Aunque existe una mayor conciencia sobre las amenazas a la ciberseguridad que nunca, cada vez es más difícil para los departamentos de TI obtener la aprobación de sus presupuestos de seguridad. Los presupuestos de seguridad parecen reducirse cada año y constantemente se pide a los profesionales de TI que hagan más con menos. Aun así, la situación puede no ser desesperada. Hay algunas cosas que los profesionales de TI pueden hacer para mejorar las posibilidades de que se aprueben sus presupuestos de seguridad.
Presentar el problema de una manera convincente
Si desea que se apruebe su presupuesto de seguridad propuesto, deberá presentar los problemas de seguridad de manera convincente. Si bien aquellos que están a cargo de las finanzas de la organización probablemente estén conscientes de la necesidad de una buena seguridad, probablemente también hayan visto suficientes ejemplos de «una solución de seguridad en busca de un problema» para hacerlos escépticos sobre las solicitudes de gastos de seguridad. Si desea persuadir a quienes controlan el dinero, deberá convencerlos de tres cosas:
- Está tratando de protegerse contra un problema real que presenta una amenaza creíble para el bienestar de la organización.
- Su solución propuesta será efectiva y no es solo un «juguete nuevo para que juegue el departamento de TI»
- Su solicitud de presupuesto es realista y justificada.
Utilice los datos a su favor
Una de las mejores formas de convencer a los que están a cargo de que existe una amenaza cibernética creíble contra la organización es proporcionarles métricas cuantificables. No recurra a recopilar estadísticas de Internet. El personal financiero de su organización probablemente sea lo suficientemente inteligente como para saber que la mayoría de esas estadísticas son fabricadas por empresas de seguridad que intentan vender un producto o servicio. En su lugar, recopile sus propias métricas desde dentro de su organización mediante el uso de herramientas que están disponibles gratuitamente para su descarga.
Specops, por ejemplo, ofrece un Auditor de contraseñas gratuito que puede generar informes que demuestren la eficacia de la política de contraseñas de su organización y las vulnerabilidades de seguridad de contraseñas existentes. Esta herramienta gratuita también puede ayudarlo a identificar otras vulnerabilidades, como cuentas que usan contraseñas que se sabe que se filtraron o contraseñas que no cumplen con los estándares de cumplimiento o las mejores prácticas de la industria.
 |
| Ejemplo de resultados de Specops Password Auditor en un entorno de Active Directory |
Por supuesto, esta es solo una de las muchas herramientas de seguridad gratuitas que están disponibles para descargar. En cualquier caso, es importante utilizar métricas dentro de su propia organización para demostrar que el problema de seguridad que está tratando de resolver es real.
Resalte lo que haría una solución
Una vez que demuestre el problema a quienes están a cargo de las finanzas de la organización, no cometa el error de dejarlos adivinando cómo planea resolver el problema. Esté preparado para explicar claramente qué herramientas planea usar y cómo esas herramientas resolverán el problema que ha demostrado.
Es una buena idea usar imágenes para demostrar la practicidad de la solución propuesta. Asegúrese de explicar cómo se resuelve el problema en un lenguaje no técnico y mejore su argumento con ejemplos que sean específicos de su organización.
Tiempo estimado de implementación y visualización de resultados
Probablemente todos hemos escuchado historias de terror de proyectos de TI que se han descarrilado. Las organizaciones a veces gastan millones de dólares e invierten años de planificación en proyectos de TI que finalmente nunca se materializan. Siendo ese el caso, es importante tranquilizar a todos mostrándoles exactamente cuánto tiempo llevará poner en marcha la solución propuesta y luego cuánto tiempo adicional se necesitará para lograr el resultado deseado.
Cuando realice estas proyecciones, tenga cuidado de ser realista y de no hacer promesas basadas en un cronograma de implementación demasiado ambicioso. También debe estar preparado para explicar cómo llegó a su proyección. Tenga en cuenta los próximos proyectos, los objetivos de toda la empresa y los ideales del año fiscal cuando tenga en cuenta el tiempo.
Demostrar los ahorros estimados
Aunque la seguridad es, por supuesto, una preocupación para la mayoría de las organizaciones, los que están a cargo de las finanzas de una organización normalmente quieren ver algún tipo de retorno de la inversión. Como tal, es importante considerar cómo la solución propuesta podría ahorrarle dinero a la empresa. Algunas ideas pueden incluir:
- Ahorro de tiempo al departamento de TI, lo que reduce la cantidad de horas extra trabajadas
- Evitar una sanción reglamentaria que podría costarle mucho dinero a la organización
- Reducir las primas de seguros porque los datos están mejor protegidos
Por supuesto, estas son solo ideas. Cada situación es diferente y deberá considerar cómo su proyecto de seguridad puede producir un retorno de la inversión dadas sus circunstancias únicas. Es importante incluir un elemento de ahorro de costos en aras de la claridad, incluso si es citando el costo promedio de una violación de datos en su industria.
Demuestre que ha hecho su tarea con una comparación de precios
A medida que presente su solución propuesta, es casi seguro que las partes interesadas le preguntarán si podría haber un producto menos costoso que lograría sus objetivos. Como tal, es importante dedicar algún tiempo a investigar las soluciones que ofrecen los proveedores de la competencia. Aquí hay algunas cosas que debe estar preparado para demostrar:
- El costo total de implementar cada solución potencial (esto puede incluir costos de licencia, mano de obra, soporte y hardware)
- Por qué está proponiendo una solución particular, incluso si no es la menos costosa
- Si su solución es la menos costosa, prepárese para explicar lo que podría estar renunciando al usar el proveedor más barato.
- Qué ofrece cada proveedor en relación con los demás
Algunos consejos rápidos
A medida que haga su propuesta presupuestaria, tenga en cuenta que es probable que las personas a las que se presente tengan una comprensión limitada de los conceptos de TI. Evite el uso de jerga técnica innecesaria y prepárese para explicar claramente los conceptos clave, pero sin sonar condescendiente en el proceso.
También es inteligente anticipar cualquier pregunta que se le pueda hacer y tener las respuestas listas para usar. Esto es especialmente cierto si hay una pregunta en particular que te incomoda un poco.
Presente su información de manera clara, segura y concisa (es decir, ¡hágalo rápido!) para que pueda presentar su caso sin perder tiempo.