Esta última cuestión resulta especialmente difícil de responder, sobre todo si se considera que a la alta dirección no le interesa si los firewalls o los detectores y preventores de intrusos realmente protegen la red y los servidores de su organización.

Para poder determinar cuánto deben gastar en seguridad ellos quieren saber:

1. ¿Qué tan insegura es la empresa (vulnerabilidades) y cuánto le cuesta esto a la organización?
2. ¿Qué impacto está teniendo la falta de seguridad en la productividad?
3. ¿Qué impacto tendría un incidente catastrófico?
4. ¿Cuáles son las soluciones más rentables?
5. ¿Qué impacto tendrán las soluciones en la productividad?

Y es que antes de gastar dinero en cualquier producto, herramienta, dispositivo o solución, quienes toman las decisiones necesitan que esa inversión esté financieramente justificada.
Con la seguridad no es diferente, por lo tanto lo que se requiere es contar con métricas que muestren cómo los gastos ligados a esto van a impactar realmente a la organización, porque no hay razón ni justificación en implementar una solución si su costo verdadero es mayor que la exposición al riesgo.
De manera que conviene buscar un modelo para el cálculo del valor financiero de los gastos de seguridad, y ubicar técnicas que permitan obtener los datos necesarios para completarlo. Sólo que, como se supondrá, llevarlo a la práctica no es complejo, es complejísimo.

¿Cuál de las opciones genera el mayor valor?

Esa es la pregunta fundamental que se debe responder cuando se busca ubicar el Retorno en la Inversión (ROI). Este concepto es frecuentemente usado para  comparar estrategias alternativas de inversión. Por ejemplo, una compañía puede usar el ROI como factor al momento de decidir si invertir en el desarrollo de una nueva tecnología o si amplia las capacidades de la que ya tiene.

ROI = Ganancias Esperadas – Costo de la Inversión
                               Costo de la Inversión              (1)
           
Para calcular el ROI, el costo de una compra se compara con las ganancias previstas sobre la vida del artículo (1). Un ejemplo simple: si una nueva facilidad de producción costara $1 millón de dólares y se espera que retorne $5 millones en el curso de tres años, el ROI para el periodo de tres años es 400% (4x es la inversión inicial de las ganancias netas).

Una simple ecuación para calcular el Retorno de la Inversión de Seguridad (ROSI) es la siguiente:

ROSI= (Exposición del Riesgo, % Riesgo mitigado) – Costo de la Solución
Costo de la Solución                 (2)

En un producto de scanner de virus, esta ecuación opera de la siguiente forma: la organización Patito S.A. de C.V. ha tenido varias infecciones por virus. Se estima que el costo promedio en daños y pérdida de productividad ocasionados por un incidente de este tipo es de $25,000 pesos. Actualmente, Patito tiene cuatro infecciones de virus por año, pero espera contener por lo menos tres implementando un scanner de virus de $25,000 pesos.

Exposición del riesgo:       $25,000 x 4x por año = $100,000

Riesgo mitigado:               75%

Costo de la solución:         $25,000

ROSI= ($100,000 * 75%) - $25,000 = 200%
$25,000       (3)

Puesto así, la inversión del antivirus parece valer la pena, pero sólo porque se asume que el costo de un desastre es de $25,000 pesos, que el scanner contendrá  el 75% de los virus y que su costo es de $25,000 pesos.
Sin embargo, ninguno de estos números es exacto. ¿Qué pasaría si los ataques de tres de los cuatro virus costaran $5,000 pesos en daños pero uno costara $85,000? El costo promedio de pérdida sería aun de $25,000. Pero aquí se presenta una cuestión interesante: ¿Cuál de esos cuatro virus lograría pasar o vulnerar el scanner? Si es uno cuyo impacto sea de $5,000 pesos, el ROSI incrementaría cerca de 300% pero si es el de $85,000 pesos, el ROSI se vuelve totalmente negativo.

Jugar con valores significativos para los factores en la ecuación del ROSI no es una tarea sencilla, al contrario es realmente compleja. Uno de los problemas más importantes es saber realmente el valor de las pérdidas por no tener seguridad. Otro es poder determinar qué porcentaje de riesgo será mitigado al implementarla.

A tales complicaciones se suma que muchas compañías no hacen este tipo de ejercicios simple y sencillamente porque de verían en la necesidad de realizar un análisis de riesgos, ligado a un manejo de los mismos, a lo cual se le conoce como Risk Management y desafortunadamente lo que se hace hoy en la mayoría de las empresas es un análisis de vulnerabilidades, que es una sola etapa del análisis de riesgos.

