Ingeniero de seguridad informática, ¡show me the money!

¿Por qué tanto dinero en seguridad informática? ¿Qué representa la protección de mi información además de un gasto? ¿Si es una inversión, cómo me la explico?

Para resolver éstas y otras dudas empecemos con un tema fundamental para cualquier organización: “La sensibilidad de la Dirección sobre los CiberRiesgos”.

En el reporte 2015 Global Study on IT Security Spending & Invest Ponemon InstituteLLC patrocinado por Dell, se muestra un resultado interesante.

“El 64% de los encuestados considera que su Directiva no está informada. Esto significa que miles de riesgos a los que no se les da la importancia que requieren, podrían traducirse en una alta probabilidad de perder mucho dinero.”

De acuerdo con Fortinet el costo promedio de una brecha de seguridad podría llegar causar una perdida de $4 millones de dólares. Otro dato alarmante del fabricante de seguridad, establece que el costo de una brecha de seguridad en tarjetas de crédito podría llegar a tener un impacto de $162 millones de dólares. Si te parece difícil de creer, o lo crees, ¡preguntenle a Liverpool! La organización vió vulnerada la información de tarjetas de crédito de sus clientes en diciembre del 2014 y perdió un aproximado de  23 millones de dólares.  

Descarga el la infografía de los problemas actuales en las Directivas para la inversión en seguridad.

“Por lo general el CEO o Dirección raramente creen que ellos son 

responsables de asegurar que los objetivos de seguriad se logren.” – Ponemon Institute. Con los numeros anteriores la Directiva puede pensar, “fue Liverpool…, fue Target…, fue Sony…, empresas grandes.”

Desafortunadamente todas las empresas corremos riesgos con el simple hecho de tener “Información valiosa”.

Te mostramos como puedes llegar a perder millones de dólares por no atender la seguridad informática de tu empresa.

1.- Reputación.

Ser atacado es como estar enfermo, nadie te quiere cerca para no contagiarse. Se estima que una empresa es atacada puede reducir su nivel de ventas hasta un 40%. Un claro ejemplo de esto sería Sony ¿Dejarías los datos de tu tarjeta de crédito en el PlayStation? 

2.- Información de clientes.

Según un estudio realizado por Fortinet, fabricante líder de soluciones de seguridad, más del 80% de los CIO´s entrevistados consideran que la información de los clientes es su activo más valioso, particularmente la información financiera. Los atacantes pueden utilizar esta información de muchas formas como: estafas, cobros a sus tarjetas de crédito, venta de la información en la DeepWeb. La pérdida de esta información es una clara violación a la confidencialidad de los clientes, y en ciertos paises esta pérdida puede implicar multas de hasta $1 millón de dólares. 

3.- Información de procesos.

Que pasaría si mañana desaparecieran todos los documentos de tu procesos principal, si mañana apareciera tu SAP fuera de línea. Perder los registros de tu proceso para poder tener información del negocio. Creo que la mayoría de las empresas cuentan con un respaldo de su información ¡¿CIERTO?!. 

4.- Corte de tus servicios.

Un hacker cambio el password del servidor del ERP, robo información de los clientes, publicó en las redes sociales y se tuvo que reeinstalar la aplicación.

Perdida en productividad

Perdida en sueldos por corte de los servicios.

(Considerando 5 días de recuperación en una empresa mediana)

$500,000.00 dólares

Perdida en ingresos

Perdida en ventas por 5 días                                     

 $1,000,000.00 dólares

Impacto por baja en ventas durante los siguientes 3 meses

 $1,000,000.00 dólares

Seguro por cargos a tarjetas de crédito                      

 $500,000.00 dólares 

Costo de Reparación 

Especialistas del ERP                                                   

$500,000.00 dólares

Consultoría en seguridad                                              

$150,000.00 dólares 

Equipamiento en seguridad                                          

$100,000.00 dólares

Pérdida de información temporal o permanente

Consultoría forense                                                      

$100,000.00 dolares

Información perdida                                                    

(horas hombre invertidas, tiempo de desarrollo, investigación, know how del negocio)

$1,000,000.00 dólares ó más 

 Otros ….

 

 Ya ahogado el niño……. A gastar.

5.- Secuestro de tu información.

Esta creciendo rapidamente esta amenaza llamada “Ransomware” la cual secuestra tu información; por lo general el rescate que piden es oneroso. Últimamente, se han tenido noticias de empresas a las que pueden estar pidiendo rescates de hasta $100,000.00 dólares. Este tipo de programas de secuestro de información se vende en el mercado de la DeepWeb por $1,000.00 dólares, por lo que tienen que ver por el retorno de su inversión.  

¿Cómo justificar inversión en seguridad de la información? ¿Cómo poder convencer a la junta directiva de la necesidad de invertir?

Muchos de nosotros esperamos que la Dirección de Informática haga más con menos. El fundamento de todo negocio esta en el ROI (Return of Invesment) generado, y el cálculo debe ser fundamentado para que el CEO pueda ver números que le hagan tomar desiciones.

Un metodo simple de poder calcular el ROI de las inversiones de seguridad es el “Payback” este es un simple cálculo que compara la expectativa de la pérdida anualizada con los posibles ahorros logrados una vez realizada la inversión.

Hagamos un ejemplo: Un riesgo latente es la perdida de algún password. Los estudios arrojan que la probabilidad de que ocurra es del 90% al año, si se invierte en una campaña de concientización el riesgo se podría reducir a un 30% de probabilidad de ocurrencia. Entonces,

 

Costo de la perdida de password

 Probabilidad 

Perdida esperada

Costo del riesgo

$150,000.00 dólares anuales

90%

$135,000.00 dólares anuales

Costo del riesgo mitigado

$150,000.00 dólares anuales

30% 

$45,000.00 dólares anuales 

 

 

 Ahorro promedio anual

$9,000.00 dólares anuales 

De esta forma, por cada año que pase sin algún incidente se puede considerar un ahorro de $9,000.00 dólares. Se recomienda poder adquirir soluciones de seguridad que sean inferiores al ahorro anual esperado por la inversión.

La encuesta FTI Consulting y el NYSE Governance Services del 2014 pone la administración de los Cyber Riesgos como el trabajo # 1 para la Directiva y el Consejo General de las empresa. Te recomendamos que pongas en tu agenda revisar la seguridad informática de la organización.

¿Quieres saber más? Descarga nuestro ebook para el cálculo de riesgos y cálculo del ROI en la inversión en seguridad de la información.

Fuentes:

Fortinet: Stopping Data Breaches: Show me the money

http://www.fortinet.com/webinars/stopping-data-breaches-show-me-money.html

Secure Works

http://www.secureworks.com/assets/pdf-store/white-papers/wp-ponemon-global-study 

FTI Journal

http://ftijournal.com/article/managing-cyber-risk-job-1-for-directors-and-general-counsel 

CNN Español

http://cnnespanol.cnn.com/2014/12/25/quien-causo-realmente-el-ataque-a-sony/