¿Preparado para presentar tu proyecto de seguridad informática ante gerencia?

Publicado hace 6 años por en Consejos LIA Seguridad Informática

En las conversaciones que sostengo a diario con los diferentes directores de sistemas de las compañías, puedo notar la preocupación de estos por contar con recursos de tecnología que le permitan mantener sus sistemas seguros y como los aspectos de presupuesto resultan ser por lo general, el primer obstáculo para que una organización pueda contar con estas herramientas. Cada día los presupuestos son más pequeños y las empresas necesitan retornar su inversión  rápidamente, por lo que los directores se esfuerzan permanentemente en ajustar las inversiones a los costos estimados.

Las empresas de tecnología consiente de la situación, también aportan su grano de arena trabajando en el tema de costos ajustando estos presupuestos. Este panorama se repite en todo el mundo ya sea en dólares, pesos u otra moneda. El reto de los directores de tecnología es recibir más con menos, aunque la lógica nos indique que realmente recibirán por lo que paguen. No obstante, el verdadero reto para los jefes o directores de sistemas,  debe ser mostrar a la gerencia la importancia de estas inversiones, mostrar el valor en dinero que la empresa percibiría al implementar una solución, o en el caso de la seguridad informática, el dinero que pueden perder al estar desprotegidos, además del impacto negativo en términos de productividad. Sin embargo ¿Tienen en cuenta los jefes de sistemas esta información? ¿Incluyen en la presentación de sus proyectos ante gerencia estos valores?.

Algo tan simple como no tener acceso a Internet, genera una presión en el departamento de TI por parte de todos los usuarios y qué decir de gerencia. Por ejemplo, Si el departamento de TI pudiese mostrar el comparativo de invertir en un equipo que permita trabajar  dos canales de Internet de proveedores diferentes (para que en el caso que falle uno entre el otro a trabajar), versus la perdida en dinero que representa para la compañía, como consecuencia de los periodos de inactividad laboral por falta de Internet en 1 día al mes, seguramente  obtendrían la aprobación inmediata de la gerencia para invertir en este proyecto.

Desde mi punto vista, quiero mencionar algunos de los aspectos que considero importantes tener en cuenta, de acuerdo a mi experiencia en estos años de trabajo con las soluciones de TI, para la aprobación de un proyecto de seguridad informática.

Lenguaje fácil y no técnico ante gerencia.

Es muy común, que directores de sistemas, redacten sus propuestas en tono técnico. Utilizar este lenguaje impide que el gerente pueda comprender los verdaderos beneficios que su propuesta tiene para la empresa, el proyecto debe describir de una manera sencilla los beneficios para la compañía, dejando de lado los conceptos y característica técnicas.

Detalle de las debilidades y riesgos actuales.

Este informe debe considerar las debilidades de forma general, especificando a la gerencia las que han podido ser cubiertas por el departamento de IT, las acciones tomadas y los recursos utilizados para este propósito, de igual forma se debe hacer con las debilidades que están fuera del control del departamento de IT, mostrando las acciones a tomar y los recursos que se necesitan, haciendo énfasis en el impacto que tiene o tendrá para la compañía el no tomar las acciones inmediatas. Muy importante mostrar las estadísticas de incremento de malware y delincuencia informática en el transcurso de los años.

Definición de Objetivos y metas claras.

El tener una meta clara nos ayudara a conseguir los resultados esperados, así como también, definir las tareas para cada acción en particular, citar con claridad los responsables y establecer un cronograma de trabajo, entre otro aspectos. Cuando de seguridad informática se refiere, existen diferentes áreas que debemos cubrir: Seguridad perimetral, seguridad en clientes, seguridad en base de datos, web, correo electrónico, control de fuga de información, cumplimiento de políticas y educación entre otros. Por tanto, el tener metas y objetivos claros, nos ayudara a priorizar la asignación de los recursos para hacer frente a cada una de las necesidades en seguridad que aquejen a la empresa. Recuerda que las mismas deben quedar expresadas en términos de beneficios y ventajas,  no en características técnicas.

Recursos financieros necesitados

Los análisis financieros no solo deben incluir el presupuesto para realizar la inversión, sino que se debe confrontar con  el ahorro en costos o el gasto prevenido en caso de infección o pedida de información (recuerda que a tu jefe el término ahorro tal vez le suene bien, pero de lo que si debes estar seguro es que nunca va a querer gastar dinero).

Cronograma de implementación.

Se debe informar a gerencia cuanto tiempo tomara la implementación de nuestra solución de seguridad. El cronograma nos permite organizarnos y medir si se está cumpliendo con los tiempos  esperados así como  evaluar al proveedor. Además  a gerencia le interesara conocer  sobre todo en cuanto tiempo después de aprobado el presupuesto se contara con un informe final.

Generalmente las empresas solicitan 3 cotizaciones del mismo producto. Es muy común, ver  la gerencia decidir con base en un precio y de acuerdo a esto, se toma la decisión de quien debe ser el proveedor. He aquí donde el gerente de informática comete el error al permitirlo, ya que este último, es quien debe  realizar el estudio previo del proveedor acompañado de una visita presencial, la cual en lo posible, debe tener el propósito de verificar si dicho proveedor cuenta con la capacidad técnica para prestarle un buen servicio, así como realizar llamadas de referencia a clientes de los ofertantes. En este punto fallan la mayoría de las evaluaciones, ya que generalmente se guían por el precio o la información plasmada en una oferta  y luego vienen los problemas de servicio. Además siempre es bueno preguntarse: ¿Tienen los proveedores personal certificado?  Recuerda que la empresa debe confiar en tu trabajo y cuando se presente el proyecto debe ser el gerente de tecnología quien informe a gerencia, a quien decide comprarle.

En internet podrás encontrar muchos consejos que serán de mucha utilidad para la presentación de los proyectos, así que no dejes de investigar un poco. A su vez, quiero que compartas tus opiniones con respecto a este artículo y nos gustaría mucho que puedas complementar esta información.


 

Dejar un comentario