Dando una formación sobre SGSI en la universidad, me gustaría hacer unas reflexiones sobre el SGSI y la importancia de él.
Como «vender» un proyecto a un CEO, usando el SGSI.
Para empezar la importancia del apoyo de la gerencia, CEO…..dado que sin ellos no haces nada, es decir si no tienes presupuesto, al final por muy buenas intenciones que tengas no puedes hacer nada. Entonces, ¿qué hacer para que aprueben el presupuesto de ese proyecto de WAF que tanto necesitamos y que parece que solo lo necesitamos nosotros como CISO?
Pues a mí se me ocurren varias opciones, una sería la concienciación en la seguridad
a la gerencia, cosa que a veces no es fácil, pero con bonitos ejemplos como los ataques que hay diarios acompañados del impacto que podría ocasionar en nuestra empresa, podría ser suficiente.
Otra sería aprovechando la ley, analizando el negocio y las normativas que nos aplican podemos encontrar una justificación para ese proyecto tan necesario, recordar que en breve se aplica la GDPR que cambiará bastantes cosas y que nos afecta a todos, si o si!!, ya hemos comentado de ella en el blog.
Otra seria, la más complicada, pero no imposible, teniendo la confianza de la gerencia, debido a un buen trabajo previo, justificado con métricas, KP, KGI, sería la de defender un proyecto de mejora para el servicio en cuestión, alienado con el negocio, mapeando incluso los servicios de negocio actual que mejoran y el retorno de inversión, si se puede calcular, ya sea por el aumento de usuarios concurrentes, mayor tiempo de uptime o mejor monitorización…. Esta como comentaba es la más difícil pero a todo gerente o CEO que se preste, quiere hacer crecer su negocio y si se le dice que esto le permite seguir creciendo, es muy probable que lo acepte.
Sino siempre os quedará enseñar lo que tiene la competencia y decirle que si no tenemos eso podríamos perder negocio, pero esta manera ya depende del gerente que tengáis……SUERTE!!!!
Os dejo una guía de apoyo y si tenéis dudas podéis consultarnos por el formulario de contacto.