Cada cierre de presupuesto se repite la misma escena en las organizaciones con las que trabajamos. El responsable de seguridad prepara su pedido para el programa de concientizaci\u00f3n, lo presenta con tasas de clic y cursos completados, y el director financiero escucha con cortes\u00eda antes de aprobar el m\u00ednimo. El CFO entiende el riesgo. Lo que no recibe es una cifra en el idioma que habla todos los d\u00edas para asignar capital.<\/p>\n
Dirijo el equipo de ingenier\u00eda de SMARTFENSE y me toca pensar c\u00f3mo los datos del programa llegan a quien decide. Desde ese lugar veo que el problema rara vez est\u00e1 en el monto pedido. Est\u00e1 en el idioma. El responsable de seguridad habla de comportamiento y el CFO razona en p\u00e9rdidas esperadas, retorno y costo evitado. Mientras el pedido no se traduzca a esa moneda, compite en desventaja contra cada proyecto que s\u00ed lleg\u00f3 expresado en euros.<\/p>\n
Te cuento c\u00f3mo cuantificar el riesgo humano en lenguaje financiero, qu\u00e9 condiciones tiene que cumplir el dato para que el CFO lo tome en serio, y por qu\u00e9 el miedo es el peor argumento posible para sostener una l\u00ednea de presupuesto.<\/p>\n
Porque una tasa de clic no es una cifra financiera. El CFO ordena cada pedido de la organizaci\u00f3n comparando el capital que consume contra el valor que devuelve, y para eso necesita n\u00fameros en la misma unidad. Un porcentaje de comportamiento lo obliga a hacer \u00e9l mismo la conversi\u00f3n a dinero, y casi nunca tiene el contexto para hacerla bien.<\/p>\n
Cuando el pedido de concientizaci\u00f3n llega como \u201cbajamos la tasa de clic a la mitad\u201d, el CFO no sabe cu\u00e1nto vale ese cambio. No porque no lo entienda, sino porque nadie le dijo cu\u00e1nto riesgo monetario representa cada punto. El pedido de la unidad de negocio que est\u00e1 al lado, en cambio, ya viene con su retorno calculado. La decisi\u00f3n se inclina sola hacia el que hizo el trabajo de traducci\u00f3n.<\/p>\n
El responsable de seguridad suele leer ese desenlace como falta de compromiso del comit\u00e9 con la ciberseguridad. Mi lectura, desde el lado de los datos, es m\u00e1s simple. El comit\u00e9 asigna lo que puede comparar, y un programa descrito en m\u00e9tricas de actividad es justamente lo que no se puede comparar contra el resto del presupuesto.<\/p>\n
Ah\u00ed aparece el primer error de encuadre. Mientras el pedido viaje con la etiqueta de concientizaci\u00f3n, el comit\u00e9 lo archiva como un gasto de actividad que se repite cada a\u00f1o. La gesti\u00f3n del riesgo humano (Human Risk Management) plantea otra cosa. Trata el comportamiento de las personas como un riesgo medible, que se gestiona y se reduce con un n\u00famero que el CFO puede seguir trimestre a trimestre. Cambiar la etiqueta hace trabajo real, porque mueve la conversaci\u00f3n del terreno de la actividad al del riesgo, que es donde el CFO asigna capital.<\/p>\n
Cuantificar el riesgo humano en lenguaje financiero es expresar la exposici\u00f3n de la organizaci\u00f3n a los errores de sus colaboradores como una p\u00e9rdida monetaria esperada. Es la probabilidad de que ocurra un incidente originado en una persona, multiplicada por el costo estimado de ese incidente, y la forma en que ese n\u00famero se mueve cuando se invierte en el programa.<\/p>\n
