ClubEnsayos.com - Ensayos de Calidad, Tareas y Monografias
Buscar

Financiamiento del programa de ciberseguridad

David LopezApuntes4 de Abril de 2024

4.132 Palabras (17 Páginas)52 Visitas

Página 1 de 17

[pic 1]

Programa de Especialización en Alta Gerencia en Ciberseguridad

Control de Gestión para Ciberseguridad

Financiamiento del Programa de Seguridad

[pic 2]

Financiamiento del Plan de Seguridad

[pic 3]

Introducción[pic 4]

  • La gestión financiera define los procesos de planificación, organización, dirección, control e información sobre las actividades monetarias de una organización y el uso de sus fondos.
  • El CISO desempeña un papel importante en la planificación financiera del programa de seguridad de la información. Teniendo en cuenta que la mayor parte de los fondos para el programa de seguridad se asignan a partir del presupuesto operativo de la organización, el CISO tiene la responsabilidad fiduciaria (responsabilidad legal de actuar exclusivamente en el mejor interés de aquella persona física o moral encargada de un fideicomiso) de garantizar la utilización prudente de los fondos asignados al programa.
  • Las organizaciones gastan un promedio del 5,6 por ciento del presupuesto total de TI en seguridad de TI y gestión de riesgos.
  • Uno de los principales desafíos para un CISO es identificar fuentes de financiación para un

programa de seguridad de la información.

  • La mayoría de las solicitudes de presupuesto van acompañadas de un análisis del ROI (Retorno de la Inversión.
  • El simple hecho de proporcionar un retorno de la inversión bien definido sólo a veces garantiza el éxito. Al acercarse a la alta dirección y a su equipo financiero en busca de financiación, existen varias consideraciones adicionales.
  • La mejor manera de acercarse a la alta dirección para financiar su programa de ciberseguridad es explicar los gastos utilizando un enfoque de retorno de la inversión.

[pic 5][pic 6]

[pic 7]

[pic 8][pic 9][pic 10][pic 11][pic 12][pic 13]

[pic 14]

Estimación de Recursos en Nuevos Proyectos[pic 15]

[pic 16]

[pic 17]

Financiamiento de Contingencias[pic 18]

  • Cartera de criptomonedas: si una organización decide pagar una solicitud de rescate como resultado de un ataque de ransomware, es prudente tener una cartera de criptomonedas. Establecer una billetera durante un evento podría llevar días.
  • Declaraciones del plan de gestión de desastres: si una organización utiliza una instalación de recuperación de desastres contratada, a menudo se requiere una tarifa para activar el sitio. Las tarifas varían según el tamaño del contrato de recuperación de la organización. También se deben contabilizar los gastos de bolsillo incurridos por el equipo, que consisten en los socorristas que van al sitio de recuperación u otros lugares para reanudar el procesamiento crítico.
  • Aumento de licencias: es común que las licencias de tecnología de seguridad aumenten con el tiempo. Por ejemplo, la cantidad de eventos monitoreados por segundo podría aumentar drásticamente, superando rápidamente los límites de la licencia de un producto de Gestión de eventos e información de seguridad (SIEM). Los aumentos en las nuevas contrataciones podrían aumentar el cargo por puesto para el software de seguridad de terminales. Los CISO deberían considerar estos y otros escenarios potenciales que impacten el presupuesto.

[pic 19]

Actualización Tecnológica[pic 20]

  • Un ciclo de actualización de tecnología establece un proceso predecible para intercambiar tecnología antigua por activos nuevos cada pocos años. Muchos beneficios vienen con un ciclo de actualización tecnológica establecido que hace que el proceso valga la pena. Los CISO deben revisar la tecnología de su programa de SI de las siguientes tres maneras:
  • Obsolescencia de la tecnología: los CISO deben asegurarse de confiar en algo más que tecnología de seguridad que haya superado su vida útil. Esto puede resultar en un mantenimiento costoso, una falta de recursos capacitados para respaldar la tecnología y la incapacidad de la tecnología para abordar las amenazas actuales.
  • Innovación tecnológica: los CISO deben vigilar continuamente el panorama tecnológico de ciberseguridad en busca de formas innovadoras y efectivas de reducir el riesgo y mejorar su programa.
  • Disminuir la tasa de fallas: el uso de tecnología que se ha mantenido dentro de su calificación de tiempo de falla es un enfoque para aumentar el tiempo de actividad de las funciones comerciales críticas.

