1 ago 2022

Una formula simple para obtener presupuesto de ciberseguridad

Aunque ahora existe una mayor conciencia sobre las amenazas a la ciberseguridad, cada vez es más difícil para los departamentos de TI/SI obtener la aprobación de sus presupuestos de seguridad. Los presupuestos de seguridad parecen reducirse cada año y constantemente se pide a los profesionales de que hagan más con menos. Aun así, la situación puede no ser desesperada. Hay algunas cosas que los profesionales pueden hacer para mejorar las posibilidades de que se aprueben sus presupuestos de seguridad.

Presentar el problema de una manera convincente

Si desea que se apruebe el presupuesto de seguridad propuesto, deberá presentar los problemas de seguridad de manera convincente. Si bien aquellos que están a cargo de las finanzas de la organización probablemente estén conscientes de la necesidad de una buena seguridad, probablemente también hayan visto suficientes ejemplos de "una solución de seguridad para buscar otro problema" para hacerlos escépticos sobre las solicitudes de gastos de seguridad. Si desea persuadir a quienes controlan el dinero, deberá convencerlos de tres cosas:

  • Está tratando de protegerse contra un problema real que presenta una amenaza creíble para el bienestar de la organización.
  • Su solución propuesta será efectiva y no es solo un "juguete nuevo para que juegue el departamento de TI"
  • Su solicitud de presupuesto es realista y justificada.

Utilizar los datos a su favor

Una de las mejores formas de convencer a los que están a cargo de que existe una amenaza creíble contra la organización es proporcionarles métricas cuantificables. No recurra a recopilar estadísticas de Internet. El personal financiero de su organización probablemente sea lo suficientemente inteligente como para saber que la mayoría de esas estadísticas son fabricadas por empresas de seguridad que intentan vender un producto o servicio. En su lugar, recopile sus propias métricas desde dentro de su organización mediante el uso de herramientas que están disponibles gratuitamente para su descarga.

Por ejemplo, Specops, Enzoic y ManageEngine ofrecen un auditor de contraseñas gratuito que puede generar informes que demuestren la eficacia de la política de contraseñas de su organización y las vulnerabilidades de seguridad de contraseñas existentes. Esta herramienta también puede ayudarlo a identificar otras vulnerabilidades, como cuentas que usan contraseñas que se sabe que se filtraron o contraseñas que no cumplen con los estándares de cumplimiento o las mejores prácticas de la industria.

En cualquier caso, es importante utilizar métricas dentro de su propia organización para demostrar que el problema de seguridad que está tratando de resolver es real.

Resaltar lo que haría una solución

Una vez que demuestre el problema a quienes están a cargo de las finanzas de la organización, no cometa el error de dejarlos adivinando cómo planea resolver el problema. Esté preparado para explicar claramente qué herramientas planea usar y cómo esas herramientas resolverán el problema que ha demostrado.

Es una buena idea usar imágenes para demostrar la practicidad de la solución propuesta. Asegúrese de explicar cómo se resuelve el problema en un lenguaje no técnico y mejore su argumento con ejemplos que sean específicos de su organización.

Tiempo estimado de implementación y visualización de resultados

Probablemente todos hemos escuchado historias de terror de proyectos de TI que se han descarrilado. Las organizaciones a veces gastan millones de dólares e invierten años de planificación en proyectos que finalmente nunca se materializan. Siendo ese el caso, es importante tranquilizar a todos mostrándoles exactamente cuánto tiempo llevará poner en marcha la solución propuesta y luego cuánto tiempo adicional se necesitará para lograr el resultado deseado.

Cuando realice estas proyecciones, tenga cuidado de ser realista y de no hacer promesas basadas en un cronograma de implementación demasiado ambicioso. También debe estar preparado para explicar cómo llegó a su proyección. Tenga en cuenta los próximos proyectos, los objetivos de toda la empresa y los ideales del año fiscal cuando tenga en cuenta el tiempo.

Demostrar los ahorros estimados

Aunque la seguridad es, por supuesto, una preocupación para la mayoría de las organizaciones, los que están a cargo de las finanzas de una organización normalmente quieren ver algún tipo de retorno de la inversión. Como tal, es importante considerar cómo la solución propuesta podría ahorrarle dinero a la empresa. Algunas ideas pueden incluir:

  • Ahorro de tiempo al departamento de TI/SI, lo que reduce la cantidad de horas extra trabajadas.
  • Evitar una sanción reglamentaria que podría costarle mucho dinero a la organización.
  • Reducir las primas de seguros porque los datos están mejor protegidos.

Por supuesto, estas son solo ideas. Cada situación es diferente y deberá considerar cómo su proyecto de seguridad puede generar un retorno de la inversión dadas sus circunstancias únicas. Es importante incluir un elemento de ahorro de costos en aras de la claridad, incluso si se trata del costo promedio de una violación de datos en su industria.

Demostrar comparación de precios

A medida que presente su solución propuesta, es casi seguro que las partes interesadas le preguntarán si podría haber un producto menos costoso que lograría sus objetivos. Como tal, es importante dedicar algún tiempo a investigar las soluciones que ofrecen los proveedores de la competencia. Aquí hay algunas cosas que debe estar preparado para demostrar:

  • El costo total de implementar cada solución potencial (esto puede incluir costos de licencia, mano de obra, soporte y hardware).
  • Por qué está proponiendo una solución particular, incluso si no es la menos costosa.
  • Si su solución es la menos costosa, prepárese para explicar lo que podría estar renunciando al usar el proveedor más barato..
  • Qué ofrece cada proveedor en relación con los demás.

Algunos consejos rápidos

A medida que haga su propuesta presupuestaria, tenga en cuenta que es probable que las personas a las que se presente tengan una comprensión limitada de los conceptos de tecnología y/o seguridad. Evite el uso de jerga técnica innecesaria y prepárese para explicar claramente los conceptos clave, pero sin sonar condescendiente en el proceso.

También es inteligente anticipar cualquier pregunta que se le pueda hacer y tener las respuestas listas para usar. Esto es especialmente cierto si hay una pregunta en particular que te incomoda un poco.

Presente su información de manera clara, segura y concisa (es decir, ¡hágalo rápido!) para que pueda presentar su caso sin perder tiempo.

Fuente: THN

Suscríbete a nuestro Boletín

1 comentario:

  1. la expiracion de contraseñas es algo básico que se configura sin embargo en mi lugar se tuvo que cancelar eso debido a problemas con el trabajo remoto ya que cuando se tenia que cambiar no detecta el servidor por la vpn, imagino que es algo de config pero estamos en manos llenas con soporte, entonces la actualización de dicha contraseña en dominio se volvía un suplicio.

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!