Este post tiene por objetivo clarificar el panorama a los encargados de tomar las decisiones en cuanto al retorno de la inversión en seguridad (ROSI) respecto a la realización de campañas de capacitación y concientización.
ROI vs. ROSI
Vamos a comenzar aclarando un concepto importante al momento de invertir y cómo se mide el retorno de una inversión en seguridad (ROSI).Éste deriva de la forma genérica del retorno de la inversión (ROI), que es un término que relaciona la inversión en un proyecto con los beneficios económicos que este traerá. Esto quiere decir que en un plazo dado se ganará dinero en función de la inversión. Generalmente la fórmula para su cálculo es la siguiente:
ROI = (Beneficio – Inversión) / Inversión * 100
Ejemplo: Si se va a invertir 3 mil dólares y el proyecto traerá un beneficio económico de 7 mil dólares en el plazo de 1 año, el mismo es económicamente viable. Fórmula para el ejemplo: (7000 – 3000) / 3000 * 100 = 133 %. Es decir que para este caso planteado se espera un retorno de inversión del 133 %.Ahora bien, en el caso del ROSI, si bien la fórmula conserva la forma del cálculo del ROI, los indicadores son diferentes porque cuando analizamos una inversión en seguridad no buscamos un aumento en los ingresos, sino más bien una disminución del riesgo al que están expuestos los principales procesos de negocio. Entonces empleamos la siguiente fórmula:
ROSI = (Riesgo Disminuido – Inversión) / Inversión * 100
En resumen, mientras que el ROI evalúa cuánto dinero se ganará por realizar una inversión, el ROSI evalúa cuánto dinero se dejará de perder o el impacto económico que se evita ante un incidente de seguridad.
Cómo obtener el punto de mayor ROSI
El gran factor a tener en cuenta para obtener el punto de mayor ROSI en las inversiones de capacitación en seguridad es determinar el nivel de conocimiento a alcanzar por parte de los usuarios para que sea lo suficientemente bueno respecto al menor costo posible.
Como se observa en el gráfico de SANS Institute: «El eje X representa la cantidad de esfuerzo que se pone para que los usuarios finales tengan hábitos más seguros y aumenten su nivel de conocimiento”. Cuanto más tiempo, recursos y esfuerzo se invierte, más conscientes de la seguridad serán. En el extremo izquierdo es donde están hoy la mayoría de los empleados, totalmente inconscientes e inseguros. Esto no es porque sean inferiores, esto es porque nadie ha tomado el tiempo para entrenarlos. En el extremo derecho está la comunidad de seguridad, altamente capacitada y consciente.
El eje Y mide el retorno de la inversión de su organización. El punto más alto donde se obtiene el mayor retorno deberá ser su objetivo (Goal). Si se invierte poco esfuerzo, sus empleados seguirán siendo un gran punto de riesgo (donde la mayoría de las organizaciones se encuentran hoy en día). En el extremo opuesto si se invierte demasiado, se estará entrando en excesos innecesarios. Por alguna extraña razón muchas personas esperan que los programas de sensibilización de seguridad conviertan a los usuarios finales en expertos en seguridad (Security Geeks), y esto es ridículo.
También se deberá analizar la disminución del riesgo, es decir cada vez que ocurre un incidente de seguridad la empresa pierde dinero y cuantificarlo ayuda a analizar la viabilidad económica de la inversión. Es por eso que es importante conocer y estimar previamente los costos directos, indirectos y ocultos de los incidentes producidos por usuario.
El gran reto con la concientización en seguridad es determinar un punto medio, donde el nivel de conocimiento sea lo suficientemente bueno, a la vez que se obtenga el mayor ROSI, y esto es diferente para cada organización. Entonces, ¿de qué manera o qué herramienta puede colaborar en hacer más rentable nuestra inversión?
Uso de CBT (Computer-Based Training)
Los líderes empresariales deben reconocer que el panorama general de la ciberseguridad se está tornando cada vez más peligroso. La cantidad de ciberdelincuentes en todo el mundo está creciendo y sus tácticas y capacidades evolucionan y maduran con el tiempo. Los programas de concientización sobre seguridad deben estar constantemente actualizados y representan una herramienta crítica para mantenerse a la vanguardia de estas amenazas.
Por todos estos motivos sin duda el uso de CBT (Computer based Training) especializados en information security awareness responden nuestra pregunta anterior. Este tipo de plataformas facilita el proceso de capacitación constante ya que es automatizado, reduce tiempos y costos de preparación de contenidos de las campañas y además brinda las métricas en tiempo real para mantenernos informados del estado general y así poder realizar los ajustes necesarios para encontrar el punto medio donde el nivel de conocimiento sea lo suficientemente bueno
Conclusión
El uso de CBT enfocados en llevar al usuario al nivel justo de conocimiento y conciencia proporcionará rentabilidad positiva sobre la inversión tanto a corto como a largo plazo. La tendencia de las amenazas de seguridad es que sean cada vez mayores y más sofisticadas (phishing y ransomware a la cabeza), por lo que cuanto antes se invierta en este tipo de soluciones de capacitación y awareness, más rápido se reducirán los costos directos, indirectos y ocultos (tema para un próximo post) de los incidentes en seguridad y se obtendrá un mayor retorno de la inversión.
Deja una respuesta