Los presupuestos de seguridad de TI generalmente representan porcentajes de un solo dígito del presupuesto total de TI, pero dado que la seguridad es más un problema que nunca, ¿cómo sé que están regresando mis dólares de seguridad?

Una razón simple para una prioridad presupuestaria relativamente baja para la seguridad de TI es el simple hecho de que la mayor parte de un presupuesto de TI debe estar comprometido con el mantenimiento de la infraestructura y los usuarios, seguido por el desarrollo de los mismos sistemas para mantener el negocio en crecimiento. Para cumplir con los requisitos. La seguridad de TI siempre ha estado muy por debajo de las prioridades, pero el requisito de proteger los recursos de TI de amenazas externas e internas ha cambiado el enfoque en los últimos años. La pregunta es, ¿cómo saben las empresas qué es lo que realmente genera el mejor retorno del gasto en seguridad del dólar?

Estándares mínimos de seguridad

Dada la naturaleza abstracta de la seguridad de TI, el rendimiento solo se puede medir relativamente si las tendencias y los estándares de referencia se comparan con los de la industria. Solo cuando se ha establecido un historial de métricas, una empresa puede verificar internamente qué tan bien está gastando los presupuestos de seguridad de TI y qué tan alta es la pérdida esperada de amenazas a la seguridad de la infraestructura de TI. Intentar implementar métricas de seguridad de TI sin un control adecuado sobre el proceso e identificar los KPI que componen el cuadro de mando integral solo se suma a la gran cantidad de datos recopilados, pero hace poco para contribuir al negocio en sí. La naturaleza altamente técnica de la función de TI y el área aún más sofisticada de seguridad de TI no son fáciles de entender para los gerentes no técnicos, mientras que la administración de TI en sí misma a menudo no ha aceptado la necesidad de un caso de negocios para asignar un presupuesto.

Será esencial que un profesional de seguridad de TI participe en el desarrollo del cuadro de mando integral e identifique los KPI que incluirá, junto con los pesos relativos. Es igualmente importante que parte del equipo que identifica y define las métricas es capaz de comprender el impacto comercial de un incidente de seguridad en la empresa en términos de costos de oportunidad. A diferencia de una venta que tiene un cierto valor, ¿cómo define un incidente de seguridad de TI a los fines de las métricas de seguridad de TI? Más que eso, ¿cómo atribuyes un dólar a tal evento? También surgirán problemas dada la naturaleza fluida de la multitud de nuevas amenazas a medida que aumenta la tecnología inalámbrica y móvil, en resumen, sus métricas cambiarán regularmente, haciendo problemáticas las comparaciones año tras año, ya que no se comparan con las mismas.

Implantación de seguridad en entornos Web

En general, es aconsejable mantener el KPI y las métricas del cuadro de mando integral lo más simple posible y evitar demasiados para obtener claridad. Los gerentes de negocios quieren poder enfocarse en las áreas clave que requieren su tiempo de administración, mientras que los consultores de TI deben poder demostrar un caso de negocios legítimo para los presupuestos para mejorar la seguridad de TI en función de las necesidades comerciales y habilidades no técnicas . Establecer métricas que los gerentes técnicos y no técnicos acuerden y entiendan es un excelente punto de partida para evaluar el desempeño de seguridad de TI. …