Cuestión de ROI
Seguridad de red
No siempre es fácil vender la seguridad de la red a los responsables de las finanzas corporativas. Pero hay modos de convencerlos de su conveniencia. He aquí un buen argumento: los ahorros por seguridad de red igualan a los costes que suponen las brechas de seguridad.
La seguridad de red es uno de las categorías tecnológicas más duras a las que aplicar un análisis del ROI. El problema fundamental es determinar el valor que aporta prevenir las brechas de seguridad, teniendo en cuenta que cada organización es un mundo distinto. En un extremo se encuentran aquellas empresas que pueden prescindir perfectamente de cualquier medida de seguridad de red. Representan el muy improbable caso en que un ataque malicioso al sitio Web, el robo de información confidencial o la desactivación de los recursos de red no tendrían ninguna consecuencia en costes para la organización.
Justo en el extremo contrario se encuadran aquellas empresas para las que el sitio Web es tan crítico que cada cinco minutos de inactividad pueden ser medidos directamente en pérdidas de ingresos, y la pérdida de información se puede traducir en costes de diferente tipo, como los legales derivados del robo de datos confidenciales de los clientes. En estos casos, además, la caída de los recursos de red implica la inactividad de los empleados, lo que se traduce en pérdida de productividad y costes salariales.
Junto a la trascendencia de estos factores, hay que tener en cuenta asimismo los costes no cuantificables de las brechas de seguridad. Pero como estos items no son directamente mensurables, es mejor plantearlos a los responsables financieros simplemente como cuestiones que, al menos, deberían tener en consideración. Por ejemplo, si los clientes averiguan que tenemos una brecha, ¿podríamos perder su fidelidad? Y si se tarda horas en resolver una problema de seguridad (porque, por ejemplo, se ha producido a medianoche y no se hace evidente hasta las 8 de la mañana siguiente), ¿podría tener consecuencias externas (con nuestros clientes, suministradores...) o internas (empleados)?
¿Dónde estamos?
Parte del reto está en averiguar en qué punto del espectro antes citado se encuentra la organización por lo que respecta a las consecuencias de una brecha de seguridad. Hay dos modos de determinar dicho punto:
1. ¿Ha sufrido la empresa brechas en el pasado? En caso afirmativo, ¿cuál fue el impacto?
• ¿Cuántas horas tuvo que dedicar el personal de TI para reestablecer el sitio Web?
• ¿Cuántas horas de la productividad de los empleados se perdieron?
• ¿La pérdida de información tendrá consecuencias financieras (legales, competitivas)?
Es posible que en el momento en que se produjo el problema de seguridad, las prisas por corregirlo impidió documentar su impacto. Aún en ese caso se podría volver atrás y recrear la “escena del crimen”.
2. ¿Ha experimentado ataques alguno de los competidores de la empresa?
• ¿Se pudieron cuantificar sus pérdidas (por ejemplo, el tiempo que estuvo inactivo se tradujo en ingresos adicionales para nuestra organización?
Es muy complicado dar respuesta a esta cuestión, pero en algunos casos se puede llegar a alguna conclusión sobre el impacto real que sufrió el competidor teniendo en cuenta el aumento atípico de ventas que experimentó nuestro sitio Web durante el tiempo que el suyo estuvo inoperativo.
Costes de inversión
Los costes de la inversión en seguridad de red son bastante amplios, pues son muchas y diversas las categorías de productos y servicios que abarca, desde cortafuegos, sistemas de detección de intrusiones, sistemas de autenticación y herramientas antivirus a distintas herramientas de software que monitorizan los servidores y los dispositivos de red; hay incluso lectores de huellas digitales disponibles por unos pocos cientos de euros. Para aquellas organizaciones para las que una brecha de seguridad puede suponer graves consecuencias, también los servicios de monitorización 24x7 de terceros podrían ser un gasto justificable.
El análisis del ROI en su totalidad se basa en los costes de la solución de seguridad elegida y su generación de ahorros o ingresos. En trazos gruesos, se podría decir que es similar a la contratación de un seguro: se paga por protegerse contra un posible desastre.
Costes vs. Costes
--------------------------
Equilibrando el coste de la seguridad de la red con el coste que supone no implementarla.
Las inversiones en seguridad de red incluyen:
• Cortafuegos.
• Sistemas de detección de intrusiones.
• Sistemas de filtrado de contenidos/filtrado Web.
• Software antivirus
• Herramientas de monitorización.
• Soluciones de autenticación (tales como SecureID, de RSA).
• Personal especializado en seguridad (o consultores encargados del mantenimiento necesario de los productos de seguridad).
• Servicio de monitorización 24x7.
Sin seguridad de red
• Coste para la organización si el sitio Web es hackeado.
• Coste de la pérdida de información. Los competidores podrían acceder a la información interna, potencial pérdida de credibilidad ante los clientes, costes legales por perder información confidencial.