No es un ejercicio de precisi\u00f3n contable. Nadie espera que el responsable de seguridad acierte el costo exacto de una brecha que todav\u00eda no pas\u00f3. Lo que el CFO necesita es direcci\u00f3n y orden de magnitud: si estamos hablando de una exposici\u00f3n de decenas de miles o de varios millones, y si la inversi\u00f3n propuesta mueve ese n\u00famero de forma material o marginal.<\/p>\n
La diferencia con el reporte habitual es de marco. El informe operativo describe lo que pas\u00f3 en la \u00faltima campa\u00f1a. La cifra financiera describe lo que est\u00e1 en juego hacia adelante y lo que cambia seg\u00fan la decisi\u00f3n que se tome en esa reuni\u00f3n. Una mira al espejo retrovisor, la otra al parabrisas, y el CFO conduce mirando al frente.<\/p>\n
La traducci\u00f3n tiene cinco pasos, y ninguno exige inventar datos. Exige conectar los que ya tienes con una fuente de costo cre\u00edble.<\/p>\n
Ninguno de estos pasos requiere un modelo financiero sofisticado. Requiere disciplina para no saltarse la traducci\u00f3n y para no rellenar con cifras inventadas los huecos donde falta dato.<\/p>\n
Se pide mostrando el costo de no decidir, no la cat\u00e1strofe. El miedo consigue una aprobaci\u00f3n puntual el d\u00eda que hubo un titular sobre un ataque, y se evapora al ciclo siguiente. Un contrafactual cuantificado consigue algo m\u00e1s valioso, que es una l\u00ednea de presupuesto que se sostiene aunque no haya pasado nada grave ese trimestre.<\/p>\n
La pregunta que m\u00e1s mueve la aguja deja de lado el \u201c\u00bfqu\u00e9 pasa si nos atacan?\u201d y apunta a otra cosa, \u201c\u00bfc\u00f3mo evoluciona nuestra p\u00e9rdida esperada si no hacemos nada durante el pr\u00f3ximo a\u00f1o?\u201d. Esa proyecci\u00f3n obliga a tratar la gesti\u00f3n del riesgo humano como un activo que se deprecia si no se mantiene, y le da al CFO exactamente el tipo de razonamiento con el que est\u00e1 c\u00f3modo. El costo de la inacci\u00f3n, puesto en n\u00fameros, pesa m\u00e1s que cualquier escenario dram\u00e1tico.<\/p>\n
Construir ese argumento es un trabajo de caso de negocio, no de alarma. Si quieres profundizar en c\u00f3mo se arma el respaldo de la alta direcci\u00f3n sin apoyarse en el susto, escribimos sobre c\u00f3mo obtener el apoyo de la alta direcci\u00f3n con casos de negocio<\/a>. La l\u00f3gica es la misma que sostiene cualquier inversi\u00f3n: comparar el costo de actuar contra el costo de no hacerlo.<\/p>\n Toda esta traducci\u00f3n se cae si el n\u00famero de partida llega viejo o cuesta una semana de trabajo armarlo. Para que el responsable de seguridad pueda sentarse frente al CFO con una p\u00e9rdida esperada defendible, necesita tres cosas del programa: un riesgo humano agregado que se actualice solo, la capacidad de proyectar ese n\u00famero hacia adelante, y la posibilidad de responder una pregunta nueva en la misma reuni\u00f3n sin volver a la planilla.<\/p>\n Esa frescura del dato es un problema de plataforma antes que de criterio. Sobre el primer punto, qu\u00e9 medir para llegar a un riesgo humano agregado que tenga sentido, ya escribimos en detalle: vale leer si tu programa de awareness est\u00e1 midiendo lo que importa<\/a>. Sobre el segundo, c\u00f3mo ese dato llega fresco al comit\u00e9 sin cuatro horas de tablas din\u00e1micas, lo contamos desde la ingenier\u00eda en por qu\u00e9 el informe de awareness llega tarde al comit\u00e9<\/a>.