Si alguna vez has jugado al ajedrez, sabes que cada movimiento que hagas tiene que ser el mejor. En cierto modo, es un dolor palpable; después de todo, ¿quién elegiría hacer un mal movimiento en lugar de uno mejor? — pero ilustra un concepto importante.
Específicamente, la razón central de su plausibilidad es que cada movimiento individual en un juego como el ajedrez tiene un «costo de oportunidad» asociado. Tomar un movimiento subóptimo significa perder la oportunidad de hacer algo mejor: por ejemplo, un movimiento ganador del juego que podría haber hecho pero no lo hizo.
La razón por la que menciono esto es porque construir un programa de seguridad es idéntico en muchos aspectos. No tenemos recursos ilimitados (dinero, tiempo y atención). Es un cliché, pero significa que todo lo que hacemos se produce a expensas de otras cosas, cosas en las que podríamos haber gastado nuestros recursos pero no lo hicimos.
Tabla de Contenidos
mejor reducción de riesgos
En el contexto de los controles o contramedidas de seguridad, esto significa que cuando implementamos algo que tiene un rendimiento deficiente, que es costoso de operar y mantener, o que no es óptimo, hay muchas otras cosas que podrían haber tenido más reducciones que no implementamos impacto de riesgo . Este es el «costo de oportunidad».
Hoy en día, la mayoría de las organizaciones no piensan en sus controles de seguridad de esta manera. Sin embargo, recuerde que el buen gobierno, en este caso, el gobierno de los esfuerzos de seguridad cibernética, se trata de garantizar que las partes interesadas obtengan el máximo valor de las decisiones que toma.
En este caso, el valor proviene de asegurarse de utilizar los recursos de la manera más eficiente para mitigar el riesgo.Un elemento que a menudo veo que falta en este campo es comprender los pasos prácticos necesarios para evaluar los programas de seguridad de esta manera: tengo escribió antesCon esto en mente, he decidido delinear un proceso relativamente simple que los profesionales pueden seguir para comprender, evaluar y optimizar sus esfuerzos de seguridad utilizando un enfoque económico.
Cultiva una calculadora interna
Lo primero que debe hacer es comprender dos cosas: el perfil de riesgo de su entorno y la huella de consumo de recursos de sus contramedidas. Esto es más difícil de lo que parece.
Esto es difícil porque la gestión de riesgos formal no es algo en lo que muchas organizaciones sean buenas. En este caso, sin embargo, es fundamental porque necesita comprender hasta cierto punto exactamente cuál es el impacto del riesgo de los controles existentes, o cuál es su impacto en los controles que podría considerar adoptar, para que pueda estar seguro de cuánto riesgo se reduce a reducir los costos unitarios de inversión.
También es un desafío porque muchos programas de seguridad no rastrean los costos continuos (huella de consumo de recursos) asociados con la adquisición, operación y mantenimiento de los controles que implementan.
Es beneficioso observar el costo total de propiedad de un control porque al hacerlo se obtiene una imagen completa del uso de recursos. En combinación con la información de riesgo que recopila, puede tomar decisiones sobre el mejor uso de los recursos.
¿Cómo puedes empezar a hacer esto? La primera parte es fácil. Si aún no lo ha hecho, comience con algún enfoque formal para la gestión de riesgos, al menos la fase de evaluación y medición. El objetivo de esta sección es obtener una comprensión clara de los riesgos que existen en su entorno y el impacto de sus controles para mitigar esos riesgos.
La realidad del campo es que la gestión de riesgos es algo que sabemos que deberíamos estar haciendo, pero es una de las primeras cosas que se suspenden cuando el tiempo y los plazos son ajustados y hay un incendio que apagar. De todos modos, es una buena práctica, de hecho, en algunas industrias se requiere para el cumplimiento, lo que significa que ya sea que lo esté utilizando para esto u otro, hacerlo casi seguramente proporcionará valor.
La segunda parte, comprender el costo total de propiedad de los controles, es un poco más difícil porque muchas organizaciones no están acostumbradas a ver los controles de esta manera. Idealmente, queremos saber el costo total de propiedad de lo que tenemos ahora y las futuras inversiones que podamos hacer.
En la práctica, sin embargo, es posible que alguna información (por ejemplo, datos sobre controles comprados en el pasado) no esté disponible. Entonces, para los controles existentes, concéntrese en los recursos necesarios para operarlos. Considere cualquier costo, como licencias, soporte, hardware o uso de la nube, etc. Además, recopile información sobre los recursos de personal utilizados para respaldar cada control. El objetivo es crear una imagen completa, incluidos el dinero y el tiempo, del costo de cada control.
Decisiones dificiles
Una vez que tenga esta información, puede comenzar a usarla para ayudar a guiar su planificación. La utilidad más inmediata está en la elaboración de presupuestos y la planificación de eventos futuros. Con la información de riesgo por un lado y los costos de utilización de recursos de la mitigación por el otro, es relativamente simple comprender cuánto valor de mitigación de riesgo obtendrá de una inversión en particular en comparación con lo que obtendría por otros medios.
Esto es ciertamente útil, pero el valor de la práctica es mucho más que eso. Específicamente, puedes hacer dos cosas con él. El primero es saber cuándo alejarse de inversiones costosas que no brindan un gran valor. Dependiendo de la implementación de un control dado, se puede lograr el mismo resultado a lo largo del tiempo por medios más rentables o que requieran menos recursos humanos.
Es natural que esto suceda: las circunstancias cambian, la tecnología cambia y la forma en que las empresas adoptan la tecnología cambia. Por lo tanto, una implementación que tiene mucho sentido y es inicialmente muy eficiente (significativamente menos riesgo por dólar gastado) puede erosionar su valor con el tiempo.
En algún momento, el costo de mantener ciertos controles superará el costo de introducir un nuevo control que haga lo mismo (incluso teniendo en cuenta el costo de adquisición, el costo del primer año, que puede ser mucho mayor).
Esto significa que es posible que deba tomar algunas decisiones difíciles. Por ejemplo, puede concluir que una determinada herramienta, sistema, control o contramedida proporciona menos valor del que podría recibir a través de otros métodos o proveedores de servicios. En el lado positivo, tiene la información para usar los recursos de manera más eficiente. En el lado negativo, puede exponer decisiones difíciles y forzarlo a discusiones potencialmente incómodas.
Este enfoque definitivamente toma un tiempo para acostumbrarse. Dicho esto, comprender el costo de oportunidad puede proporcionar un gran valor a medida que busca optimizar lo que hace para abordar el riesgo en su organización.
Las opiniones expresadas en este artículo pertenecen al autor y no reflejan necesariamente las de ECT News Network.