Ingeniero de seguridad informática, ¡show me the money!

¿Por qué tanto dinero en seguridad informática? ¿Qué representa la protección de mi información además de un gasto? ¿Si es una inversión, cómo me la explico?

Para resolver éstas y otras dudas empecemos con un tema fundamental para cualquier organización: “La sensibilidad de la Dirección sobre los CiberRiesgos”.

En el reporte 2015 Global Study on IT Security Spending & Invest Ponemon InstituteLLC patrocinado por Dell, se muestra un resultado interesante.

“El 64% de los encuestados considera que su Directiva no está informada. Esto significa que miles de riesgos a los que no se les da la importancia que requieren, podrían traducirse en una alta probabilidad de perder mucho dinero.”

De acuerdo con Fortinet el costo promedio de una brecha de seguridad podría llegar causar una perdida de $4 millones de dólares. Otro dato alarmante del fabricante de seguridad, establece que el costo de una brecha de seguridad en tarjetas de crédito podría llegar a tener un impacto de $162 millones de dólares. Si te parece difícil de creer, o lo crees, ¡preguntenle a Liverpool! La organización vió vulnerada la información de tarjetas de crédito de sus clientes en diciembre del 2014 y perdió un aproximado de  23 millones de dólares.  

Descarga el la infografía de los problemas actuales en las Directivas para la inversión en seguridad.

“Por lo general el CEO o Dirección raramente creen que ellos son 

responsables de asegurar que los objetivos de seguriad se logren.” – Ponemon Institute. Con los numeros anteriores la Directiva puede pensar, “fue Liverpool…, fue Target…, fue Sony…, empresas grandes.”

Desafortunadamente todas las empresas corremos riesgos con el simple hecho de tener “Información valiosa”.

Te mostramos como puedes llegar a perder millones de dólares por no atender la seguridad informática de tu empresa.

1.- Reputación.

Ser atacado es como estar enfermo, nadie te quiere cerca para no contagiarse. Se estima que una empresa es atacada puede reducir su nivel de ventas hasta un 40%. Un claro ejemplo de esto sería Sony ¿Dejarías los datos de tu tarjeta de crédito en el PlayStation? 

2.- Información de clientes.

Según un estudio realizado por Fortinet, fabricante líder de soluciones de seguridad, más del 80% de los CIO´s entrevistados consideran que la información de los clientes es su activo más valioso, particularmente la información financiera. Los atacantes pueden utilizar esta información de muchas formas como: estafas, cobros a sus tarjetas de crédito, venta de la información en la DeepWeb. La pérdida de esta información es una clara violación a la confidencialidad de los clientes, y en ciertos paises esta pérdida puede implicar multas de hasta $1 millón de dólares. 

3.- Información de procesos.

Que pasaría si mañana desaparecieran todos los documentos de tu procesos principal, si mañana apareciera tu SAP fuera de línea. Perder los registros de tu proceso para poder tener información del negocio. Creo que la mayoría de las empresas cuentan con un respaldo de su información ¡¿CIERTO?!. 

4.- Corte de tus servicios.

Un hacker cambio el password del servidor del ERP, robo información de los clientes, publicó en las redes sociales y se tuvo que reeinstalar la aplicación.

Perdida en productividad

Perdida en sueldos por corte de los servicios.

(Considerando 5 días de recuperación en una empresa mediana)

$500,000.00 dólares

Perdida en ingresos

Perdida en ventas por 5 días                                     

 $1,000,000.00 dólares

Impacto por baja en ventas durante los siguientes 3 meses

 $1,000,000.00 dólares

Seguro por cargos a tarjetas de crédito                      

 $500,000.00 dólares 

Costo de Reparación 

Especialistas del ERP                                                   

$500,000.00 dólares

Consultoría en seguridad                                              

$150,000.00 dólares 

Equipamiento en seguridad                                          

$100,000.00 dólares

Pérdida de información temporal o permanente

Consultoría forense                                                      

$100,000.00 dolares

Información perdida                                                    

(horas hombre invertidas, tiempo de desarrollo, investigación, know how del negocio)

$1,000,000.00 dólares ó más 

 Otros ….

 

 Ya ahogado el niño……. A gastar.

5.- Secuestro de tu información.

Esta creciendo rapidamente esta amenaza llamada “Ransomware” la cual secuestra tu información; por lo general el rescate que piden es oneroso. Últimamente, se han tenido noticias de empresas a las que pueden estar pidiendo rescates de hasta $100,000.00 dólares. Este tipo de programas de secuestro de información se vende en el mercado de la DeepWeb por $1,000.00 dólares, por lo que tienen que ver por el retorno de su inversión.  

¿Cómo justificar inversión en seguridad de la información? ¿Cómo poder convencer a la junta directiva de la necesidad de invertir?

Muchos de nosotros esperamos que la Dirección de Informática haga más con menos. El fundamento de todo negocio esta en el ROI (Return of Invesment) generado, y el cálculo debe ser fundamentado para que el CEO pueda ver números que le hagan tomar desiciones.

