theNet by CLOUDFLARE

Cálculo del retorno de la inversión en seguridad

Transforma la seguridad de un centro de costes en un valor estratégico

A pesar del reciente impulso, el ascenso de la ciberseguridad a lo más alto de la agenda de prioridades de las empresas no ha acabado.

Sin duda, muchos CISO dependen directamente de los CEO, quienes les piden que aborden el riesgo y la conformidad con el consejo de administración de sus empresas. Sin embargo,más de la mitad de los equipos de seguridad afirman que carecen de fondos suficientes, lo que les impide realizar inversiones imprescindibles para minimizar los riesgos. Con razón o sin ella, muchas organizaciones consideran en última instancia a su equipo de seguridad como un centro de costes, una percepción que puede poner en peligro las inversiones en seguridad cuando los presupuestos son ajustados o las previsiones financieras son frágiles.

Para cambiar esta percepción, los responsables de seguridad deben dedicar mucho tiempo a crear relaciones con sus colegas y a alinear la estrategia de seguridad con las prioridades más generales de la empresa. Durante un proceso de este tipo, puede ser útil analizar el retorno de las inversiones anteriores en seguridad. Estas métricas pueden ayudar a otros líderes a comprender cuánto valor ha aportado ya el equipo de seguridad, y potencialmente convencerlos de que apoyen inversiones similares en el futuro.


Alineación de las métricas del retorno de la inversión con las prioridades empresariales

Antes de decidir qué tipo de retorno de la inversión medir y de indagar en los datos, los responsables de seguridad deben decidir primero qué intentan contar. Cualquier número o métrica, por impresionante que sea, puede parecer aleatorio si no se alinea con una prioridad empresarial más concreta.

A continuación, te mostramos tres prioridades digitales comunes y las variedades de métricas que pueden ayudar a respaldarlas:

Sigue leyendo para descubrir los métodos específicos para realizar cada uno de estos tipos de métricas.


Métrica 1 para evaluar el rendimiento de la inversión: Ahorro de ingresos gracias a la reducción de las interrupciones de las aplicaciones web

Existen muchas métricas y puntuaciones para cuantificar el riesgo y su reducción. Por supuesto, estas puntuaciones pueden ser útiles para los equipos de seguridad, pero pueden parecer demasiado abstractas para que otras personas de una organización las entiendan.

En su lugar, cuando hables del impacto de las mejoras en seguridad, trata de vincularlas a una cifra que interese a toda la empresa. En el contexto de la seguridad de las aplicaciones web, una de esas cifras son los ingresos generados por las propias aplicaciones web. Medir cómo la mejora de la seguridad protege los ingresos es mucho más concreto que una puntuación de riesgo aislada.

Para realizar una métrica de este tipo, necesitarás los siguientes datos:

  1. La cantidad de tiempo de inactividad relacionado con el ataque que experimentó tu sitio web antes y después de la inversión en cuestión. Idealmente la métrica será en horas a lo largo de un año, ya que una ventana de tiempo más corta puede pasar por alto los periodos de ventas elevadas. Lo más probable es que tenga sentido obtener diferentes versiones de esta cifra para diferentes tipos de ataques (p. ej., DDoS, bots maliciosos).

  2. El coste por hora / día del tiempo de inactividad de tu sitio web. Para las empresas B2C, tu equipo de comercio electrónico debería poder decirte cuántos ingresos genera tu sitio web por hora. Para las empresas B2B, tu equipo de marketing puede decirte cuántos clientes potenciales o formularios cumplimentados genera tu sitio web por hora / día, y el valor medio de un cliente potencial. En cualquier caso, una media mensual/anual amplia es un buen punto de partida, aunque es posible que prefieras utilizar la media de periodos específicos (p. ej., compras navideñas) si es cuando suelen ocurrir ataques en tu caso.

Con estas cifras, obtendrás una estimación sólida de la cantidad de ingresos que has protegido gracias al bloqueo de más de un determinado tipo de ataque. Puedes utilizar esta métrica para conseguir la aprobación de una ampliación del proyecto original, o simplemente para demostrar que los proyectos relacionados tendrán un impacto significativo.


Métrica 2 para evaluar el retorno de la inversión: Reducción del riesgo de fugas en las aplicaciones web

Algunas inversiones en seguridad no influyen directamente en los ingresos, por ejemplo, si se centran por completo en evitar futuras fugas hipotéticas. En estos casos, los responsables de seguridad deben encontrar un delicado equilibrio a la hora de medir el retorno de la inversión. Por un lado, las métricas propias para la evaluación de riesgos pueden ser difíciles de entender. Por otro, las cifras del coste medio de las fugas de datos pueden ser bastante elevadas, lo que puede parecer alarmista. Los responsables de seguridad saben que no pueden prometer que evitarán todas las fugas futuras.