[pic 21]

Estimación de Recursos en Nuevos Proyectos[pic 22]

  • La estimación de recursos es una predicción estructurada del costo y otros recursos necesarios para realizar una tarea. Una de las funciones principales del proceso es establecer una base de control. Por lo tanto, cuanto más precisa sea la estimación, más fiable será el sistema de control.
  • La precisión y el esfuerzo requeridos para la estimación de recursos pueden verse influenciados por la incertidumbre y el riesgo involucrados debido a la complejidad técnica y la novedad del proyecto.
  • La base del precio esperado del contrato podría hacer que la estimación de recursos sea un factor crítico. Cuanto mayor es el riesgo, más importante resulta tener una estimación realista, lo que implica un proceso más detallado.
  • Una vez que se comprende el paso requerido para el proyecto, se pueden asignar recursos para determinar cuánto tiempo llevará el proyecto y estimar los costos de recursos humanos y otros recursos.
  • Un plan de recursos adecuadamente documentado especificará las cantidades exactas de

recursos humanos, equipos y materiales necesarios para completar el proyecto.

[pic 23]Obtención de Recursos Financieros[pic 24]

El programa de seguridad de la información puede financiarse a partir de varias fuentes y comprender estas fuentes puede ayudar a estructurar el presupuesto. Las fuentes pueden incluir contracargos del departamento, financiación de proveedores, cargos por servicios de valor añadido o un subsidio de marketing.

  • Capitalización: este método aprovecha las posiciones contables de la Comisión de Bolsa y Valores de EE. UU. (SEC) para capitalizar los costos de tecnología. Los CISO deben discutir con su CFO el uso de la siguiente:[pic 25]
  • Codificación de Normas de Contabilidad (ASC) de la SEC: o ASC 350-40:. ASC 605-50 - ASC 450-20.
  • Contracargo: este método es donde los costos de ejecutar el programa de seguridad de la

información se distribuyen uniformemente a cada departamento según la cantidad de usuarios.

  • Subsidio de marketing: hoy en día, las organizaciones pueden mejorar su posición en el mercado con una mayor seguridad.
  • Precios de servicios de valor agregado: hoy en día, muchos CISO estructuran su programa de

seguridad de la información como servicios con niveles de servicio que los acompañan.

  • Financiamiento del proveedor: este es un método en el que el proveedor de servicios o de tecnología proporciona financiamiento. Esto se materializa como un gasto operativo para su presupuesto en lugar de un gasto de capital.

[pic 26]

Centros de Responsabilidad

[pic 27]

Centros de Responsabilidad

  • Un centro de responsabilidad existe para cumplir una o más metas, a cargo de un

director, que es un responsable de sus actividades.

  • Debido a que la organización es la suma de todos sus centros de responsabilidad, si cada centro de responsabilidad cumple sus objetivos, se consiguen los objetivos de la organización.

  • Los centros de responsabilidad reciben inputs (en forma de materiales, trabajo y servicios), desarrollan su función concreta, mediante el uso del activo circulante (por ejemplo, existencias, cuentas por cobrar), los equipos y otros activos, con el objetivo final de transformar sus inputs en outputs; ya sean tangibles (bienes) o intangibles (servicios).
  • En una planta de producción, los outputs son bienes. En unidades de apoyo (como rrhh, transporte, ingeniería, contabilidad, etc.) los outputs son servicios.

Relación entre inputs y outputs

  • La dirección es responsable de garantizar una relación optima entre inputs y

outputs.

  • En        algunos        centros,        la        relación        es        causal        y        directa        (como        departamento        de producción)
  • En este caso, el control se centra en minimizar el consumo de inputs, necesarios para producir los outputs requeridos de acuerdo con las especificaciones correctas y estándares de calidad.
  • En otras ocasiones, los inputs no están directamente relacionados con los outputs, por ejemplo, el gasto en publicidad es un input por el cual se trata de incrementar los ingresos por ventas; pero dado que los ingresos se ven afectados por otros factores además de la publicidad, la relación entre incrementos de publicidad e ingresos es difícilmente demostrable.[pic 28][pic 29]

[pic 30]Inputs[pic 31]

(Recursos Utilizados, valorados al costo)

Outputs (Bienes o Servicios)

Tipos de Centros de Responsabilidad

Centro de gastos técnicos

Se pueden establecer relaciones óptimas[pic 32][pic 33][pic 34]

Inputs (Dinero)[pic 35]

Outputs (Físicos)

Función de fabricación

Centro de gastos discrecionales[pic 36]

...

Descargar como (para miembros actualizados) txt (24 Kb) pdf (5 Mb) docx (1 Mb)
Leer 16 páginas más »
Leer documento completo Guardar
Disponible sólo en Clubensayos.com