Genérico 4min de Leitura - 31 de agosto de 2016

Calculo de ROI sobre proyectos de seguridad

Homem utilizando calculadora e notebook para fazer cálculo de ROI

This post is also available in: Português English Español

Existen proyectos de seguridad de la información de los más variados tamaños y presupuestos, y cuanto mayor es la madurez de las empresas en el tema, mayor su control sobre las variables que aseguran la viabilidad de un proyecto. El presupuesto es importante, pero no necesariamente restrictivo.

Sin embargo, si analizamos un mercado de pequeñas y medianas empresas, que también necesitan seguridad adecuada a sus negocios, hay una dificultad mayor en viabilizar ese tipo de proyecto, pues el retorno muchas veces no se materializa adecuadamente por los miembros del equipo que encabeza los proyectos. Como no hay métricas, la evaluación de ROI queda realmente muy perjudicada.

Por ello, en ese post traeremos una introducción o reflexión de algunos ítems que pueden ser utilizados por gestores de tecnología, facilitando la aprobación de los presupuestos, como base en la viabilidad económica de los mismos.

¿Por qué seguridad de la información?

Tal vez una de las primeras preguntas a responder está asociada a las razones por las que las empresas necesitan seguridad de la información. Los motivos son diversos y también complementarios.

Muchas empresas compran seguridad por la necesidad de adecuación a exigencias regulatorias y otras conformidades exigidas por el sector donde actúan. En estos casos, el valor de la seguridad está bien arraigado en la necesidad de proteger la información, tanto en el almacenamiento, como en la manipulación y el tránsito.

Esto significa que para algunos segmentos, como el caso de instituciones financieras, hay una presión natural del mercado que fuerza con que los procesos y la madurez en seguridad de la información (en la que, entre muchas cosas, lo tangible es el dinero) sean mayores, tanto para protección como la disponibilidad de la información.

Para empresas de logística o minoristas, donde el negocio está bastante distribuido, probablemente el pilar de mayor destaque abarcado en los proyectos sea la disponibilidad de la información, especialmente entre filial y matriz, pues es natural que los sistemas de gestión, información de inventarios, crédito y tantos otros recursos, sean validados por la infraestructura de la matriz.

Una visión bastante diferente puede darse con medianas y pequeñas empresas, donde la madurez de seguridad en cuanto a la confidencialidad e integridad de la información no es tan evidenciada, o los riesgos y perjuicios derivados de una fuga no son aparentemente relevantes.

Para estas empresas, la seguridad de la información puede estar mucho más relacionada con la productividad de los empleados al utilizar el Internet, evitando que el tiempo se emplee en sitios o contenido no relacionado con el propósito del negocio. El producto o proyecto de seguridad, por lo tanto, tiene una finalidad de disponibilidad de internet, de visibilidad de accesos y eventuales controles flexibles que disminuyan los estrechamientos de productividad asociados al uso inadecuado de la red.

Por supuesto que nuestro objetivo aquí no es abordar todos los motivos por los que la seguridad de la información es importante, pero sólo traer un panorama que el mismo producto de seguridad, o proyecto, va a satisfacer expectativas diferentes dependiendo del tipo de negocio, y saberlo es extremadamente importante para definir las métricas que se utilizarán para el cálculo del retorno de la inversión.

¿Cuánto cuesta el mal uso de Internet?

Hemos hecho un post abarcando ese asunto, que puede ver haciendo clic aquí. De manera resumida, usted necesita criterios claros de cuánto cuesta el mal uso de Internet, ya sea por la falta de control o por los problemas asociados a la distracción por contenidos no apropiados, que terminan por afectar la productividad.

Esta puede ser una métrica fundamental para justificar la viabilidad de un proyecto de seguridad cuyo principal objetivo es aumentar la productividad, o primero conocer lo que se accede, para definir los perfiles adecuados de uso que atiendan la expectativa de la empresa, y también de los colaboradores.

¿Cuánto cuesta la hora de un colaborador parado?

Para empresas que tienen una estructura administrativa grande, sin directrices adecuadas de contingencia de equipamientos, es natural que un colaborador pueda quedar impedido o perjudicado de realizar sus actividades por indisponibilidad de su equipo.

Las razones de la indisponibilidad pueden ser las más diversas, desde un equipo antiguo que se rompió, incluso un virus o derivado que está inviabilizando parcialmente o totalmente el funcionamiento de las funciones laborales.

Sabiendo la frecuencia media que esto ocurre por una fracción de tiempo, y teniendo un promedio del valor de la hora de los colaboradores, es posible hacer una estimación de cuánto cuesta para la empresa un colaborador sin realizar sus actividades por cuenta de daño en equipo.

Los proyectos de seguridad, cuando bien definidos, deben establecer criterios de uso de Internet y de las computadoras que minimicen el compromiso de los mismos respecto a virus y similares, que pueden afectar su operación.

¿Cuánto cuesta la indisponibilidad de Internet?

Con la convergencia de varios negocios para el medio electrónico, la falta de Internet es algo extremadamente crítico para muchos negocios.

Cuanto mayor sea la dependencia que la empresa posee del Internet para realizar sus actividades, mayor es el impacto financiero. Piense en cuánto tiempo su empresa se queda sin internet en un determinado período de tiempo y multiplique esto por el promedio de horas de la nómina.

Los valores, en muchos casos, pueden asustar. Por otro lado, también pueden concientizarse para que la empresa posea enlaces alternativos, y que sea financieramente viable pagar por ellos, incluso por qué no necesitan quedarse parados aguardando una contingencia. Lo ideal es que un enlace secundario o terciario esté en producción así como el primario, atendiendo determinados servicios, y que todos hagan contingencia entre sí en caso de necesidad.

En los negocios que tienen alta dependencia de Internet, la madurez en este tema termina siendo un poco superior, pero hay muchas empresas que están cada vez más dependientes de Internet y aún no se han posicionado para lidiar con este tipo de escenario.

¿Cuánto cuesta una exposición de información?

Este quizás sea el punto más complicado, no para negocios que tienen altos niveles de madurez y gobernanza en seguridad de la información, sino que para la gran mayoría de las empresas, que ni siquiera consideran la posibilidad de sufrir este tipo de exposición.

Cuando ocurre un incidente de seguridad en una empresa que genera exposición de datos de clientes o similares, se pueden hacer estimaciones de pérdidas por la caída de ingresos entrantes (comparado a los meses anteriores), pero especialmente por las salidas de cartera que fatalmente ocurren.

Si este escenario ya ha ocurrido en su negocio, será bastante simple hacer un levantamiento de esas informaciones y trabajarlas como métrica para evaluar la viabilidad y tiempo de retorno en un proyecto de seguridad de la información.

Conectando los puntos y agregando valor

Hay varios otros puntos que pueden ser considerados; buscamos traer reflexiones fundamentales y que sean de más fácil acceso para auxiliar en el proceso de elaboración del tiempo de retorno de la inversión. Quédese a gusto para incrementar de acuerdo con su necesidad y la madurez de su negocio para la seguridad.

¿Le ha sonado interesante este material? Cuéntenos lo que le pareció y comparte con tus amigos y colegas.

This post is also available in: Português English Español