Preguntas y respuestas: Có mo crear un

mejor caso comercial

Traducido de https://www.asisonline.org/security-management-magazine/articles/2020/06/qa-
how-to-build-a-better-business-case/

Por Claire Meyer 1 de junio de 2020 Edición impresa: junio de 2020

Las aplicaciones de seguridad y los puntos finales generan cantidades masivas de datos, desde
incidentes de alarma hasta análisis de red, análisis de video y más. Los casos de uso de estos datos
parecen infinitos, pero los datos puros no siempre son la mejor métrica. Para obtener ese apoyo
para los nuevos programas, los líderes de seguridad deben hacer su tarea para diseñar la mejor
presentación posible para los ejecutivos.

Mohammed Atif Shehzad, director gerente, fundador y copropietario de la

empresa de consultoría de seguridad Atriade, habló con Security
Management sobre cómo construir mejores planes maestros para proyectos
de seguridad, cómo conectarse con la C -suite y cómo la analítica puede
respaldar un caso de negocio.
A continuación se encuentra disponible un extracto de la conversación, editado para mayor
extensión y claridad.

¿Cuáles son algunas de las soluciones que sus socios y clientes usuarios
finales están pidiendo actualmente, en particular en lo que respecta a
análisis y big data?

EM. Varía un poco de un usuario final a otro. La seguridad parece ser siempre lo más importante.
Es interesante que si bien la atención se centra en la seguridad, los ejecutivos están mucho más
preocupados por las situaciones de seguridad. Entonces, si ocurre un incendio, un tirador activo o
un incidente de amenaza activa, quieren saber cuántas personas se ven afectadas y dónde se
encuentran. Y ahí es donde pueden entrar la tecnología y los datos. ¿Puedo usar el etiquetado
RFID? ¿Puedo usar el etiquetado inalámbrico y Bluetooth, o puedo usar el reconocimiento facial?
¿O debería usar métodos más convencionales como anti-passback o reunirse afuera? Así que esa
es un área donde los macrodatos y el análisis de datos obtienen mucha tracción.

El mayor problema que veo es la administración de dispositivos. Especialmente a medida que

Internet de las cosas (IoT) cambia la administración de edificios, las personas nos dicen
constantemente que no conocen el ciclo de vida de los dispositivos, que no conocen el ciclo de
mantenimiento o cuándo se instaló ese dispositivo o software en particular. Si no conozco la
antigüedad de mis cámaras y su historial de mantenimiento, ¿cómo sé cuándo fallarán? Y si fallan,
entonces no he creado un flujo de financiación, de lo que ahora tengo que hablar con mi liderazgo
ejecutivo para su aprobación. No es proactivo.

¿Qué tipo de elementos entran en la planificación maestra desde una

lente de seguridad? ¿Qué debería haber preparado una OSC o un usuario
final de seguridad para ayudar a informar este proceso?

EM. Toda la información que puedan tener sobre el estado actual y sus necesidades. Siempre les
decimos a nuestros clientes: no sean tímidos, no se preocupen de lo malo o bueno que es. Dinos
todo. ¿Cómo operas? ¿Cuáles son los puntos débiles operativos? Luego, vamos a hablar no solo
con el CSO, no solo con un director o administrador de seguridad, queremos hablar con el guardia.
Queremos hablar con un oficial de seguridad en la recepción. Es posible que incluso queramos
hablar con algunas de sus entidades no relacionadas con la seguridad. Queremos enfocarnos en
establecer cuál es su estado actual de operaciones y luego evaluar la tecnología y los dispositivos.
Eso es realmente lo que nos ayuda a recomendar o elaborar un plan maestro.
Hemos entrado en entornos de usuarios finales donde están pidiendo torniquetes porque están
inundados de gente en esa área, solo para descubrir que su señalización es mala. Todo lo que
necesitan hacer es crear una señal de $ 50. Teníamos un usuario final con señalización que se
desarrolló de la manera correcta, pero apuntaba en la dirección incorrecta. Y eso provocó el 50
por ciento del tráfico no autorizado en el campus. Buscaban una solución de seguridad, pero allí
no había ningún problema de tecnología de seguridad. No lo sabríamos si no nos hubiéramos
sentado y les hubiéramos pedido que explicaran exactamente con qué estaban lidiando y cómo
estaban tratando de resolverlo. El estado actual de las operaciones es muy importante.

La segunda cosa más importante en entornos más complejos hoy en día es el C-suite. ¿Cómo se
comunican contigo? ¿Cómo comunican sus necesidades? ¿Cómo se comunican contigo sobre la
financiación? Cuando queremos presentarnos ante un director financiero, presidente o director
ejecutivo y presentar un plan maestro de seguridad, pasamos entre dos semanas y un mes
preparándonos para esa persona. ¿Qué es lo que les gusta escuchar? ¿Cuáles son sus
preocupaciones? ¿Qué es importante y relevante para ellos? ¿En qué tipo de caso de negocio se
centran?

Puede crear el mejor plan maestro, pero si su C-suite se centra en una prioridad diferente, no
tendrá éxito.

¿Cuáles son algunos enfoques comunes sobre cómo presenta los datos al
C-suite? ¿Cómo varía según el ejecutivo al que está informando?

