¿Existen buenos recursos o buenas prácticas sobre cómo estimar el costo de implementar medidas de seguridad en una empresa? Mi propósito es justificar ante la gerencia que necesitan gastar esta cantidad para reforzar la seguridad de nuestra empresa en nuestra industria. Creo que algún tipo de herramienta de gestión de riesgos estandarizada puede ayudar. ¿O hay algún informe de investigación de la industria por ahí que ya ilustra una cantidad estimada para cada industria en el mercado? gracias
Creo que la forma más precisa es llevar a cabo una evaluación de riesgos.
Por ejemplo, calcule el valor de cada activo que desea proteger dentro de su empresa. El valor es el valor para su empresa, no solo el precio para comprarlo en primer lugar. Por ejemplo, el costo de implementación, el costo de los datos, el valor para los propietarios y los usuarios, y el valor que tiene para los atacantes.
Calcule el SLE (Expectativa de pérdida única) para cada activo:
SLE = value of asset * exposure factor
El factor de exposición es el porcentaje de pérdida que tendría una amenaza realizada.
Luego calcule la ALE (Expectativa de pérdida anualizada):
ALE = SLE * annual rate of occurrence (ARO)
ARO es el número de veces que se produce una amenaza por año (1 por una vez al año, 0.5 por una vez cada dos años, 2 por dos).
La adición de estos debería darle su presupuesto por año que debe gastar en seguridad. No tiene sentido pagar más para prevenir que el costo para su empresa si ocurren.
Consulte el artículo de Wikipedia sobre administración de riesgos de TI para conocer los métodos formales y el software que puede ayudar con esto.
La seguridad tiene que ver con la prevención de pérdidas, no con las ganancias .
Hay muchos informes sobre cómo calcular el ROI (Retorno de la inversión) para una empresa (incluso vi un doctorado en eso), pero esto generalmente termina con una mano salvaje y sigo esperando, después de ejecutar los presupuestos de $ MM, para alguna fórmula mágica que le diría a la gerencia que la inversión vale el precio.
Lamento no tener una respuesta que tenga esa fórmula clara, pero no es probable que la encuentres. Sin embargo, las empresas que tienen un camino corto entre TI y las ganancias pueden encontrar algunos enlaces razonables. Podría argumentar que si realiza x $ / s, un tiempo de inactividad de N segundos significa N*x $ pérdida. Una solución de protección de DDos le costará esto y lo otro, por lo que si espera ser DDoSed (esto no cuesta mucho), entonces la inversión tal vez valga la pena.
Encontrará informes que indican que una intrusión le cuesta a una empresa cualquier cantidad de dólares. Esto es cierto para los costos directos (es decir, usted tiene que pagar multas legales) pero no tiene en cuenta (o, en el otro lado del espectro, exagerando en gran medida) los costos colaterales. Poner un valor en dólares junto a la pérdida de confianza tampoco es fácil.
Esto quiere decir que puede buscar en Google algunos informes ( ENISA tiene una buena introduction ) pero las discusiones sobre el presupuesto sobre seguridad son generalmente una danza del vientre.
Lea otras preguntas en las etiquetas risk-management