<\/p>\n Esa capa de respuesta en vivo la resolvemos en SMARTFENSE con una funcionalidad que llamamos Insight Agent, hoy en etapa de early adopters. Permite formular en lenguaje natural la pregunta que el CFO acaba de hacer y obtener la cifra y su sensibilidad sin rearmar el reporte. El protagonista de esta conversaci\u00f3n sigue siendo la traducci\u00f3n del riesgo a dinero, que es criterio humano. La plataforma solo se ocupa de que el n\u00famero que sostiene esa traducci\u00f3n est\u00e9 disponible cuando hace falta y no dos semanas despu\u00e9s. Si quieres verlo sobre tus propios datos, escr\u00edbenos para sumarte al programa<\/a> o conoce el resto de la plataforma<\/a>.<\/p>\n El responsable de seguridad que sale del comit\u00e9 con menos presupuesto del que pidi\u00f3 rara vez perdi\u00f3 por falta de argumentos t\u00e9cnicos. Perdi\u00f3 porque present\u00f3 en una moneda que el CFO no usa para asignar capital. Traducir el riesgo humano a p\u00e9rdida esperada no garantiza un s\u00ed. Pero pone la conversaci\u00f3n en el \u00fanico terreno donde el s\u00ed es posible.<\/p>\n \u00bfQu\u00e9 es cuantificar el riesgo humano en lenguaje financiero?<\/strong> \u00bfPor qu\u00e9 el CFO no aprueba presupuestos de concientizaci\u00f3n presentados con tasas de clic?<\/strong> \u00bfQu\u00e9 fuente usar para estimar el costo de un incidente?<\/strong> \u00bfC\u00f3mo se pide presupuesto de ciberseguridad sin recurrir al miedo?<\/strong> C\u00f3mo traducir el riesgo humano a lenguaje financiero para que el CFO apruebe el presupuesto de concientizaci\u00f3n, sin recurrir al miedo. Por el CTO de SMARTFENSE.<\/p>\n","protected":false},"author":4,"featured_media":42812,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[3,198],"tags":[222,189,2280,2275,1903,1904,2077],"class_list":["post-42814","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog","tag-awareness-es-ar","tag-ciso-es-ar","tag-gestion-del-riesgo-humano","tag-presupuesto","tag-programa-de-concienciacion-es-ar","tag-reporting-en-tiempo-real-es-ar","tag-riesgo-humano"],"acf":[],"yoast_head":" \n\u00bfQu\u00e9 datos de la plataforma sostienen esa conversaci\u00f3n?<\/h2>\n
\nPreguntas frecuentes<\/h2>\n
\nEs expresar la exposici\u00f3n de la organizaci\u00f3n a los errores de sus colaboradores como una p\u00e9rdida monetaria esperada: la probabilidad de un incidente originado en una persona multiplicada por su costo estimado, y c\u00f3mo ese n\u00famero cambia con la inversi\u00f3n en el programa de gesti\u00f3n del riesgo humano.<\/p>\n
\nPorque una tasa de clic no est\u00e1 en la unidad que el CFO usa para comparar pedidos. Asigna capital comparando costo contra valor devuelto, y un porcentaje de comportamiento lo obliga a traducir a dinero sin el contexto para hacerlo. El pedido que llega ya convertido a p\u00e9rdida evitada compite mejor.<\/p>\n
\nConviene anclar el costo a un informe p\u00fablico y neutral, como el Cost of a Data Breach de IBM o el Verizon Data Breach Investigations Report, eligiendo el valor del sector y la regi\u00f3n que correspondan. Una fuente externa reconocida genera m\u00e1s confianza que una cifra interna.<\/p>\n
\nMostrando el costo de no decidir en lugar de la cat\u00e1strofe. Un contrafactual cuantificado, cu\u00e1nto crece la p\u00e9rdida esperada si no se invierte durante el pr\u00f3ximo ciclo, sostiene una l\u00ednea de presupuesto estable, mientras que el miedo solo consigue aprobaciones puntuales que se evaporan al trimestre siguiente.<\/p>\n","protected":false},"excerpt":{"rendered":"