EM. La mejor manera de medir eso es una serie de preguntas y descubrimiento, pero también
teniendo suficientes puntos de datos.

También encontramos el éxito si no pasamos directamente desde el director de seguridad hasta el

director financiero con un plan. Tal vez vaya uno o dos pasos intermedios y valide el enfoque que
eligió. Las personas que están más cerca de los ejecutivos tienden a saber más y a tener una
comprensión más amplia de sus prioridades. En el caso de un usuario final en particular, nos
reunimos con la asistente del ejecutivo y básicamente le presentamos lo que íbamos a proponer.
Este asistente realmente conoce muy bien al ejecutivo; ella es su mano derecha. Así que fuimos a
ella primero y le dijimos: “Queremos presentarle esto a su jefe. ¿Cuáles son las cosas que son
importantes para ella? "
Es una serie de preguntas. No se trata solo de asumir una lente, sino de mirar diferentes
perspectivas, escuchar a diferentes personas en la administración, porque luego comienza a captar
piezas de inteligencia; no todos los ejecutivos estarán realmente enfocados en la seguridad. Este
ejecutivo en particular quiere comprender el riesgo, o ese ejecutivo en particular quiere
comprender los costos. Y es posible que no obtenga esa comprensión preguntando a una sola
persona. Puede que tenga que hablar con varias personas para averiguar qué enfatizar.

¿Qué tipo de métricas pueden aprovechar los usuarios finales cuando se

presentan a la C-suite?

EM. Cuantifique el riesgo en lugar de ser subjetivo. En un caso, cuando se preparaba para una
presentación sobre cómo asegurar un nuevo edificio, quedó claro que este ejecutivo en particular
estaba interesado en dos métricas: la experiencia del usuario en el edificio y lo que estaban
haciendo otras organizaciones de escala o tamaño similar.

En ese momento, desarrollamos la presentación para hablar sobre la propuesta, pero nos
enfocamos mucho en los datos visuales de cómo sería el viaje de seguridad. Una vez que visualiza
un viaje de seguridad de un empleado, visitante o contratista en su espacio, hace que sea mucho
más fácil de entender para las personas.

Lo segundo que hicimos fue realizar y presentar una evaluación comparativa muy detallada de
organizaciones similares a las de este usuario final. Y no se trataba solo de la cantidad de cámaras.
Fuimos mucho más granulares que eso. ¿Dónde están instalando cámaras? ¿Dónde están
instalando lectores de tarjetas? ¿Qué tipo de sensores están usando?

Al ejecutivo de otro usuario final no le importaban los puntos de referencia. Su enfoque era el
riesgo. ¿Cómo va a solucionar este riesgo para mi organización? ¿Han ocurrido incidentes en
nuestras oficinas? ¿Cómo lo sabes? ¿Cuál fue la gravedad de esos incidentes? Ésos eran los datos
que estaba buscando. ¿Cómo este proyecto de un millón de dólares va a resolver todo eso?

Regresamos y miramos todos los registros de incidentes durante todo el año, identificamos
ubicaciones y creamos un mapa de calor. Le mostramos cómo se ve el perfil de seguridad actual y
qué valor obtiene la empresa de la cobertura de seguridad actual basada en incidentes. Luego
mostramos que si toman estas nuevas medidas, la cobertura de estos incidentes aumentará del X
por ciento al Y por ciento.
No sabría investigar eso si no tuviera una serie de conversaciones sobre lo que es importante para
la audiencia. Lo que siempre recomiendo a nuestros usuarios finales y directores de seguridad es
tener los datos y luego comprender la cultura de su organización y lo que las partes interesadas
consideran relevantes en términos de riesgo y seguridad. Entonces apoye su caso contra esas
prioridades.

¿Qué tipo de análisis procesable ha visto recopilado en el campo que

puede ser útil para respaldar ese caso comercial?

EM. La recopilación de datos de alarmas ha sido útil. Los datos de tráfico de red son muy útiles en
estos días para casos comerciales, especialmente cuando se trabaja con TI. Los datos de privacidad
son muy útiles. Una de las grandes preocupaciones que está comenzando a surgir es si algún tipo
de nueva tecnología va a invadir la privacidad del usuario. Por lo tanto, recopilar qué tipo de datos
transmiten los sistemas es fundamental.

Ahora, del otro lado, están saliendo nuevas herramientas analíticas de control de acceso, por lo
que detectan si intento mi placa cinco veces en esta puerta o si estoy conectado con la cámara de
reconocimiento facial y cinco personas atraviesan la puerta conmigo. Creo que va a ser útil porque
entonces no tienes que poner un guardia en la puerta durante 30 días para tener una idea del
comportamiento. Puede recopilar esos datos de manera mucho más fácil y rápida. Eso va a ser de
mucha ayuda.

La mayoría de las OSC parecen querer saber que se preserva mi propiedad intelectual, se preserva
el riesgo de mi reputación y que lo que estoy pagando resolverá un problema tangible.

Esa es la clave. No se trata de dinero, se trata de brindarles el caso de negocios adecuado.

Claire Meyer es editora gerente de Security Management. Conéctese con ella en LinkedIn o
contáctela en claire.meyer@asisonline.org.