logo novasec grc
Pedir Demo

Cómo vender proyectos de seguridad de la información

Justificar inversiones en seguridad requiere cuatro pilares: evidencia de incidentes, ROSI (retorno calculable), caso de negocio integral y cumplimiento normativo. Hablar en lenguaje de negocio, no técnico.
asi- es-cómo-se-vende-proyectos-de-seguridad-de-la-información
Tabla de contenidos

Resumen De IA
logo google notebooklm

Conseguir la aprobación de proyectos de seguridad de la información representa uno de los mayores desafíos para los profesionales del sector. A diferencia de otras iniciativas tecnológicas con beneficios tangibles inmediatos, los proyectos de ciberseguridad requieren un enfoque estratégico para demostrar su valor real al negocio.

En este artículo, exploraremos las herramientas más efectivas para justificar inversiones en seguridad de la información ante la alta dirección, transformando la percepción de «gasto necesario» en «inversión estratégica».

La importancia de justificar correctamente las Inversiones en seguridad

Las organizaciones enfrentan un panorama de amenazas cada vez más complejo. Sin embargo, presentar un proyecto de seguridad basándose únicamente en el miedo a los ataques rara vez resulta efectivo. La clave está en construir casos de negocio sólidos que demuestren valor cuantificable y alineación con los objetivos corporativos.

Cuatro pilares para justificar proyectos de seguridad de la información

1. Información basada en evidencia

El primer pilar para construir un argumento convincente es recopilar y presentar información relevante que contextualice la necesidad del proyecto. Esta información debe incluir:

Análisis de incidentes de seguridad previos: Documentar los incidentes que ha experimentado la organización o empresas similares del sector, junto con sus impactos cuantificables. Estos casos reales proporcionan evidencia tangible del riesgo que se busca mitigar.

Resultados de análisis de riesgos: Los análisis de riesgos de procesos críticos o del negocio global que identifiquen vulnerabilidades significativas constituyen argumentos poderosos. Demostrar cómo los controles propuestos mitigarán riesgos específicos y cuantificados conecta directamente el proyecto con la protección del negocio.

Datos sectoriales y tendencias: Las estadísticas de la industria sobre el incremento de incidentes de seguridad y sus consecuencias financieras proporcionan contexto macroeconómico. Presentar datos de fuentes confiables como organismos de investigación, entidades policiales, gremios nacionales e internacionales, y consultoras especializadas refuerza la urgencia y pertinencia del proyecto.

Benchmarking sectorial: Incluir encuestas de seguridad realizadas por entidades independientes ayuda a posicionar a la organización frente a sus competidores y el estándar de la industria.

2. ROSI: Retorno de la inversión en seguridad

El cálculo del Retorno de la Inversión en Seguridad (ROSI, por sus siglas en inglés) representa una herramienta financiera especializada para justificar proyectos de ciberseguridad en términos monetarios que la alta dirección comprende.

Fundamentos del ROSI: Este indicador constituye una variante específica del ROI tradicional, calculando la diferencia entre el retorno esperado y el costo de implementar controles de seguridad. Para utilizarlo efectivamente, es fundamental dominar los conceptos financieros que maneja la gerencia.

Cuantificación de costos de incidentes: Todo incidente de seguridad o de continuidad del negocio genera costos reales. Estos se dividen en:

  • Costos directos: Impactos inmediatos sobre recursos financieros, reputación corporativa, personas e información
  • Costos indirectos: Recursos y tiempo invertidos en recuperación y remediación

La importancia de medir la «inseguridad»: Resulta imposible hablar de rentabilidad sin antes cuantificar el estado actual de riesgo. Para esto, existen tres metodologías fundamentales:

  1. Gestión de activos: Responde a la pregunta ¿qué tan valiosos son nuestros activos de información?
  2. Gestión de riesgos: Determina ¿cuáles son los impactos potenciales al negocio por incidentes de seguridad?
  3. Análisis de Impacto al Negocio (BIA): Identifica ¿qué controles necesitamos realmente para gestionar los riesgos críticos?

Metodología práctica para calcular ROSI: Una de las aproximaciones más accesibles, propuesta por Adrian Mizzi en 2004, se basa en la Pérdida Anual Esperada (ALE, por sus siglas en inglés):

  • SLE (Pérdida Esperada por Incidente): Estimación del impacto monetario de un incidente específico
  • ARO (Tasa Anual de Ocurrencia): Frecuencia esperada del incidente en un año
  • ALE = SLE × ARO: Pérdida anual esperada por cada amenaza

Al calcular los ALE de los incidentes más relevantes que el proyecto mitigará, se pueden demostrar beneficios tangibles cuando la inversión anual resulta significativamente menor que las pérdidas esperadas.

Consideración importante: Aunque el ROSI cuenta con amplio respaldo académico, su aplicación práctica sigue evolucionando. Existen más publicaciones teóricas que casos empresariales documentados, por lo que debe utilizarse como una herramienta complementaria dentro de una estrategia de justificación más amplia.

3. Caso de negocio integral

El caso de negocio representa la herramienta más completa para justificar proyectos de seguridad, integrando elementos financieros, estratégicos, operativos y regulatorios. Un caso de negocio efectivo debe incluir:

Valor estratégico de la información: Posicionar la información como activo estratégico fundamental para la operación, competitividad y continuidad del negocio.

Gestión de riesgos organizacionales: Identificar claramente qué riesgos corporativos ayudará a gestionar y mitigar el proyecto, vinculándolos con el apetito de riesgo definido por la alta dirección.

