanto, tomando en cuenta lo descrito por Christian Locher en su paper Methodologies for evaluating information security investments, podemos transformar la situación en una ecuación así:

<img src=”ROSI-OCF.png” alt=”Retorno sobre inversión en seguridad"/>

¿Qué tan rentable resulta una inversión en seguridad?

 

De esta manera, en el caso de un resultado es positivo, se confirma la urgencia de una inversión en seguridad.

En otras palabras, si tu R.O.S.I. es positivo, necesitas encontrar una solución de seguridad a le medida de tu organización. Por esto te invitamos a conocer openNAC, nuestra poderosa solución de seguridad la cual ha sido certificada recientemente por Common Criteria y ha sido incluida por Gartner en su exclusiva guía de mercado NAC.

Así que si quieres saber por qué openNAC ha logrado tan importante respaldo haz clic aquí ahora y entérate de todo por ti mismo.