El patio (económico, del social, ni hablamos) está como está, así que, cuando sugieres a una una empresa que invierta en seguridad de la información, en el mejor de los casos, te pone una cara como ésta:

Quizás sea la parte más difícil que te toca, profesionalmente, en tu tarea de consultor en materia de seguridad de la información.

Cómo demostrar la utilidad de la inversión en

seguridad de la información

En seguridad, tienes que demostrar que una empresa invierta para que no pase nada. Y, en la «nada» está la ganancia. Raro, ¿no?

Intentando una aproximación científica al asunto, he tomado como referencia un interesante artículo publicado en ISACA, atreviéndome a proponer una metodología para el ROI de la inversión en seguridad.

Para empezar, hay que realizar un inventario de los activos a proteger, así como las posibles amenazas a las que éstos están expuestos.

Algunas amenazas

Ni el artículo mencionado ni yo tenemos la pretensión de enumerar todas las amenazas posibles para la información, pero este elenco es, por lo menos, un comienzo.

  1. Pérdidas de productividad: éstas pueden ser representadas por un software de gestión que se queda frito en una actualización; unos procedimientos internos que eternizan las decisiones estratégicas; el tiempo empleado por el departamento de IT en tareas de escasos valor añadido o por las labores de sincronización manual de las ventas vía Web con el software de contabilidad.
  2. Pérdidas económicas por cortes: esto es, la Web se cae, la pasarela de pago no registra los pagos correctamente, los proveedores tecnológicos se saltan los calendarios de entrega o no te dan lo que has pedido.
  3. Pérdidas de datos: en el mejor de los casos, aquí hay que contabilizar las horas empleadas por restaurar los datos (si tu política de copias de respaldo no es adecuada, dile adios a la información).
  4. Costes por reparaciones: que pueden ir desde la sutitución del servidor, hasta la contratación de una empresa externa, para que recupere los datos de un disco duro frito.
  5. Pérdida de reputación: la pérdida es proporcional a la fama: más conocido eres, más dinero pierdes.
  6. Sanciones LOPD: ese fantasma que aletea sobre toda empresa española.

Si éstas son las amenazas, habrá que establecer qué riesgo tiene cada una de ellas (risk analysis, que dicen los expertos). Para entendernos cuando hablamos de riesgos, uso la definición que da ISACA del mismo: «The combination of the probability of an event and its consequences«.

A continuación, propongo un cálculo sobre los costes de la inseguridad, basado en los siguientes conceptos:

El cálculo (aproximado) se ha realizado de la siguiente forma:

Pérdida de Productividad

Se han tomado como ejemplo, las amenazas descritas para los eventos descritos más arriba; es decir:

– se ha verificado un retraso (uno por año) en la toma de decisión (4 horas de un directivo);

– el programa se ha quedado frito por una actualización (x veces/año) (4 horas de un Jefe Administrativo);

– dos administrativos han tenido que cotejar las ventas on line, para introducirlas manualmente en el programa de contabilidad (dos administrativos; 4 horas cada uno);

– el responsable de IT ha tenido que arreglar tonterías, en las que ha empleado 4 horas.

Por cierto, las bases de cotización (mínima), han sido tomadas directamente de esta Web de la Seguridad Social.

Pérdida Por Cortes

Se han verificado estos eventos:

– El proveedor se ha retrasado en la entrega del servicio (cálculo realizado sobre un 20% del presupuesto general del año en curso);

– Nuestra Web se ha caído una vez al año y estimamos las pérdidas en ventas fallidas en 100€.

Pérdida De Datos

El evento verificado es el de la recuperación de datos, desde las copias de respaldo. Una vez/año, con 2,5horas contabilizadas por parte del técnico.

Costes Reparaciones

El evento registrado ha sido la sustitución del servidor (una vez cada 3 años, así que el coste de un servidor (600€), ha sido dividido por 3. Además, hemos contabilizado 4h de un técnico de IT para configurar la nueva máquina.

Pérdida Reputación

El coste, en este caso de un sólo evento/año, está basado en el doble de la inversión/año en publicidad.

Sanciones LOPD

Se ha contabilizado una infracción grave (por pérdida de datos, por ejemplo, art. 43.3.h), LOPD) cada 10 años. Aplicando la sanción mínima para este tipo de sanciones.

 Conclusiones

Con estos cálculos en la mano, que son todo lo aproximados que se quieran, ya tenemos el presupuesto para la inversión en seguridad:

I=CI-S-1€

I=Inversión

CI-S=Coste In-Seguridad (13.477,88€, en el ejemplo propuesto)