Un metodo simple de poder calcular el ROI de las inversiones de seguridad es el “Payback” este es un simple cálculo que compara la expectativa de la pérdida anualizada con los posibles ahorros logrados una vez realizada la inversión.

Hagamos un ejemplo: Un riesgo latente es la perdida de algún password. Los estudios arrojan que la probabilidad de que ocurra es del 90% al año, si se invierte en una campaña de concientización el riesgo se podría reducir a un 30% de probabilidad de ocurrencia. Entonces,

 

Costo de la perdida de password

 Probabilidad 

Perdida esperada

Costo del riesgo

$150,000.00 dólares anuales

90%

$135,000.00 dólares anuales

Costo del riesgo mitigado

$150,000.00 dólares anuales

30% 

$45,000.00 dólares anuales 

 

 

 Ahorro promedio anual

$9,000.00 dólares anuales 

De esta forma, por cada año que pase sin algún incidente se puede considerar un ahorro de $9,000.00 dólares. Se recomienda poder adquirir soluciones de seguridad que sean inferiores al ahorro anual esperado por la inversión.

La encuesta FTI Consulting y el NYSE Governance Services del 2014 pone la administración de los Cyber Riesgos como el trabajo # 1 para la Directiva y el Consejo General de las empresa. Te recomendamos que pongas en tu agenda revisar la seguridad informática de la organización.

¿Quieres saber más? Descarga nuestro ebook para el cálculo de riesgos y cálculo del ROI en la inversión en seguridad de la información.

Fuentes:

Fortinet: Stopping Data Breaches: Show me the money

http://www.fortinet.com/webinars/stopping-data-breaches-show-me-money.html

Secure Works

http://www.secureworks.com/assets/pdf-store/white-papers/wp-ponemon-global-study 

FTI Journal

http://ftijournal.com/article/managing-cyber-risk-job-1-for-directors-and-general-counsel 

CNN Español

http://cnnespanol.cnn.com/2014/12/25/quien-causo-realmente-el-ataque-a-sony/ 

Servicios Administrados: la mejor calidad para tu empresa.

Ya nos cansamos de darte 5 cosas de todo, por eso hoy te damos solo 4: 4 motivos para que consideres la calidad que la Seguridad Administrada de TI pueden darle a tu empresa. 

¡No te lo pierdas!

–  Los Seguridad Administrada no es lo mismo que Outsourcing de Servicios Informáticos

Los servicios administrados tienen un estándar establecido por ISO y en contrato desde el inicio de la relación laboral. Generalmente se incluyen en los OLA o SLA. En este caso, Nordstern Technologies está en proceso de certificarse en los estándares mundiales ISO 27001 e ISO 20000 lo que nos volverá la empresa líder en México en Seguridad Informática. Por su parte, el outsourcing de servicios se da como asignación de varias cuentas a varios ejecutivos que tratan de cumplir los requerimientos de sus clientes lo mejor posible con los recursos disponibles. Se puede decir que en el outsourcing sólo el ejecutivo está detrás para brindar respaldo al cliente en los términos acordados, mientras que en Servicios Administrados está la empresa entera y con calidad por escrito.

–  No son costosos… de nada vale una caja arrumbada

Cuando hay una alerta de seguridad, o una negación de servicio desde un firewall por ejemplo, lo primero que se pide al área de IT es que lo resuelva en cuanto antes. Si tú y tus ingenieros no se dan abasto, muy probablemente conoces a quien lo haya hecho: desconectan el equipo para no tener que administrarlo y lo “estudian después”. Pues no. Ese equipo pierde su valor cada segundo, y sin funcionar para protegerte, estás pagando mucho más de su valor. Si nos dejas trabajar contigo, nos aseguramos que no tengas equipos arrumbados. Los expertos de NSOC de Nordstern saben cómo administrarlo y si no, tienen contacto directo con la marca hasta que lo consigan. ¡Desempolva tus equipos y comienza a ahorrar!

–  Más barato no siempre es mejor

En los Servicios Administrados, tal y como en muchas cosas de la vida, no siempre lo más barato es lo mejor. Nos referimos a que las cuotas o los contratos que hagas con un proveedor de servicios TI no tienen que ser las más bajas: deben ir de la mano con OLAs o estándares de calidad. Normas como ISO, ITIL o Cobit son algunos estándares y mejores prácticas del sector que ayudan a los proveedores a asegurar su calidad y nivel de servicio contigo. Pon todo esto en una ecuación que te convenga, no sólo elijas por el precio.

–  Las curvas de aprendizaje, pueden ser valles y no solo crestas

Como toda tendencia, cuando hay una curva puede haber un valle (bajada) y cresta (subida). Si al contratar a nuevo personal de TI dudas si tardará mucho su curva de aprendizaje, estás por el camino equivocado: pregúntate la criticidad de las tareas de esta nueva persona y pregúntate si vale la pena arriesgarse en la curva del aprendizaje de esta persona, si otra empresa más lo atrae, lo que te costará su educación y entrenamiento… o si bien, utilizas Servicios Administrados. En esta última modalidad, una EMPRESA da la cara por ti y se compromete a entregarte un servicio, sin vigilancia ni entrenamiento. No secuestres tu seguridad. ¡Piénsalo!