• Fecha: Sep 02, 2004
  • Comentarios: no hay comentarios
  • Categorias: Sin categoría

Fuente: B:Secure Autor: Andrés Velázquez, CISSP

Estos conceptos le ayudarán a entender los ahorros y riesgos económicos relacionados con la seguridad informática.

Hace un par de días llegó a mis manos una presentación acerca del Retorno de inversión en seguridad, llamado “ROSI” por sus siglas en inglés: Return of Security Investment. Dicho documento define el ROSI como “el gasto directo que una compañía realiza para poder implementar una seguridad deseable contra el costo de una falla de seguridad”.

Los conceptos “deseable” y “costo de una falla de seguridad” llamaron mi atención inmediatamente, y les voy a explicar por qué. Algunas empresas siempre se preguntan entonces: ¿Qué tan seguro estoy?, ¿Sé si estoy seguro?, ¿Estoy mejor o peor que el año pasado?, ¿Estoy invirtiendo poco/suficiente/mucho en seguridad informática?, ¿Cómo administraré la seguridad, si no la puedo medir?, ¿Cómo puedo estimar el daño resultante de un incidente de seguridad?

Creo que, por lo menos, si usted está dedicado a telecomunicaciones, se habrá planteado más de una de estas preguntas.

La razón de que la palabra “deseable” saltara a mi vista es que a veces no sabemos qué es una seguridad deseable. Yo cambiaría ese vocablo por “necesaria”, pero entonces tenemos que buscar la justificación de esa seguridad. Esta justificación tendríamos que hacerla con respecto a un análisis de riesgos, y este análisis con respecto a la valuación de los bienes, y esta valuación nos va a dar como resultado los controles que requerimos para estar más “seguros”.

Si se da cuenta, es una cadena que normalmente no seguimos. Las empresas implementan miles de controles para que los usuarios no hagan o limiten su acceso, pero no tienen una política corporativa que los sustente. Por otro lado, las compañías tienen excelentes controles para que los virus no entren a su servidor de correo, pero los empleados tienen acceso a cuentas de correo vía web, donde bajan el virus y lo ejecutan en sus máquinas.

Entonces, ¿por qué es tan difícil justificar la inversión en seguridad? Muy sencillo, porque es similar a justificar el costo de un arma de fuego. Imagine que tiene que justificar el costo de un arma de fuego: hay tantas posibilidades o escenarios que podrían pasarle, que en este caso tiene usted que pensar en un “evento” para poder justificarlo. Muchas veces hasta que no sucede, ¡no podemos justificarlo!

Y ahí viene la segunda palabra, que ya la convertí en frase: “costo de una falla de seguridad”.

Al final del día, usted puede hacer un ROSI sin problema. Va a ser un trabajo muy duro, mas no imposible.

Esto suena incluso hasta desafiante, pero lo que podemos considerar es el hecho de que un análisis de riesgo de la empresa, realizado conscientemente, por una persona que trabaje dentro de la organización, quien conozca perfectamente los flujos de trabajo de la empresa y los sistemas y procesos críticos, puede llegar a ayudarle y con esta información ya tiene suficiente para poder justificarlo.

Es muy sencillo, imagine (realmente imagine) que en su empresa tiene un sistema donde hay una base de datos con información de clientes (desde los datos, como el seguimiento, facturación, etc.) y el equipo no tiene un antivirus. ¿Como va a justificarlo? Es sencillo, si un virus afecta una máquina, que lamentablemente es la máquina con la base de datos de clientes, tenemos que el valor de la información debe ser valuado y un modo de valuarlo es preguntarse: ¿Cuánto pagaría yo por esa información? A este valor hay que aumentarle el del tiempo en recuperarla, el número de personas que van a tener que desarrollarla, los sistemas afectados, etc.

Ya tiene el valor del activo; ahora quedan varias opciones: aceptar el riesgo, implementar un control o transferir ese riesgo. Lleve este valor a la alta dirección y justifique lo que puede pasar y cómo esta pérdida va a afectar a la organización. Si le piden que instale un antivirus, la administración decidió disminuir el riesgo por medio de un control; si la administración le dice que no hay presupuesto, acaba de aceptar el riesgo y, por consiguiente, quien tiene la responsabilidad sobre ello es la administración. Si le piden llamar a un outsourcing o a una compañía de seguros para comprar una póliza de protección de la información, entonces la empresa ha transferido el riesgo a un tercero.

Es importante que tenga clara la postura en materia de seguridad que adoptará su organización; esto es, ¿qué tanto riesgo va usted a tolerar? Determinar también el impacto del riesgo en su compañía y, lo más importante, invierta dinero en aquello que sabe que va a ayudar a la empresa.

Compartir:

No Comments Yet.

Deja un comentario

Your email address will not be published.