Es muy común que las personas responsables del área tecnológica de algunas empresas, se vean en la obligación de responder esta pregunta para justificar la compra de algún sistema o producto para la seguridad de la información. Existen varios textos públicos que hacen referencia a cómo calcular el retorno de una inversión o ROI por sus siglas en inglés, algunos otros que atacan este tema desde el punto del riesgo, las amenazas y las vulnerabilidades, sin embargo, en esta oportunidad trataremos de ser menos estructurados, ofreciendo un planteamiento más flexible.
Una de las primeras cosas que debemos tener claro es ¿qué estamos protegiendo? los activos que almacenan la información, la información en sí, la calidad y desempeño de las personas que trabajan con equipos TIC, todos o alguna combinación de estos.
En este sentido proponemos tratar de darle valor cuantificable a los elementos a proteger, el caso de los activos es relativamente fácil, para el resto podríamos:
Pensar cuánto tendríamos que invertir (no solo en dinero, también en horas/hombre, esfuerzo, etc.) para recuperar cierta información, en caso de pérdida o daño, por ejemplo ¿cuánto nos costaría recuperar la información contable? o ¿cuánto nos costaría recuperar la base de datos del inventario?
El correcto funcionamiento de algunos activos TIC depende en muchos casos de algunos sistemas de seguridad, por ejemplo los malwares producen fallas en los equipos de escritorio generando llamadas a la unidad de soporte. Pudiéramos cuantificar el valor de la unidad de soporte.
Fallas en la seguridad pueden degradar la calidad del servicio de acceso a Internet, ¿cuánto pagamos por internet y cuánto realmente usamos de forma productiva?
El rendimiento de los equipos, tanto servidores como de escritorio puede verse degradado por fallas de seguridad, por ejemplo un PC se comporta muy lento debido a una infección, ¿cuánto tiempo demora un empleado lidiando con este problema? ¿cuánto cuesta su baja productividad?
Existen tareas críticas que se ejecutan en algunos servidores, por ejemplo el servidor de autenticación al dominio, el servidor de aplicaciones, el servidor de impresión. Por ejemplo si trabajamos en una empresa de diseño gráfico, ¿cuánto nos costaría si no fuese posible imprimir? ¿cuánto costaría si ningún usuario puede acceder a la información de su PC por un problema de autenticación?
En resumen tratemos de calcular cuánto habría que invertir si sucediera lo peor.
Una vez identificado cuánto cuesta lo que queremos proteger, empieza a tomar forma la respuesta; La inversión en seguridad puede pensarse en los mismos términos de un seguro. Invertimos en seguridad, en antivirus, en firewalls, en redundancia, en Proxys, en UTMs, en respaldos, etc. para no tener que lidiar con los problemas de la inseguridad y así contrarrestar el riesgo de la pérdida de datos críticos, reducir los gastos en soporte, garantizar la confidencialidad de la información, mejorar el rendimiento de los servicios TIC disponibles, evitar los costos de tiempo muerto entre otros.