• Caída de recursos de red. Costes salariales de los empleados potencialmente afectados.
La seguridad de red es uno de las categorías tecnológicas más duras a las que aplicar un análisis del ROI. El problema fundamental es determinar el valor que aporta prevenir las brechas de seguridad, teniendo en cuenta que cada organización es un mundo distinto. En un extremo se encuentran aquellas empresas que pueden prescindir perfectamente de cualquier medida de seguridad de red. Representan el muy improbable caso en que un ataque malicioso al sitio Web, el robo de información confidencial o la desactivación de los recursos de red no tendrían ninguna consecuencia en costes para la organización.
Justo en el extremo contrario se encuadran aquellas empresas para las que el sitio Web es tan crítico que cada cinco minutos de inactividad pueden ser medidos directamente en pérdidas de ingresos, y la pérdida de información se puede traducir en costes de diferente tipo, como los legales derivados del robo de datos confidenciales de los clientes. En estos casos, además, la caída de los recursos de red implica la inactividad de los empleados, lo que se traduce en pérdida de productividad y costes salariales.
Junto a la trascendencia de estos factores, hay que tener en cuenta asimismo los costes no cuantificables de las brechas de seguridad. Pero como estos items no son directamente mensurables, es mejor plantearlos a los responsables financieros simplemente como cuestiones que, al menos, deberían tener en consideración. Por ejemplo, si los clientes averiguan que tenemos una brecha, ¿podríamos perder su fidelidad? Y si se tarda horas en resolver una problema de seguridad (porque, por ejemplo, se ha producido a medianoche y no se hace evidente hasta las 8 de la mañana siguiente), ¿podría tener consecuencias externas (con nuestros clientes, suministradores...) o internas (empleados)?
¿Dónde estamos?
Parte del reto está en averiguar en qué punto del espectro antes citado se encuentra la organización por lo que respecta a las consecuencias de una brecha de seguridad. Hay dos modos de determinar dicho punto:
1. ¿Ha sufrido la empresa brechas en el pasado? En caso afirmativo, ¿cuál fue el impacto?
• ¿Cuántas horas tuvo que dedicar el personal de TI para reestablecer el sitio Web?
• ¿Cuántas horas de la productividad de los empleados se perdieron?
• ¿La pérdida de información tendrá consecuencias financieras (legales, competitivas)?
Es posible que en el momento en que se produjo el problema de seguridad, las prisas por corregirlo impidió documentar su impacto. Aún en ese caso se podría volver atrás y recrear la “escena del crimen”.
2. ¿Ha experimentado ataques alguno de los competidores de la empresa?
• ¿Se pudieron cuantificar sus pérdidas (por ejemplo, el tiempo que estuvo inactivo se tradujo en ingresos adicionales para nuestra organización?
Es muy complicado dar respuesta a esta cuestión, pero en algunos casos se puede llegar a alguna conclusión sobre el impacto real que sufrió el competidor teniendo en cuenta el aumento atípico de ventas que experimentó nuestro sitio Web durante el tiempo que el suyo estuvo inoperativo.
Costes de inversión
Los costes de la inversión en seguridad de red son bastante amplios, pues son muchas y diversas las categorías de productos y servicios que abarca, desde cortafuegos, sistemas de detección de intrusiones, sistemas de autenticación y herramientas antivirus a distintas herramientas de software que monitorizan los servidores y los dispositivos de red; hay incluso lectores de huellas digitales disponibles por unos pocos cientos de euros. Para aquellas organizaciones para las que una brecha de seguridad puede suponer graves consecuencias, también los servicios de monitorización 24x7 de terceros podrían ser un gasto justificable.
El análisis del ROI en su totalidad se basa en los costes de la solución de seguridad elegida y su generación de ahorros o ingresos. En trazos gruesos, se podría decir que es similar a la contratación de un seguro: se paga por protegerse contra un posible desastre.
Costes vs. Costes
--------------------------
Equilibrando el coste de la seguridad de la red con el coste que supone no implementarla.
Las inversiones en seguridad de red incluyen:
• Cortafuegos.
• Sistemas de detección de intrusiones.
• Sistemas de filtrado de contenidos/filtrado Web.
• Software antivirus
• Herramientas de monitorización.
• Soluciones de autenticación (tales como SecureID, de RSA).
• Personal especializado en seguridad (o consultores encargados del mantenimiento necesario de los productos de seguridad).
• Servicio de monitorización 24x7.
Sin seguridad de red
• Coste para la organización si el sitio Web es hackeado.
• Coste de la pérdida de información. Los competidores podrían acceder a la información interna, potencial pérdida de credibilidad ante los clientes, costes legales por perder información confidencial.
• Caída de recursos de red. Costes salariales de los empleados potencialmente afectados.