Para adoptar un enfoque más comedido, los responsables de seguridad pueden utilizar las siguientes cifras:

  • La probabilidad de sufrir una fuga en un periodo de tiempo determinado. En función de los datos disponibles, puede tener sentido utilizar datos reales de la empresa o una referencia del sector.

  • El coste medio de una fuga de datos. Una vez más, las comparativas del sector pueden ayudar a que esta cifra parezca más precisa.

  • Porcentaje de fugas que se originan en la superficie / vector de ataque en cuestión.

  • Porcentaje de reducción del riesgo gracias a la inversión en seguridad. Utiliza las métricas más aceptadas posible. Por ejemplo, para las aplicaciones web, puede ser útil determinar cuántos de los 10 riesgos principales de OWASP abordan o evitan tus inversiones en seguridad.

Estas cifras permiten a los responsables de seguridad crear una estimación más minuciosa del ahorro de costes relacionado con las fugas de datos, y ayudan a sus colegas a comprender de forma más tangible una idea en última instancia incierta.


Métrica 3 para evaluar el retorno de la inversión: ahorro de costes vinculado al ahorro de tiempo del equipo

En el caso de las inversiones que no tienen un impacto directo en el perfil de riesgo de la organización, los responsables de seguridad deben intentar demostrar el impacto en la productividad y la eficiencia de los equipos. Si tu equipo de seguridad ahorra tiempo (o puede hacerlo) haciendo una inversión concreta, el precio inicial puede parecer menos preocupante para otros responsables. Además, cuánto más tiempo tengan los equipos más tiempo podrán dedicar a proyectos más estratégicos.

Para calcular esta cifra, necesitamos la siguiente información:

  • El coste medio por hora de contratar a un miembro del equipo de seguridad. Según la naturaleza de la inversión, puedes centrarte en miembros concretos del equipo afectados por la inversión, o extrapolar cómo podría afectar a todo el equipo.

  • El número de horas ahorradas por semana /mes / año gracias a tu inversión en seguridad. Puedes incluir alguna estimación de la cantidad media de tiempo que se tarda en realizar tareas relevantes, p. ej., responder a incidencias, actualizar políticas o incorporar usuarios. Asimismo, los periodos más cortos también pueden ser más útiles para la planificación de recursos, mientras que los periodos más largos proporcionarán más información en un contexto de reducción de costes globales.

Además de los beneficios mencionados anteriormente, multiplicar las dos cifras creará una métrica que puede hacer tangible el ahorro de tiempo para aquellos directivos que no aprecien lo valiosos que son los profesionales de la seguridad.


La plataforma de seguridad adecuada aumenta el retorno de la inversión

No se puede medir el beneficio de un servicio de seguridad si el beneficio nunca se produce. Y, por desgracia, muchas plataformas de seguridad tienen fallos estructurales que reducen la eficiencia y la visibilidad que ofrecen por razones como:

  • La necesidad de integración manual o servicios de integración adicionales para que todo funcione en conjunto

  • Las numerosas interfaces de usuario para diferentes conjuntos de servicios

  • Los distintos servicios que se alojan en diferentes infraestructuras, lo que resulta en problemas de rendimiento y disponibilidad

La conectividad cloud de Cloudflare, una plataforma unificada de servicios de seguridad y conectividad nativos de nube, es diferente. Se desarrolló desde cero teniendo en cuenta la eficiencia, la visibilidad y el control, a través de:

  • Una arquitectura componible y programable: todos los servicios se pueden ejecutar en cada servidor de la red, y son personalizables mediante funciones sin servidor sencillas.

  • Un alcance global y ubicuo: con una red que abarca más de 330 ciudades y se interconecta con más de 13.000 redes.

  • Información sobre amenaza multidisciplinar en todos los servicios: que obtenemos porque por nuestra red pasa aproximadamente el 20 % de todo el tráfico web.

  • Una interfaz unificada y sencilla: donde los usuarios pueden gestionar todos los servicios de seguridad a través de un único panel de control.

Un estudio reciente de Forrester reveló que una organización compuesta representativa de los clientes de Cloudflare protegió casi un millón de dólares en ingresos, redujo un 25 % el riesgo de fugas de aplicaciones web y generó un retorno de la inversión del 238 % en tres años.

Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.


Más información sobre este tema

Descubre el rendimiento de la inversión de la conectividad cloud de Cloudflare, incluidas métricas específicas como estas, en el informe de Forrester Total Economic Impact™ sobre la conectividad cloud de Cloudflare.



CONCLUSIONES CLAVE

Después de leer este artículo podrás entender:

  • Cómo medir el retorno de la inversión de los diferentes tipos de iniciativas de seguridad

  • Cómo las mediciones del rendimiento de la inversión en seguridad ayudan a promover futuras inversiones

  • Tipos de plataformas de seguridad que ofrecen el mejor retorno de la inversión



Recursos relacionados

¿Quieres recibir un resumen mensual de la información más solicitada de Internet?