Inversión y gestión de la seguridad informática Las inversiones en seguridad informática muestran una constante: fortalecimiento del perímetro de seguridad, actualización de infraestructura de seguridad y administración de la seguridad informática. Mucha de esta inversión se concentra en aspectos de hardware, software y servicios, lo cual sugiere un concepto de seguridad informática orientado por el modelo de riesgos y controles, que si bien aporta elementos importantes para el mantenimiento de niveles de seguridad informática adecuados para la realidad de cada organización, limita la comprensión de eventos inesperados que generalmente no encuentran respuesta a los mismos y cuestionan el modelo de seguridad informática de la empresa. En este sentido, el reto de la inversión en seguridad informática y el valor agregado que ésta produce para las actividades del negocio establece una serie de interrogantes y cuestionamientos que los encargados de la misma deben responder a la alta gerencia. Esta respuesta debe estar en términos de la gestión de la seguridad informática de la organización y las implicaciones económicas que trae el mantenimiento de esta función. Caracterizando la inversión en seguridad informática De acuerdo con Anderson (2001) existen tres características fundamentales asociadas con el mercado de tecnologías de información (TI): • El valor de un producto para un usuario depende de cuántos exitosamente lo han adoptado. • La tecnología tiene altos costos fijos y bajos costos marginales. • Existen frecuentemente altos costos para los usuarios con el cambio de tecnologías. Dichas características establecen una competencia de los proveedores por conquistar segmentos de mercado importantes, sabiendo que el ganador se lleva todo. Pero la pregunta es: ¿quién es el beneficiado de esta dinámica? ¿La empresa? ¿El mercado de productos? La seguridad informática no es ajena a estas características propias del mercado de TI pues, como comentamos previamente, el hardware, el software y los servicios especializados, son parte de la dinámica de la función de seguridad informática en las organizaciones. La inversión en seguridad informática es un reto para los encargados de este tema en las organizaciones. Surgen preguntas alrededor del tema de presupuesto, impacto y retorno de la inversión que en la actualidad causan revuelo y establecen muchos interrogantes para aquellos que se hallan en la tarea de justificar presupuestos de seguridad informática. Consideremos algunas ideas para tratar de aproximarnos a esta difícil tarea de los que tienen a cargo el área de seguridad. Dado que generalmente las inversiones en seguridad informática se justifican en función de los riesgos y niveles de riesgo a los que puede o podría estar expuesto una organización, podríamos sugerir una adaptación de la matriz de tipos de inversión presentada en Remenyi, D., Money, A., Sherwood-Smith, M. y Irani, Z (2000). La matriz sugiere como elementos de análisis dos componentes: riesgo/visibilidad e impacto/ganancia. El primero entendido de la manera tradicional establecida en el modelo de riesgos y controles donde la inversión se concentrará en atender las zonas valoradas como de mayor riesgo con el fin de mitigar los mismos a través de medidas de control que permitan atenderlos adecuadamente. En esta medida, al atender estos riesgos se aumenta la visibilidad del área de seguridad, por su diligencia y debido cuidado en el mantenimiento de bajos niveles de riesgo asociados con la arquitectura de cómputo que apoyan las funciones de negocio. El segundo expone la importancia desde el punto de vista del negocio y las ganancias (tangibles e intangibles) que se puedan derivar del proyecto mismo. Es la zona donde los gerentes confirman y entienden en términos de estrategias de negocio cómo el proyecto hace parte de la cadena de valor que se pla ntea para el producto o servicio en el cliente. Si bien esta propuesta inicial de análisis de tipos de inversión orientada por proyectos, no pretende solucionar la problemática de la inversión en seguridad informática, busca sugerir una ruta complementaria entre la función de seguridad y la estrategia de negocio que trate de coordinar los esfuerzos e intereses de las partes para que el beneficiario final, el cliente, sea quien tenga el mayor valor y confianza en el uso de los productos o servicios que provee la organización. Con esta breve explicación revisemos los diferentes cuadrantes