Además, no hay un modelo estándar para determinar el riesgo financiero asociado con los incidentes de seguridad, ni métodos estandarizados para establecer el riesgo si la efectividad de las soluciones de protección no es la esperada. Incluso los métodos para calcular el costo de éstas pueden variar gradualmente. Algunos incluyen solamente hardware, software y costos de servicio, mientras que otros incluyen factores de costos internos, incluyendo overheads indirectos e impactos a largo plazo en la productividad.

Asimismo, existen técnicas para medir la cantidad de exposición al riesgo, pero los resultados tienden a variar en exactitud. En la mayoría de los tipos de riesgo, la exposición puede determinarse si se consultan tablas actuariales creadas a partir de décadas de demandas y de estadísticas demográficas. Desafortunadamente en nuestro país y en América Latina no existen.

Por otra parte, la variabilidad en costos de la exposición puede conducir a resultados engañosos al intentar predecirlos basándose en datos actuariales que son mucho muy difíciles de conseguir.

En el ejemplo de Patito S.A de C.V., el costo de la exposición es engañoso, el promedio de $25,000 pesos no refleja el hecho de que la mayoría de los incidentes cuestan muy poco mientras que otros cuestan mucho más.

¿Hay algún punto para calcular el ROSI si los datos subyacentes son imprecisos? Aparentemente sí, desde que algunas industrias han estado usando exitosamente, por décadas, métricas inexactas de ROI.

La publicidad, por ejemplo, se evalúa en base al número de espectadores potenciales, que continuamente es extrapolado de los datos de circulación y demográficos. Los compradores de anuncios asumen que el verdadero número de espectadores está directamente correlacionado al número de espectadores potenciales.
Si el método para determinar el ROSI produce resultados repetitivos y consistentes, puede funcionar como una herramienta útil para comparar soluciones de seguridad, basándose en valores relativos.

En ausencia de una exactitud pura, la alternativa es encontrar medidas consistentes para los factores de ROSI, las cuales devuelvan resultados comparables. Esta tarea es mucho más fácil, y rompe la barrera de la exactitud que se ha mantenido en el ámbito de los libros.

 Cuantificando la exposición del riesgo

Un método analítico simple para calcular la exposición al riesgo es multiplicar el costo proyectado de un incidente de seguridad ( Single Loss Exposure o SLE) con su valor anual, estimado, de ocurrencia (Annual Rate Occurrency o ARO). El resultado de esto se conoce como: Exposición Anual de Perdida (ALE).

Mientras no existan métodos reales para estimar SLE o ARO, hay tablas actuariales que dan valores estadísticos promedio, basados en reportes de daño del “mundo real”. Estas tablas se crean a partir de los datos de demandas de seguros, investigaciones académicas o encuestas independientes.

Exposición del Riesgo= ALE=SLE*ARO

Es muy difícil obtener datos acerca del verdadero costo de un incidente de seguridad (SLE), porque muy pocas organizaciones los evalúan con éxito. De hecho, los que no tienen un impacto inmediato en una organización ocurren sin que nadie se dé cuenta.

Por lo regular, cuando se declara un incidente, la organización está ocupada arreglando el problema y no se preocupada por saber el valor de su impacto. Después del desastre, el apuro interno y las preocupaciones por la pérdida de imagen pública vuelven invisible a tal suceso. Como resultado de esta “respuesta avestruz”, el volumen de datos en las pocas tablas actuariales que existen es por demás deficiente.

Hasta hoy, el mejor dato actuarial se ha generado de esfuerzos tales como el estudio del Instituto de Seguridad en Computo (CSI) y el FBI, en el que a las organizaciones se les pide estimar el costo de incidentes seguros para varias categorías, durante el curso del año. Desafortunadamente, los métodos usados  para calcular estos costos, varían de organización en organización.

Afortunadamente para obtener el ROSI la exactitud del costo del incidente no es tan importante como una buena metodología para calcularlo y reportarlo. Sería bastante complejo lograr que las compañías estuvieran de acuerdo sobre una técnica estándar para tabular el costo interno de un incidente de seguridad. Además, el foco debe estar en los factores que son medibles y que están correlacionados directamente a la criticidad del evento.

CONTINUARÁ.

Adrián Palma es licenciado en informática, cuenta con más de 22 años de experiencia en IT y seguridad de la información, está certificado como: CISSP, CISA, CISM y BSA. Ha sido conferencista a nivel internacional y catedrático del diplomado de seguridad en el ITESM, es ex presidente de la ALAPSI Internacional y actualmente funge como director de educación de la misma. educacion@alapsi.org