Financiamiento del programa de ciberseguridad

[pic 1]

Programa de Especialización en Alta Gerencia en Ciberseguridad

Control de Gestión para Ciberseguridad

Financiamiento del Programa de Seguridad

[pic 2]

Financiamiento del Plan de Seguridad

[pic 3]

Introducción[pic 4]

• La gestión financiera define los procesos de planificación, organización, dirección, control e información sobre las actividades monetarias de una organización y el uso de sus fondos.
• El CISO desempeña un papel importante en la planificación financiera del programa de seguridad de la información. Teniendo en cuenta que la mayor parte de los fondos para el programa de seguridad se asignan a partir del presupuesto operativo de la organización, el CISO tiene la responsabilidad fiduciaria (responsabilidad legal de actuar exclusivamente en el mejor interés de aquella persona física o moral encargada de un fideicomiso) de garantizar la utilización prudente de los fondos asignados al programa.
• Las organizaciones gastan un promedio del 5,6 por ciento del presupuesto total de TI en seguridad de TI y gestión de riesgos.
• Uno de los principales desafíos para un CISO es identificar fuentes de financiación para un

programa de seguridad de la información.

• La mayoría de las solicitudes de presupuesto van acompañadas de un análisis del ROI (Retorno de la Inversión.

• El simple hecho de proporcionar un retorno de la inversión bien definido sólo a veces garantiza el éxito. Al acercarse a la alta dirección y a su equipo financiero en busca de financiación, existen varias consideraciones adicionales.

• La mejor manera de acercarse a la alta dirección para financiar su programa de ciberseguridad es explicar los gastos utilizando un enfoque de retorno de la inversión.

[pic 5][pic 6]

[pic 7]

[pic 8][pic 9][pic 10][pic 11][pic 12][pic 13]

[pic 14]

Estimación de Recursos en Nuevos Proyectos[pic 15]

[pic 16]

[pic 17]

Financiamiento de Contingencias[pic 18]

• Cartera de criptomonedas: si una organización decide pagar una solicitud de rescate como resultado de un ataque de ransomware, es prudente tener una cartera de criptomonedas. Establecer una billetera durante un evento podría llevar días.
• Declaraciones del plan de gestión de desastres: si una organización utiliza una instalación de recuperación de desastres contratada, a menudo se requiere una tarifa para activar el sitio. Las tarifas varían según el tamaño del contrato de recuperación de la organización. También se deben contabilizar los gastos de bolsillo incurridos por el equipo, que consisten en los socorristas que van al sitio de recuperación u otros lugares para reanudar el procesamiento crítico.
• Aumento de licencias: es común que las licencias de tecnología de seguridad aumenten con el tiempo. Por ejemplo, la cantidad de eventos monitoreados por segundo podría aumentar drásticamente, superando rápidamente los límites de la licencia de un producto de Gestión de eventos e información de seguridad (SIEM). Los aumentos en las nuevas contrataciones podrían aumentar el cargo por puesto para el software de seguridad de terminales. Los CISO deberían considerar estos y otros escenarios potenciales que impacten el presupuesto.

[pic 19]

Actualización Tecnológica[pic 20]

• Un ciclo de actualización de tecnología establece un proceso predecible para intercambiar tecnología antigua por activos nuevos cada pocos años. Muchos beneficios vienen con un ciclo de actualización tecnológica establecido que hace que el proceso valga la pena. Los CISO deben revisar la tecnología de su programa de SI de las siguientes tres maneras:
• Obsolescencia de la tecnología: los CISO deben asegurarse de confiar en algo más que tecnología de seguridad que haya superado su vida útil. Esto puede resultar en un mantenimiento costoso, una falta de recursos capacitados para respaldar la tecnología y la incapacidad de la tecnología para abordar las amenazas actuales.
• Innovación tecnológica: los CISO deben vigilar continuamente el panorama tecnológico de ciberseguridad en busca de formas innovadoras y efectivas de reducir el riesgo y mejorar su programa.
• Disminuir la tasa de fallas: el uso de tecnología que se ha mantenido dentro de su calificación de tiempo de falla es un enfoque para aumentar el tiempo de actividad de las funciones comerciales críticas.

[pic 21]

Estimación de Recursos en Nuevos Proyectos[pic 22]

• La estimación de recursos es una predicción estructurada del costo y otros recursos necesarios para realizar una tarea. Una de las funciones principales del proceso es establecer una base de control. Por lo tanto, cuanto más precisa sea la estimación, más fiable será el sistema de control.
• La precisión y el esfuerzo requeridos para la estimación de recursos pueden verse influenciados por la incertidumbre y el riesgo involucrados debido a la complejidad técnica y la novedad del proyecto.
• La base del precio esperado del contrato podría hacer que la estimación de recursos sea un factor crítico. Cuanto mayor es el riesgo, más importante resulta tener una estimación realista, lo que implica un proceso más detallado.
• Una vez que se comprende el paso requerido para el proyecto, se pueden asignar recursos para determinar cuánto tiempo llevará el proyecto y estimar los costos de recursos humanos y otros recursos.
• Un plan de recursos adecuadamente documentado especificará las cantidades exactas de

recursos humanos, equipos y materiales necesarios para completar el proyecto.

[pic 23]Obtención de Recursos Financieros[pic 24]

El programa de seguridad de la información puede financiarse a partir de varias fuentes y comprender estas fuentes puede ayudar a estructurar el presupuesto. Las fuentes pueden incluir contracargos del departamento, financiación de proveedores, cargos por servicios de valor añadido o un subsidio de marketing.

...