9 de octubre de 2012

ROSI, el retorno de la inversión en seguridad

Los de TI ya sabemos que es necesario justificar toda inversión en TI, que la gestión del portfolio es básica, que tenemos que hablar la jerga financiera, que hay que alinearse/sincronizarse con negocio... yo creo que a fuerza de repetirlo ya lo hemos comprado y entendido por lo tanto tranquilos por ese lado. Pero claro, responsables de negocio, ¿no negarán que hay algunas inversiones difíciles de justificar?, hoy quiero hablar de una de las peores: la seguridad en general y la de TI en particular.

Tienes una farmacia y ya te la han robado por alunizaje varias veces, es evidente que el coste de poner unos pilares de acero delante del escaparate esta más que justificado. Pero resulta que las ventas de la farmacia no van muy allá y decides lanzarte a la venta de productos de parafarmacia por internet para complementar el negocio. Arrancas el proyecto y cuando entras en la fase de elección de hosting tienes que decidir entre varios, pero los precios son muy dispares, la diferencia es del orden de 10 veces más al més entre el más caro y el más barato, aparentemente solo se diferencian en espectos de seguridad (anti-spam, firewalling, IDS, IPS,...). ¿Que harías? ¿cual contratarías?.  Desgraciadamente el 80% de los mortales cogerían el más barato.

Este ejemplo de una micro-Pyme, se extrapola directamente a las grandes compañías. La inversiones en seguridad TI son siempre muy difíciles de justificar. Normalmente el responsable de seguridad tiene que esperar a que haya un incidente grave para obtener presupuesto. Para intentar paliar esto han aparecido procesos en todos los estándares y mejores prácticas de TI que incorporan la gestion de la seguridad y el riesgo en el circuito de definición, desarrollo y gestión de los servicios de TI. Esto es un gran paso pero no es suficiente. Como en otros aspectos relativos a la gestión de las inversiones en proyectos de alto componente TI, es necesario introducir metodologías y medidas lo más objetivas posibles para demostrar la rentabilidad financiera de las inversiones en seguridad TI. Entre ellas quizás la mas conocidad es el ROSI (Return on Security Investments), pero lo importante no es el nombre sino la manera de calcularlo. Conceptualmente el retorno de la inversión es sencillo: cuanto obtengo a largo plazo por cada euro invertido en algo. En el caso de la seguridad el problema es que hablamos de probabilidades es decir debemos evangelizar sobre el hecho de que si no inviertes en seguridad vas a perder dinero con una probabilidad del xx% y ya sabemos todos que es muy difícil hacer entender a la gente las leyes de la probabilidad (como por ejemplo que la probabilidad de volver a tener un incidente de seguridad cuando ya has sufrido uno es la misma que la del primer incidente, ya que los sucesos son independientes, hablando a grosso modo). Hay abundante literatura sobre los diversos métodos de cálculo del ROSI y no me voy a extender, solo desear suerte a los responsables de seguridad IT, la labor es dantesca.

No hay comentarios:

Publicar un comentario