|
¿Como se justifica una inversión que no va a
producir ingresos? ¿Como se argumenta la necesidad de protección sin
crear alarmismos?
Cualquiera
que haya tenido que verse involucrado en responsabilidades relacionadas
con la Seguridad, sabe que tan difícil como protegerse de un ataque es
convencer a la alta dirección de la compañía de que apruebe las
inversiones necesarias para desplegar las medidas de protección
necesarias.
Imagino que el argumento es aplicable tanto a la
seguridad física como a la seguridad lógica, o de sistemas. Pero tengo
la tendencia a pensar que es más fácil argumentar la necesidad de un
guardia de seguridad que la de un IDS.
Una máxima que emplean
los especialistas en seguridad es que "nunca se es suficientemente
paranoico". Y es cierto. Por extendidas que sean nuestras medidas de
protección y control, siempre se pueden acumular más medios, incorporar
más herramientas, mayor vigilancia, medidas de control de acceso o de
protección más robustas... Pero también es cierto que, en general, si
un atacante se empeña en violentar nuestras medidas de seguridad, si
cuenta con medios y tiempo disponibles, acabará logrando su objetivo.
Por
tanto, ¿cuanta seguridad es suficiente? Y, de las diferentes
alternativas posibles, ¿cuales de ellas desplegar y a que coste? Si
estos interrogantes suponen una importante dificultad por si mismos,
¿Como se los vamos a explicar a la Dirección de la compañía para
justificar la importante inversión necesaria?
Recientemente, InfosecWriters ha publicado un interesante documento sobre el cálculo del ROSI.
ROSI es el acrónimo, en inglés de Return on Security Investment, una
adaptación del más clásico ROI (Return of Investment), Retorno de la
Inversión.
El cálculo del ROI suele estar limitado por el grado
de certeza de que podemos disponer en el cálculo de los beneficios que
esperamos obtener de nuestra inversión. En el caso del ROSI, la
situación es más compleja, ya que no se trata de que vayamos a obtener
un beneficio económico a partir de nuestra inversión, sino que
esperamos que esa inversión nos proteja ante una merma de nuestra
actividad, una pérdida de ingresos, o un problema de protección de
datos.
En cualquier caso, no es posible ofrecer fórmulas
magistrales que nos resuelvan el problema por arte de birli birloque.
Para poder aplicar el modelo de cálculo de ROSI será necesario realizar
algunas suposiciones, que podrán no cumplirse, y disponer de datos del
coste que hayan supuesto problemas de seguridad previos, y nos ayuden a
realizar las cuantificaciones necesarias para los cálculos. Tampoco es
lo mismo enfrentarse a un problema o una protección antivirus para una
red local de PCs de escritorio, que hacerlo frente a una intrusión, o a
la protección frente a las vulnerabilidades de los sistemas de misión
crítica. En relación a estos, tampoco será lo mismo referirse a
elementos que requieran una disponibilidad en tiempo real, que si se
trata de otros que pudieran permitir, a la compañía que los opera,
periodos de inactividad en sus operaciones que permitan la recuperación
del sistema.
Lo que no cabe duda es que el modelo propuesto, ya
que no es perfecto, sí que por lo menos cumple la valiosa función de
ofrecernos una herramienta para argumentar la necesidad de invertir en
seguridad, ofreciendo planteamientos realistas.
Por todo esto,
un elemento fundamental en nuestro plan de seguridad, y que debe ser
incorporado a los informes a la Dirección, es el grado de criticidad de
la protección a realizar frente al coste que supone. Me explico. Si un
nivel de protección preventiva frente al 80% del problema supone,
pongamos un 30% del coste, mientras que el restante 20% nos supone un
70% de coste, deberemos plantearnos la conveniencia de abordar
únicamente el 80% "barato". No pierdo de vista que esta situación que
aquí propongo puede resultar artificialmente simplista, pero es
sorprendente la elevada frecuencia con que se presentan este tipo de
situaciones en la realidad.
|
Geo Noticias 