Integración con riesgo operativo: Demostrar cómo la seguridad de la información y la ciberseguridad son componentes esenciales de la gestión del riesgo operativo y de procesos críticos.

Debida diligencia y valor reputacional: Explicar el impacto positivo que los controles de seguridad generan en la confianza de socios comerciales, clientes e inversionistas, especialmente crucial para expansión internacional o transacciones corporativas.

Justificación financiera cuantificada: Incluir el análisis ROSI y cualquier otra métrica financiera disponible que demuestre el retorno esperado.

Benchmarking competitivo: Presentar iniciativas similares implementadas exitosamente por otras empresas del sector, demostrando que se trata de una práctica estándar de la industria.

Casos relevantes del sector: Documentar incidentes significativos de fraude, fuga o robo de información ocurridos en el sector, tanto nacional como internacionalmente, con sus consecuencias cuantificadas.

Beneficiarios internos del proyecto: Identificar específicamente qué áreas o procesos de la organización se beneficiarán directamente, habiendo realizado previamente un trabajo de «venta interna» con las diferentes gerencias para asegurar su apoyo.

Alineación con gobierno corporativo: Mostrar cómo el proyecto apoya la debida diligencia exigida por el código de gobierno corporativo y las políticas organizacionales existentes.

Responsabilidad legal de directivos: Evidenciar las implicaciones jurídicas que la negligencia en protección de información puede generar para administradores y alta gerencia, incluyendo responsabilidades personales.

Apoyo a control interno: Demostrar cómo el proyecto fortalece los controles internos y contribuye a cerrar hallazgos de auditoría o revisoría fiscal pendientes.

Alineación con tendencias globales: Contextualizar el proyecto dentro de las necesidades y tendencias mundiales en gestión de seguridad de la información.

4. Cumplimiento normativo y regulatorio

El cumplimiento representa frecuentemente el argumento más contundente para aprobar inversiones en seguridad, dado que las exigencias regulatorias generan obligaciones ineludibles.

Fuentes de obligaciones de cumplimiento: Las organizaciones enfrentan requisitos provenientes de:

  • Entes reguladores sectoriales
  • Legislación nacional e internacional
  • Exigencias del mercado
  • Requisitos contractuales de socios comerciales

Principales marcos regulatorios: Dependiendo del sector y jurisdicción, pueden aplicar:

  • SOX (Sarbanes-Oxley) para empresas cotizadas
  • Regulaciones antilavado de activos (SARLAFT, SARO)
  • Circulares de superintendencias sectoriales
  • Leyes de delitos informáticos
  • Normativas de protección de datos personales
  • Leyes de comercio electrónico
  • Modelos de seguridad y privacidad gubernamentales

Estrategia de cumplimiento con valor agregado: Si bien el cumplimiento puede ser el motivador inicial, los profesionales de seguridad deben aprovechar esta coyuntura para demostrar beneficios adicionales más allá del simple cumplimiento normativo. Esta visión ampliada facilita la aprobación de inversiones futuras al establecer el valor continuo de la seguridad de la información.

Estrategia integral de justificación

La experiencia demuestra que utilizar una combinación de todas estas herramientas aumenta significativamente la probabilidad de aprobación. Un enfoque integral permite:

  • Objetividad basada en hechos: Presentar evidencia cuantificable y verificable
  • Múltiples perspectivas: Abordar preocupaciones financieras, operativas, legales y estratégicas
  • Transformación de percepción: Cambiar la visión de seguridad como «costo necesario» a «inversión estratégica de valor»

Mejores prácticas para presentar proyectos de seguridad

Conocer a la audiencia: Adaptar el mensaje según se presente a CFO (enfoque financiero), CEO (enfoque estratégico), COO (enfoque operativo) o Consejo Directivo (enfoque de gobernanza).

Usar lenguaje de negocio: Evitar jerga técnica excesiva y traducir conceptos de seguridad a impactos empresariales comprensibles.

Presentar escenarios realistas: Utilizar casos concretos y específicos del sector que resonan con la experiencia de los tomadores de decisión.

Cuantificar cuando sea posible: Aunque no siempre resulta sencillo, ofrecer estimaciones razonables es preferible a argumentos puramente cualitativos.

Mostrar alineación estratégica: Vincular explícitamente el proyecto con objetivos corporativos y prioridades de la alta dirección.

Preparar respuesta a objeciones: Anticipar preguntas comunes sobre costos, tiempos de implementación, impacto operativo y alternativas consideradas.

Conclusión

Vender proyectos de seguridad de la información exitosamente requiere trascender argumentos técnicos y conectar con las prioridades reales del negocio. La combinación estratégica de información basada en evidencia, análisis financiero mediante ROSI, casos de negocio integrales y argumentos de cumplimiento crea un fundamento sólido para la toma de decisiones.

Los profesionales de seguridad que dominan estas herramientas no solo aumentan sus tasas de aprobación de proyectos, sino que transforman la percepción organizacional sobre seguridad de la información, estableciéndose como función estratégica esencial para la sostenibilidad y competitividad empresarial.

En un entorno donde las amenazas evolucionan constantemente y la dependencia tecnológica se intensifica, la capacidad de justificar inversiones en seguridad se convierte en una competencia crítica para cualquier profesional del área de gobierno, riesgo y cumplimiento.

La gestión efectiva de activos de información, riesgos de ciberseguridad, planeación estratégica de seguridad y administración integral de proyectos con seguimiento de tiempos, costos e indicadores clave de desempeño constituyen elementos fundamentales para demostrar el valor continuo de las inversiones en seguridad de la información.

Comparte en: