Especificar la inversión en ciberseguridad no es una tarea fácil. Los RSSI enfrentan un entorno de amenazas cada vez mayor, un mercado cada vez más saturado para los proveedores de seguridad y presupuestos que nunca se extienden lo suficiente. Cuando se trata de proponer un presupuesto adicional, la situación se hace más difícil debido a los desafíos inherentes a la prueba del retorno de la inversión del gasto en seguridad cibernética. Es un poco como vender seguros: los CISO deben tratar de resaltar lo que no ha sucedido: las brechas y las interrupciones que su estrategia evitará.Sobre el autor
Ian Schenkel, vicepresidente de EMEA, Flashpoint.
Si bien es mucho más fácil justificar una inversión en seguridad después de una infracción costosa, no es posible y ciertamente no es deseable ejecutar un programa de seguridad en un Base totalmente reactiva. Entonces, ¿qué pueden hacer los RSSI para abogar por una inversión proactiva y obtener la aceptación de los titulares de presupuesto?
Reúna la evidencia para construir un caso de negocio consistente
Un aspecto esencial de la construcción de un caso sólido muestra que la inversión planificada se basa en una comprensión sólida de las necesidades del negocio, respaldada por evidencia. En definitiva, esto es cierto para todos los departamentos comerciales. Por ejemplo, el equipo de marketing desarrolla su estrategia siguiendo una investigación de mercado profunda e inteligencia de negocios que utilizan para detectar oportunidades y contrarrestar competidores disruptivos. La seguridad no es tan diferente. Los CISO necesitan una gran cantidad de información sobre amenazas generales y específicas dirigidas al negocio, su probabilidad, cómo se desarrollan y los posibles impactos comerciales si un ataque tiene éxito.
Sin embargo, esta información de "mercado" es más difícil para RSSI que para otros departamentos gubernamentales debido a cuatro factores clave: la relativa falta de datos históricos; la alta proporción de "incógnitas"; la velocidad a la que evolucionan las amenazas a la seguridad y, finalmente, la naturaleza ilícita de los actores involucrados: no se puede organizar un grupo de discusión para cibercriminales.
El ensamblaje y análisis de la información requiere acceso a múltiples fuentes. Los equipos de seguridad deben colaborar con los centros de análisis e intercambio de información relevantes (ISAC) para comprender las amenazas generales de la industria y las experiencias de sus pares. Además de esto, información privilegiada sobre amenazas de fuentes cerradas, incluidos foros privados o de invitación, plataformas de servicio de chat, mercados ilícitos, tiendas de tarjetas de crédito y cuentas, y sitios de collage puede identificar amenazas comerciales específicas y campañas de ciberataques en curso que deben tenerse en cuenta en las estrategias de defensa cibernética y utilizarse para dirigir el gasto presupuestario donde más se necesita.
Esta evidencia ayuda a los CISO a enfrentar el desafío de identificar y, en la medida de lo posible, cuantificar las amenazas que enfrenta el negocio. Sin embargo, si bien comprender las amenazas es un buen comienzo, el siguiente problema es comunicar estas amenazas a los responsables de la toma de decisiones presupuestarias de una manera que inspire la acción.
Traducir el riesgo cibernético en riesgo comercial para la junta directiva
La gestión de riesgos no es nada nuevo para las juntas y los equipos de gestión. Sin embargo, muchos aún carecen de las habilidades para deducir correctamente el riesgo cibernético de la información técnica. Esto a menudo resulta en una desalineación entre el riesgo comercial y el riesgo cibernético que les impide apreciar el verdadero valor de la inversión en seguridad cibernética.
Para superar este problema, los CISO deben presentar sus argumentos en términos comprensibles para la junta directiva al enmarcar el riesgo cibernético en el lenguaje del riesgo comercial. El riesgo comercial es cualquier factor que amenaza con interrumpir la capacidad de la organización para funcionar. Está claro que el riesgo cibernético es una gran parte de él, pero es un recién llegado relativo. Los principales riesgos comprendidos por los consejos de administración son financieros, de cumplimiento, operativos, estratégicos y de reputación. Obviamente, las violaciones de datos o los ataques de ransomware, por ejemplo, pueden tener impactos en todas estas áreas, por lo que es más claro para las juntas si las amenazas y la inversión requieren mitigarlos está claramente relacionado con uno o más de estos cinco riesgos comerciales.
Cuando las amenazas cibernéticas se formulan en términos del impacto que una violación exitosa tendría en el negocio (pérdida de datos de clientes, fallas de cumplimiento, sistemas rotos, robo financiero directo), es más fácil para la junta apreciar el retorno de la inversión para prevenir esta amenaza, ya que funciona con un léxico familiar.
Defensa de la inversión en inteligencia.
Pero, ¿qué pasa con el programa Business Intelligence Intelligence (BRI) en sí? ¿Cómo obtiene el RSSI la aceptación de la inversión en inteligencia? Esto se reduce a la analogía de la investigación de mercado: no asignaría el gasto de marketing sin evidencia sólida de que se dirige a los objetivos correctos, entonces, ¿por qué desarrollar una estrategia de ciberseguridad sin un conocimiento detallado de El entorno en el que opera? Los RSSI necesitan saber qué necesita la empresa para asegurarse de contar con las herramientas adecuadas para proteger los datos, los clientes y la infraestructura de TI. De esta manera, la empresa invierte de forma proactiva, no reactiva, en ciberseguridad.
Por cierto, el BIS utilizado para construir el caso de inversión en ciberseguridad también es relevante para cuestiones comerciales y de seguridad más amplias. Un programa BRI efectivo puede revelar evidencia de amenazas a la seguridad física, riesgos de información privilegiada y campañas de fraude. Un ejemplo es el fraude posterior en el sector minorista; vemos las tácticas discutidas y facilitadas una y otra vez en foros y salas de chat donde se reúnen los cibercriminales.
El BPI también puede ayudar a gestionar los riesgos de fusiones y adquisiciones y la debida diligencia, identificando las empresas a las que se dirigen los actores de la amenaza. Y a medida que las empresas se vuelven cada vez más responsables de la seguridad de sus socios y proveedores, el BPI se puede utilizar para identificar las debilidades en la cadena de suministro de manera oportuna para tomar medidas de mitigación.
En última instancia, cuanto más sepa una empresa los riesgos que enfrenta, mejores serán sus decisiones. El BPI se puede vincular a todo tipo de riesgos comerciales estratégicos y al proporcionar evidencia de amenazas creíbles, cuantificadas tanto como sea posible, puede ser invaluable para ayudar a los RSSI a fortalecer el caso comercial para sus Programa de inversión en ciberseguridad.