¿Cuáles son los métodos más eficaces para obtener fondos de seguridad dentro de una organización?

Navega tus respuestas
7

Un problema común cuando se trabaja en grandes organizaciones es obtener fondos para un programa de seguridad. Estos programas compiten contra otras unidades de negocios y diversos objetivos comerciales para obtener fondos, lo que crea un escenario común en el que el equipo de seguridad tiene que competir por los fondos dentro de una organización. En este escenario, ¿cuáles son algunos de los métodos más efectivos, formales o informales, para ayudar a un equipo de seguridad a competir para obtener financiamiento dentro de una organización?

Nota: no estoy buscando ideas generales de ventas, consejos para mantener los costos bajos (ya lo entiendo), o métodos basados en el miedo si se pueden evitar. Estoy buscando ejemplos específicos de lo que parece ser efectivo en este momento en el clima de negocios actual en todo tipo de organizaciones medianas a grandes e información que puede ser útil para ayudar a otros equipos de seguridad a financiar sus propios proyectos.

Las referencias o recomendaciones a libros u otros artículos son bienvenidas si han demostrado ser efectivas de esta manera.

Contexto adicional: Esto no es para un escenario u objetivo en particular ni es necesario para un presupuesto de artículo de línea específico (personas, hardware, otros). Estoy buscando sugerencias que ayuden a que los equipos de seguridad de TODAS las organizaciones, especialmente las que no cuentan con fondos suficientes, puedan obtener financiamiento para sus respectivos equipos de seguridad (todos los tamaños). Está bien si las respuestas son específicas del escenario, pero estoy más centrado en lo que ayuda a los equipos de seguridad a obtener fondos que no sean eventos de seguridad (pirateados) o requisitos de cumplimiento (gastos requeridos). En otras palabras, lo que funciona para lograr que las empresas hagan lo correcto desde el punto de vista de la seguridad cuando en algunos aspectos no están obligados a hacerlo o cuando pueden tener otras necesidades apremiantes de presupuesto.

Otra forma de ver esta pregunta: la mayoría de las empresas se centran en las ganancias a corto plazo y, en general, cuando se consideran solo las ganancias a corto plazo y las necesidades a corto plazo, la seguridad puede parecer un gasto innecesario que puede reducir el presupuesto de marketing (o lo que sea) a algunas organizaciones. Estoy buscando puntos de discusión que ayuden a empujar a una compañía a elegir gastar más dinero en sus necesidades a largo plazo, incluso cuando no se perciba una ganancia económica a corto plazo al hacerlo.

    
pregunta Trey Blalock 22.09.2016 - 16:22
fuente

2 respuestas

2

Cumplimiento y regulaciones que son un freno para una operación comercial.

Incidentes anteriores de problemas de seguridad.

    
respondido por el Davis 22.11.2016 - 11:31
fuente
0

En general, habrá 2 clases distintas de responsabilidades para las cuales la gente de seguridad podría ser financiada.

Una clase se relaciona con el cumplimiento, la auditoría y otros tipos de actividades de aseguramiento a menudo teatrales, cuyo patrocinio suele ser estacional y administrativo.

Las otras clases son actividades y prácticas de seguridad reales, que varían mucho según la organización y el tipo de negocio, pero en general deben centrarse en los riesgos para áreas de valor comercial central.

La razón para hacer esta distinción es que los equipos de seguridad interesados en realizar este último tipo de trabajo (trabajo de seguridad real) a menudo operan de manera autónoma, con un modelo de compromiso independiente que solo es adecuado para los tipos anteriores de tareas.

Los mejores campeones para la gente de seguridad que quieren hacer un trabajo de seguridad real serán otros equipos con responsabilidades de línea. En algún lugar de las vientres de esas bestias habrá riesgos reales que los verdaderos administradores temen que se estén abordando de manera inadecuada, con puntos de control que permitan contribuciones reales.

Ser parte de y contribuir a la conversación del valor del día a día es muy superior a actuar como un proveedor interno que ofrece servicios que deben ofrecerse y venderse, y consejos que no tienen contexto y nunca se siguen. El asesoramiento libre de contexto solo es apropiado en entornos teatrales y debería ser difícil encontrar financiación.

    
respondido por el Jonah Benton 23.09.2016 - 06:05
fuente

Lea otras preguntas en las etiquetas

Ataque MITM de certificado SSL para dominios vencidos ¿Puede alguien ayudarme a comprender cómo funciona realmente el protocolo EAP-TTLS?