ROSI para justificar tus proyectos de Seguridad

por | Dic 15, 2021 | Gestión de la Seguridad, Implementando ISO 27001, Teletrabajo

Conoce esta herramienta para la toma de decisiones. ROSI te ayudará a justificar tus proyectos de Seguridad.

Una de las principales preocupaciones de los CIOs es poder justificar ante la alta dirección el retorno de la inversión en proyectos relacionados con TIC.
Ante este escenario, actualmente hay dos caminos:
El ROI y el ROSI, ambos indicadores de viabilidad financiera.
El primero (ROI) o retorno de inversión que determina la recuperación en el tiempo de una inversión, y el segundo:
(ROSI) que está específicamente orientado a inversiones relacionadas con proyectos de seguridad TIC.

¿Qué significan ROI y ROSI?

En artículos anteriores, hablamos de la administración de riesgos en las TIC con nuevos elementos que aparecieron en el 2020 derivado de la pandemia.

Los anteriores se suman a los tradicionales riesgos asociados a la tecnología, a las aplicaciones y a las personas.

En este artículo abordaremos un elemento adicional a este análisis: el financiero; imprescindible para una mejor toma de decisiones.
Con este enfoque, no analizamos sólo el punto de vista técnico, sino ahora, se agrega como variable adicional la conveniencia financiera y justificación de negocios para llevar a cabo o no una inversión en TIC.

Recuerda que estos artículos están basados en la Norma ISO 27001.

Si deseas conocer el grado de madurez de tu organización, accede al siguiente cuestionario en línea de ISO 27001.

Definiciones de ROI y ROSI

Riesgo asociado a la TIC

El riesgo siempre está asociado a la posible pérdida de un valor y es consecuencia de que una amenaza se materialice debido a una vulnerabilidad.

“exposición a una situación donde hay posibilidad de sufrir un daño o de estar en peligro”

Por lo que, aplicado a las TIC, se expresaría como “la situación en la que la infraestructura o aplicación tecnológica puede sufrir daño o estar en peligro”. 

ROI (Return on Investment)

Indicador financiero que nos muestra cuándo se recuperará la inversión en el tiempo derivado de una compra de cualquier elemento relacionado con TIC.

Ejemplo: Hardware, Software, Aplicaciones, Redes, Servicios profesionales, Coberturas de servicios y soporte, etc…

Lo anterior considerando el TOC (total ownership cost).

ROSI (Return on security investment)

En un nuevo indicador que nos muestra en términos porcentuales, la viabilidad de las inversiones para proyectos relacionados con Seguridad TIC y seguridad de la información.

En específico lo relacionado con la seguridad en la red, seguridad en la nube, seguridad de los dispositivos y ciberseguridad.

Aquí la relación de disminución de riesgo vs la inversión del proyecto es el indicador para evaluar. 

Usos del ROI y ROSI en la empresa.

Iniciemos recordando que los indicadores financieros, como ROI y ROSI, son herramientas muy útiles para la toma de decisiones con foco en los aspectos financieros.

Son de claves para dimensionar todo proyecto donde, dada la inversión y el impacto esperado en el negocio, necesitemos una justificación financiera que ofrezca mayor solidez al mismo y sea también complementaria a la de los aspectos tecnológicos, de operación y de procesos de implementación del proyecto.

Con lo anterior, las áreas financieras tendrán elementos sólidos estándares y cuantitativos, para conocer el impacto monetario de dichas inversiones en el tiempo (ROI).

Se utiliza como un indicador en términos porcentuales, que cuantifica una justificación de la erogación planeada en proyectos de seguridad TIC (ROSI)

Donde usar ROI

Es muy conocido y utilizado el ROI, por lo que todo líder de TIC debería solicitar y colaborar con sus socios tecnológicos externos e internos.

La idea es cuantificar este indicador en proyectos tales que, por los montos o impactos, sea requerida una aprobación de la alta dirección, llámese la financiera, la de administración o de la misma dirección general. 

Cabe destacar que el uso y manejo de este indicador, permite que el CIO, pueda tener una “conversación” en los términos de su contraparte.

Esto le da la posibilidad de saber con mayor certeza en cuánto tiempo se recuperaría la inversión del proyecto en cuestión.

Por lo que se relega el hacer presentaciones donde predominen los “bits, bytes, híper…, R/R, etc.…”

El objetivo es exponer en términos simples de “pesos y centavos en función del tiempo”

Esto es, cuándo se espera recuperar la inversión cuando esta se le compara contra los beneficios económicos y ahorros pronosticados.

