¿Hay un ROI para las inversiones en seguridad de la información?
- Seguridad Inteligente
Todas las organizaciones tienen recursos limitados: dinero, personas y tiempo ejecutivo. Una forma de asignar esos recursos escasos es calculando el retorno de la inversión (ROI) para cada opción. Existen limitaciones para tales cálculos.
Entonces, ¿cómo calculamos el ROI de una inversión en riesgos y medidas de seguridad de la información (llamado "cibernético" en el futuro).
Una fórmula de ROI
Comencemos definiendo ROI. Investopedia lo define como: "El retorno de la inversión (ROI) es una medida de rendimiento, que se utiliza para evaluar la eficiencia de una inversión o comparar la eficiencia de varias inversiones diferentes. El ROI mide la cantidad de rendimiento de una inversión, en relación con la inversión Para calcular el ROI, el beneficio (o el rendimiento) de una inversión se divide por el costo de la inversión. El resultado se expresa como un porcentaje o una razón ".
La fórmula del retorno de la inversión por lo tanto es: ROI = (Ganancia de la inversión - Coste de la inversión) / Coste de la inversión
En la fórmula anterior, "Ganancia de la inversión" se refiere a los ingresos obtenidos de la venta de la inversión de interés. Dado que el ROI se mide como un porcentaje, se puede comparar fácilmente con los rendimientos de otras inversiones, lo que permite medir una variedad de tipos de inversiones uno contra el otro.
Cómo calcular el ROI de la seguridad de la información
Podríamos (y probablemente deberíamos) considerar la inversión en cibernética en general, pero se puede reducir al coste de herramientas, servicios y personal.
Por ejemplo, el riesgo cibernético creado por la adquisición de robots en el almacén de la organización ha sido identificado y evaluado por los expertos como alto.
Los responsables de los negocios deben tener conversaciones serias que se centren no solo en las pérdidas aceptables, sino también en lo que los inversores y los reguladores podrían considerar como un nivel razonable de ciberdefensa, detección y respuesta.
El coste de hacer negocios
Cuando una empresa tiene múltiples vulnerabilidades, la posibilidad de una infracción sigue siendo alta hasta que todas (o casi todas) de ellas se hayan cerrado. Y hay que tener en cuenta que los ordenadores no son seguros. Y que IoT es aún menos seguro.
Es decir, que es muy fácil hackear casi cualquier organización. La mejor contramedida es aislar sus sistemas, pero eso no siempre es práctico.
Puede que el retorno de la inversión en el ciberespacio no sea tan alto como pueda parecer a primera vista. Más bien, estoy empezando a pensar que en algún momento es mejor considerar el riesgo cibernético como el "coste de hacer negocios".
Si no puede reducir la probabilidad de una infracción, ¿puede al menos aumentar la probabilidad de detección y respuesta rápidas? ¿Puede llegar a donde un individuo prudente diría que tiene un nivel razonable de inversión en cibernética? Ése puede ser el verdadero baremos para medir el ROI.
Descubre la innovación
Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.