En la actualidad, y
cada vez en mayor medida, las organizaciones invierten gran cantidad
de dinero y recursos en seguridad. Sin embargo, en muchos casos, los
propios promotores de dicha inversión no se muestran muy seguros de
que las medidas implantadas vayan a evitar realmente la ocurrencia de
incidentes de seguridad. No en vano, uno de los principales problemas
con los que se puede encontrar una organización a la hora de
invertir en seguridad de la información, es encontrar el punto de
equilibrio en el que dicha inversión maximice su beneficio. Y es que
son muchos los aspectos a tener en cuenta: cual es la información a
proteger, de qué tipo de ataques la tenemos que proteger, cual es la
mejor manera de hacerlo o cuanto nos debemos gastar para lograrlo.
Es bien sabido que
calcular el ROI, o lo que es lo mismo, conocer qué beneficio nos
reporta un proyecto de seguridad, es una tarea compleja. La inversión
realizada en seguridad no suele devolver beneficios tangibles, ni tan
siquiera ahorrar en costes existentes, si no que nos permite ahorrar
los costes potenciales que supondría la ocurrencia de un incidente
de seguridad en caso de no contar con las medidas de seguridad a
implementar en el proyecto.
Una posible alternativa
para calcular dicho ROI es ponderar el coste que supondría el
incidente que estamos securizando con la propabilidad de ocurrencia
del mismo. Sin embargo, esta aproximación presenta dificultades
significativas ya que suele ser complicado establecer con precisión
la probabilidad de que se materialice un riesgo concreto y, por otro
lado, hay que tener en cuenta que conocer el coste que podría
suponer un incidente de seguridad sobre un determinado activo no es
una tarea trivial.
Si pensamos, por
ejemplo, en un incidente que afecte a la disponibilidad de un activo
de información, puede ser hasta cierto punto sencillo calcular su
coste, ya que podemos calcular cuanto nos cuesta cada segundo que el
proceso que utiliza dicha información está parado. Un ejemplo claro
sería el coste que supone cada minuto de parada de nuestra web de
venta electrónica.
Este cálculo, sin
embargo, se complica si el incidente afecta a la integridad o a la
confidencialidad de la información. ¿Qué coste tiene para nuestra
organización el robo de nuestra base de datos comercial? ¿Qué
pérdidas nos supondría que nuestra competencia conozca nuestro plan
estratégico a corto y largo plazo? Realmente es complicado
cuantificar estos costes, aunque estarán de acuerdo conmigo en que
sin duda son elevados.
Pese a estas
dificultades, la principal herramienta con la que contamos para
ayudarnos a decidir cómo y por dónde empezar (o continuar) a
implementar la seguridad de nuestra organización es el análisis de
riesgos. Es por ello que éste es el pilar en el que se basan los
principales sistemas de gestión de la seguridad, de manera que
permiten adoptar estrategias de seguridad orientadas a gestionar
adecuadamente los riesgos a los que está sujeta nuestra
organización, abordando en primera instancia aquellos riesgos más
críticos que puedan ser mitigados con un menor esfuerzo o
desembolso.
Existen múltiples
metodologías y estándares para llevar a cabo el análisis de riesgo
de una organización. Unos son más complejos y otros más simples.
Los hay que realizan un análisis a alto nivel o a “vista de
pájaro”, mientras que otros entran a un nivel de detalle realmente
profundo. Podemos realizar análisis cuantitativos, esto es,
estimando costes monetarios pese a las dificultades antes expuestas
para realizar este tipo de valoraciones, o podemos realizar análisis
cualitativos en los que obtendremos una visión relativa de los
riesgos.
Por lo tanto, el optar
por una u otra metodología de análisis de riesgos deberá hacerse
en base al tipo de resultados que deseemos obtener del mismo, así
como del presupuesto, tiempo o recursos disponibles para realizar el
propio análisis de riesgo. Es importante utilizar una metodología
con la que nos sintamos cómodos y obtengamos un resultado confiable,
determinista y repetible que pueda ser la base para la definición de
la estrategia de gestión de riesgos de nuestra organización y la
planificación de la seguridad a corto, medio y largo plazo.
Así pues, el principal
motivo para llevar a cabo un análisis de riesgos de seguridad en
nuestras organizaciones es la posibilidad que ofrece de identificar
los principales riesgos a los que se encuentra expuesta nuestra
organización, permitiéndonos seleccionar las medidas a implantar
para reducir dichos riesgos atendiendo a criterios de coste –
beneficio. Esto posibilitará que nuestra inversión en seguridad
maximice sus beneficios, abordando la seguridad desde una óptica
estratégica, preventiva y coherente con los objetivos de negocio de
nuestra organización.
No hay comentarios:
Publicar un comentario