Donde usar ROSI

Recientemente, y bajo un enfoque similar, aparece un indicador para proyectos de seguridad TIC.

Debido a que esta área es en donde se prevé una necesidad imperiosa de inversiones en estos tiempos de pandemia, se necesitan indicadores que den mayor solidez a la toma de decisiones de la alta dirección para proyectos enfocados a reforzar la estrategia de seguridad de la información.

Son, al fin y al cabo, proyectos para maximizar la disponibilidad de las operaciones del negocio.

En base a lo anterior, y en estos tiempos de pandemia, se inicia a usar más comúnmente este indicador para dar a las áreas de negocio de las empresas un dato que justifica, con la disminución porcentual del riesgo, la conveniencia de hacer o no una inversión.

Cualquier indicador mayor a 90% (considerado como el break-even), nos muestra la conveniencia de llevar a cabo un proyecto de seguridad TIC.

Este indicador, requiere para su cálculo la determinación de las siguientes variables:

         La disminución esperada del riesgo y el riesgo expuesto.

Ambas variables, están en función de la probabilidad de que aparezcan eventos catastróficos o eventos que afecten e impidan la operación de las TIC.

Las potenciales pérdidas económicas causadas por dichos eventos que produzcan la inoperatividad de las aplicaciones relacionadas al negocio, ej. Facturación, órdenes, inventarios, CxP, Nómina, CRM, correo… etc.

Ejemplo de cálculo ROSI

El siguiente ejemplo esta relacionado con el servicio de Caja Fuerte antiransomware que puedes encontrar en este sitio:

https://antiransomware.solutions/

Esta es la versión más sencilla de la formula; sin embargo, es muy ilustrativa y puedes aplicarla a cualquiera de tus proyectos de seguridad.

Ejercicio ROSI

Conclusiones y recomendaciones

Los socios tecnológicos con experiencia y foco en la implantación de proyectos de seguridad podrán dar mayores detalles y asesoría al respecto.

Dada su natural inclinación a la alineación de proyectos TIC con objetivos de negocio, serán tu “brazo aliado” para preparar la información financiera requerida para presentar a la alta dirección proyectos de seguridad TIC.

El objetivo es cuantificar el impacto en el negocio y la reducción del riesgo de inoperatividad al implementar las soluciones correctas.

Es decir, autorizadas y probadas técnicamente, y ahora con estas herramientas financieras, también autorizadas y evaluadas con enfoque de negocios.

Los CIO de vanguardia, ahora deben agregar el dominio de variables financieras y administrativas a sus proyectos clave.

El resultado te convertirá del líder “técnico” de cabecera, al líder tecnológico con foco en cubrir satisfactoriamente necesidades técnicas y del negocio.

Esta adopción te permitirá hablar el lenguaje característico de sus contrapartes o pares y hacia la alta dirección.

Moraleja: no sólo de bytes vive el CIO.

1 Comentario
  1. Mabel Alarcón

    Excelentes Informes.

    Muy agradecida.

    Mabel Alarcón B.

    Responder
Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Tecnologías TIC Relacionadas

En otros artículos profundizaremos en cada una de las sub-cláusulas o subíndices , ubicando tecnologías TIC y recomendaciones.  Sin embargo, podemos adelantar que debes de considerar ahora mismo:

Como última recomendación, pero no menos importante que la tecnología apropiada, es buscar a Consultores especialistas en Tecnologías de Información que te apoyarán a facilitar el camino y marcar la diferencia.

conclusiones

Debido a los miles de ataques informáticos o Ciberataques, el Foro Económico Mundial ha determinado que la Ciberseguridad es un elemento que debe ser mandatorio en todas las organizaciones. La Ciberdelincuencia un riesgo para la Humanidad de proporciones semejantes a la falta de agua, clima, economía y pandemias.

Implementar planes basados en la Norma ISO 27001, Anexo A, 14 dominios y 114 Controles para la Protección de la Seguridad es una estrategia obligada para aquellas empresas que quieren preservarse en el mercado en base a su agilidad, flexibilidad y resiliencia.

En futuras publicaciones, abordaremos detalles específicos de los diferentes controles de seguridad y tecnologías asociadas.

No dejes de revisar nuestros artículos y suscríbete para recibir ideas de cómo proteger la información de tu empresa.

Cuestionario ISO 27001 en línea sin costo
Cuestionario ISO 27001 en línea sin costo

Artículos relacionados ISO 27001

Share This

Comparte

Con tus Colegas y Amigos