y alternativas en el contexto de los proyectos de seguridad informática. Proyecto Estratégico Este cuadrante define un proyecto donde el área de seguridad informática, frente a su evaluación de riesgos y controles y la gerencia de la organización frente a su función de negocios, comprenden e integran sus perspectivas buscando el mayor impacto corporativo y de negocio, articulando una solución de seguridad informática robusta y confiable que aumenta la confianza del cliente y sugiere un mayor uso de los servicios de la empresa. El factor clave en este punto desde la óptica del cliente y la organización es la confianza, y desde la visión del área de seguridad es seguridad func ional y operativa, y menor exposición a los riesgos. Proyecto de Actualización Una iniciativa de este estilo donde los riesgos asociados son altos, dado los cambios sensibles que suscitan una actualización, particularmente en el área de seguridad, frente a un bajo impacto en la operación de la organización en sus labores de negocio, establecen una ruta crítica de valoración del riesgo de negocio por parte del área de seguridad, que le permitan adecuar sus funciones para soportar la confianza de la operación de negocios sin traumatismos. El factor clave en este punto para el área de seguridad es coordinación y adaptación, y desde la perspectiva del cliente y la organización es efectividad y continuidad de la operación. Proyecto de Negocio Un proyecto de este estilo está marcado por la influencia fuerte de un comportamiento de mercados, un alto impacto frente a la competencia y mucho valor agregado para el cliente. La seguridad informática en este tipo de iniciativas debe balancear las implicaciones de seguridad de los servicios o productos propuestos, pues de no hacerlo será mirado como el "entorpecedor" de proyectos. Debe existir un acuerdo o "trade-off" de partes donde se establecen que se puede esperar de la seguridad y qué está dispuesta a ceder dentro de los parámetros mínimos requeridos, así como lo que está dispuesto a aceptar y ceder la función de negocio frente al tema de seguridad. El factor clave en esta distinción para el área de seguridad es negociación y agilidad y desde el punto de vista del cliente y la organización confianza y valor agregado. Proyecto Cotidiano Finalmente, este tipo de proyectos o inversiones de seguridad en este cuadrante responden generalmente a una iniciativa de orden interno y administrativo que le permite a la organización avanzar en el fortalecimiento de sus características de seguridad informática. Los proyectos cotidianos deben comprometer a la gerencia con la seguridad de información como prerrequisito para aumentar sus niveles de confiabilidad y confianza frente a los proceso de negocio. El factor clave en este cuadrante para el área de seguridad es concientización y regulación y, para el cliente y la organización, imagen y compromiso institucional. Consideraciones sobre la rentabilidad de la inversión en seguridad informática Si bien un aspecto crítico en el desarrollo de la función de seguridad informática es la inversión, la gestión y evaluación de dicha inversión es el complemento necesario para establecer los niveles de satisfacción y rentabilidad del cliente y la organización respectivamente. Existen múltiples aproximaciones a la evaluación de los aspectos económicos de la seguridad informática (Gordon y Richardson 2004, Gordon y Loeb 2001), los cuales buscan establecer métricas y estimaciones de valor a través tanto de métodos cuantitativos como cualitativos. Dichos métodos como el valor presente neto (VPN) y retorno de la inversión (ROI), tratan de explicar en términos numéricos la valoración de la seguridad informática para conceptuar sobre los beneficios y costos de la misma (generalmente tangibles) que permitan ofrecer herramientas a los encargados de la seguridad para hablar en los términos de la gerencia: inversión. El VPN (Gordon y Loeb 2001, pág. 5-7) aplicado en la inversión en seguridad informática trata de maximizar las ganancias o minimizar las pérdidas, relacionadas con una planeación óptima de recursos (en términos de los diferentes temas de seguridad informática) para la operación de la función de seguridad y el cumplimiento de sus objetivos. En este sentido el VPN considera los riesgos para valorar los beneficios y costos de la inversión en seguridad para aceptar o rechazar un aumento de la inversión en este tema. 1
Hosted by www.Geocities.ws