domingo, 16 de mayo de 2010

Choque de Dos Mundos.


Cuando la Economía se encuentra con la Seguridad de la Información surgen tres preguntas básicas: ¿Por qué gastar? ¿Cuánto gastar? ¿En qué gastar?

La respuesta a ¿Por qué gastar? podría resultar obvia pero en muchas ocasiones tal vez no lo es del todo clara, sobre todo para los dueños del “changarro”. Ellos están concentrados en generar ganancias y puede que no entiendan exactamente por qué deberían de dar “lana” para seguridad. La respuesta preferida sería “para estar protegidos”…quedó muy claro, verdad?

Aunque eso de “para estar protegidos” suene muy general y ambiguo, asumamos por un momento que convencemos juntando un par de argumentos (“otras empresas tienen X, Y, Z”, “Hoy en día un [insertar producto] es indispensable”) y una que otra estadística. Ahora viene otra pregunta que a mi parecer tampoco tiene una respuesta concisa o exacta: ¿Cuánto gastar?

Venga la siempre útil analogía con nuestra casa. Seguro tienes varias protecciones físicas. Para los que vivimos en el DF, gastar en una reja, barda alta y herrería es indispensable. ¿Cuánto es suficiente? Tal vez nos falte un perímetro electrificado, detección de intrusos en las puertas, malla ciclónica, alarma y CCTV. Suena caro, pero es por seguridad, por qué no comprarlo? ¿Cuánto es suficiente? ¿Por qué pensamos que lo que tenemos es el nivel adecuado de protección? ¿Por qué no añadir más? Por nuestra percepción del riesgo: la zona en que vivimos, los incidentes que han pasado en la colonia, la actividad laboral que desempeñamos (desgraciadamente hoy en día eso es un factor) e incluso cuestiones muy puntuales como el hecho de haber recibido (o no) alguna amenaza.

Igualmente una organización percibe el riesgo y actúa en consecuencia pero aunque haga un análisis de riesgos eso no se relaciona de manera directa y objetiva con ¿Cuánto gastar? Una opción puede ser gastar en base a incidentes: si te infectas, compras un antivirus porque hay un antecedente de que lo necesitas. Otra opción podría ser comprar algo de todo: un DLP, un antivirus, un detector de intrusos, un…, etc. Otro enfoque podría ser asignar un porcentaje del presupuesto de TI: 5% va para seguridad con el fin de que se atienda lo apremiante (podemos otorgar porcentajes similares a los que asigna el sector al que pertenece la empresa).

Existen otros enfoques como el ROI (Return of Investment), pero no involucra la posibilidad de que un producto incumpla las expectativas o los posibles beneficios de gastar el dinero en otro producto. Podríamos usar –por ejemplo- el NPV (Net Present Value) o EVA (Economic Value Added) y aunque son más completos, son más difíciles de calcular.

Ya que uno tuviera resueltas las respuestas para ¿Por qué gastar? y ¿Cuánto gastar?, vendría la pregunta de ¿En qué gastar? Tal vez aquí el resultado de un buen análisis de riesgos podría indicarnos cuáles son los riesgos altos y ahí es donde tendríamos que poner el dinero. La cuestión importante es encontrar productos/servicios que de manera efectiva satisfagan las necesidades.

El tema de economía-seguridad está en un estado de inmadurez; los de seguridad no entienden bien (y/o no les gusta) las entrañas económicas y viceversa. Aún así, existen estudios –por ejemplo- como los de Ross Anderson/Tyler More (The Economics of Information Security) y el trabajo de Lawrence Gordon (The Economics of Information Security Investment). A mi parecer, en muchas organizaciones se gasta en seguridad en base a un “feeling”, métodos no repetibles y subjetivos. Se vende la idea de “para estar protegidos” sin más explicación o evidencia clara y puntual; sin demostrar exactamente lo que se ganará-obtendrá o lo que se perderá si no se invierte en seguridad. Y no me malentiendan, lo anterior no es tarea fácil ni mucho menos sencilla.

Algunas reflexiones finales:

· Invertir en seguridad de la información podría evitar pérdidas económicas. Pero, cuánto exactamente se podría perder?

· Se dice que un incidente de seguridad que se hace público trae mala publicidad y pérdida de clientes. ¿En base a qué se hace esta afirmación? ¿En todos los casos sucede esto y en qué medida?

· Al contrario de un análisis de riesgos, gastar en seguridad basándonos en el “Worst Case Scenario” no es buena estrategia ya que se asume que lo peor pasará y en base a eso se invierte dinero.

Ojalá tuviéramos a la mano invisible de Adam Smith para que nos orientara hacia la verdad.