banner

Expresar las vulnerabilidades en clave financiera puede ser el éxito de las Auditorias de Seguridad

Una de las tareas más arduas a las que se suelen enfrentar los profesionales de la Seguridad de la Información suele ser la justificación de la inversión necesaria para mantener un adecuado nivel de seguridad, y pocas son las veces, que se dispone de un claro ejemplo, de lo que puede suponer para una empresa, sufrir un incidente de seguridad en sus Sistemas.

La mayoría de las veces, la justificación de la inversión en Seguridad de la Información, no es recibida muy bien por la Dirección, quien suele guiarse por valores numéricos en términos de economía, y poco entiende de las amenazas potenciales, las vulnerabilidades o los múltiples vectores de ataque que existen.

Por ello, el éxito de una Auditoria de Seguridad de la Información es la adecuada presentación de los resultados obtenidos en términos ejecutivos o de alta dirección, por ello se recomienda dejar de lado los términos técnicos, para dar paso a la explicación más coloquial de los problemas (vulnerabilidades, o deficiencias encontradas durante los trabajos).

Por ello, creo especialmente útil, la exposición del caso SONY como un ejemplo de la necesidad de invertir en Seguridad de la Información y el ahorro sustancial de costes que le "puede" suponer a cualquier empresa (sobre todo cuanto mayor es la empresa, y mayor es su reputación). 

A este respecto, la empresa http://www.veracode.com/ ha puesto a nuestra disposición la explicación del caso SONY, de forma numérica y en términos económicos financieros: 

Sony PSN hack
Infographic by Veracode Application Security

Este ejemplo, sintetiza y resume todo muy bien. Muestra en una sola imagen, el coste de un ataque (COST OF ATTACK - COA), que dependiendo de la empresa podría, incluso, llegar a suponer "la quiebra técnica de una empresa".

Cost of Attak - SONY Case.

En la imagen anterior, se muestra como cae el valor de SONY conforme se van conociendo los echos del incidente de Seguridad, y el coste que le va suponiendo a la empresa el ataque que ha sufrido, por ello, si conseguimos adaptar, según el tamaño de la empresa, los costes asociados a un ataque "informático", se puede llegar a presentar los resultados de cualquier auditoria en base al COA (Cost of Attack), que será mucho mejor recibido por la Dirección y podría suponer el éxito o el fracaso de una auditoria de Seguridad.

#Tips #SecurityAudits

Un Saludo.

Referencia | Pinterest mmdelrio

No hay comentarios :

Publicar un comentario en la entrada