Históricamente, la seguridad ha sido vista como un centro de costos, lo que ha llevado a que se le dé la menor cantidad de dinero posible. Muchos CISO, CSO y CRO incorporaron esa imagen al hablar principalmente en términos de prevención de desastres, como violaciones de datos que perjudican a la empresa y ransomware que potencialmente la cierran.
Pero, ¿y si la seguridad se presentara como una forma de impulsar los ingresos y aumentar la cuota de mercado? Eso podría cambiar fácilmente esos discusiones financieras en algo mucho más cómodo.
Por ejemplo, Apple promocionó sus inversiones en el enclave seguro para afirmar que ofrece a los usuarios una mayor privacidad. Específicamente, la empresa argumentó que no podía revelar información a las autoridades federales porque el enclave era así de seguro. Apple convirtió eso en un poderoso argumento competitivo contra el creador rival de Android, Google, que obtiene gran parte de sus ingresos al monetizar los datos de los usuarios.
En otro escenario, las regulaciones bancarias requieren que las instituciones financieras reembolsen a los clientes que son víctimas de los estafadores, pero crean un excepción por fraude electrónico. Imagine que un banco se da cuenta de que cubrir todo el fraude, aunque no esté obligado a hacerlo, podría ser un diferenciador poderoso que aumentaría su participación de mercado al brindar un mejor servicio a los clientes que la competencia. ¿Cómo puede permitirse el banco hacer esto? Aumenta las inversiones en seguridad hasta el punto en que las pérdidas por fraude proyectadas son sustancialmente menores que el aumento proyectado en los ingresos.
O mire el caso de un proveedor de la nube, que podría diferenciarse de la mayoría de los principales proveedores de la nube al mejorar el rendimiento del tiempo de actividad al enfocarse en reducir el daño de los ataques DDoS. Aún más lejos, una empresa agrícola que invirtiera en una mejor seguridad podría mejorar la confianza y atraer a más socios, expandiéndose así a nuevos mercados lucrativos. Una amplia gama de empresas puede defender la mejora del rendimiento empresarial general mediante la mejora de la ciberseguridad.
Estudio de caso: corretaje de seguros cibernéticos
Otro ejemplo de cómo aprovechar la seguridad para aumentar explícitamente los ingresos proviene de Marsh McLennan, una empresa de 10 millones de dólares que se anuncia a sí misma como la corredora de seguros más grande del mundo.
Una de las mayores tendencias recientes en seguros de ciberseguridad son compañías de seguros que se niegan a asegurar muchas empresas porque la empresa no tiene una seguridad que cumpla con los requisitos estrictos de esa aseguradora. Aunque esto limita sus pérdidas potenciales, también inmediatamente amenaza los ingresos de las compañías de seguros debido a la pérdida de ingresos por primas.
Para maximizar la cantidad de empresas que puede entregar a las compañías de seguros y, por lo tanto, mantener sus propios ingresos, Marsh evalúa empresas. Cuando el perfil de seguridad de una empresa no es suficiente, Marsh recurre a sus socios de la empresa de seguridad para llevar el perfil de seguridad de ese cliente potencial hasta donde califica para una póliza con la compañía de seguros. Eso es bueno para la compañía porque puede obtener un seguro y disfrutar de una mejor seguridad, es bueno para la compañía de seguros porque obtiene los ingresos por primas y es bueno para Marsh, que hace una referencia adecuada y exitosa.
“Vemos la relación con el cliente como un ciclo de vida holístico. Contratar un seguro es nuestro pan y mantequilla”, dice Katherine Keefe, líder de gestión de incidentes cibernéticos en Marsh. “Nuestros clientes necesitan apoyo en preparación: cómo prepararse, cómo desarrollar un plan de respuesta a incidentes [o] ejercicios de simulación. Les proporcionamos herramientas y soluciones y apoyamos la preparación cibernética”.
Pasando de la defensa al crecimiento
Stephen Boyce, líder ejecutivo global de seguridad de la información en Magnet Forensic, argumenta que cuando los ejecutivos de seguridad empresarial se enfocan en lo que les importa a los prospectos y, por lo tanto, ayudan con los ingresos y la participación de mercado, puede ser la forma más efectiva de mejorar la postura de seguridad.
“Lo que hace es crear un cambio en la dinámica de la relación entre el CISO y el CFO, y potencialmente el resto del equipo de nivel C”, dice Boyce.
De hecho, esto tiene el potencial de cambiar la dinámica de la relación, pero el CISO de SailPoint, Rex Booth, enfatiza que tal cambio solo puede ocurrir si la empresa está preparada para ello. Y, añade, muchos aún no lo son.
“Durante demasiado tiempo, la seguridad se ha [centrado] en el conflicto, donde debería ser una función habilitadora. Y eso requiere un cambio en la dinámica de la relación del CISO, un rol que tradicionalmente se ha visto como una mera reducción de riesgos”, dice Booth. “Esto debe suceder en la proporción de empresas que son lo suficientemente maduras como para llevar a su CISO y darles doble sombrero no solo en un rol de seguridad, sino también en un rol de generación de ingresos. Algunas están migrando en esta dirección, pero la mayoría de las organizaciones aún no lo han hecho”.
Demostrar valor mejorando el negocio
Aún así, Booth dice que hay pros y contras en juego. El argumento en contra de tal cambio, o al menos en contra de su desaceleración, es que los departamentos de seguridad de hoy en día tienen un presupuesto muy bajo, lo que significa que no tienen suficiente personal y les resulta difícil defender adecuadamente a la empresa. Eso sugiere que los intentos de respaldar las ventas diluirán aún más su atención y empeorarán potencialmente una mala situación.
La contrapartida es que es probable que las operaciones de seguridad subpresupuestadas siempre estén subpresupuestadas. Al hacer movimientos periódicos para ayudar a las ventas, tal vez solo una o dos veces al año, podría ilustrar al CFO, al COO, al CEO y al directorio el potencial de usar la seguridad para ayudar con el resultado final. Y, en teoría, eso podría contribuir significativamente a que la seguridad se presupuestara un poco mejor, lo que en sí mismo podría ser de gran ayuda para defender la empresa.
Eso es aún más crítico dado que los esfuerzos centrales de seguridad a menudo son difíciles de probar desde una perspectiva de retorno de la inversión.
“Si hago todo bien desde una perspectiva de seguridad, no tengo forma de decirle a la junta: 'Les ahorré $2 millones debido a esos eventos de ransomware que nunca ocurrieron'”, dice Booth.
El objetivo debe ir más allá de lograr que los prospectos se conviertan en clientes y aumentar la participación de mercado, y debe incluir la retención de clientes, argumenta Bob Hansmann, líder de marketing de productos de ciberriesgo y seguridad de Infoblox.
“La empresa necesita asegurarse de que los servicios no solo estén activos y disponibles, sino que funcionen sin problemas”, dice Hansmann. “Y la seguridad es la unidad que está mejor posicionada, en términos de experiencia, talento y herramientas, para que eso suceda”.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Acuñando el futuro con Adryenn Ashley. Accede Aquí.
- Fuente: https://www.darkreading.com/edge-articles/security-is-a-revenue-booster-not-a-cost-center
