Home Page Map Site WebMail Service

 

 

 
 

Retorno de la inversión en seguridad.

Una de las primeras preguntas que surgen al hablar de seguridad es la de describir el objetivo fundamental de la seguridad de la información en términos que toda persona pueda comprender. Para ello bastaría decir: “La seguridad informática tiene como base la mitigación del riesgo”. Por ello debe definirse el riesgo en términos informáticos.

La manera más efectiva de definir el riesgo en una simple ecuación es la siguiente:

RIESGO = AMENAZA X VULNERABILIDAD X COSTO

Esta ecuación es fundamental para todo aquel que tiene relación con la seguridad de la información.

AMENAZA
Es la frecuencia potencial de eventos adversos. En vista de que la amenaza (por su definición) siempre se mide como una frecuencia, la misma es potencialmente medible. Y en vista de que los eventos son solo potencialmente adversos, la amenaza per se no es necesariamente peligrosa.

VULNERABILIDAD
Es la probabilidad de éxito de una categoría de amenaza particular en contra de la organización. Es importante hacer notar que si esto fuera la probabilidad de éxito de un ataque en particular (ej. Ping of death) en contra de una máquina en particular, la probabilidad sería 1 o 0. Pero en vista de que estamos hablando de vulnerabilidades a nivel organizacional, el hacer referencia a una clase de vulnerabilidad en términos binarios no aplica. De esta manera, la vulnerabilidad debe ser cuantificada en términos de una probabilidad de éxito, expresada como un porcentaje probabilístico.

COSTO
Es el costo total del impacto de una amenaza en particular experimentada por un objetivo vulnerable. El costo es medido en términos de daños “reales” a hardware o software, pérdida de transacciones durante un período de tiempo, productividad de usuarios o pérdida de oportunidades de negocio, así como tiempo del personal de TI y recursos utilizados en la recuperación del daño.

RIESGO
No es amenaza, vulnerabilidad o costo de manera aislada lo que interesa, más si lo es el riesgo. Como se puede ver de la ecuación de riesgo, para que haya cualquier riesgo, debe haber al menos una amenaza, una vulnerabilidad y un costo, ya que si alguno de los elementos de la ecuación es igual a cero (0), el riesgo será cero (0).

En la mayoría de las instancias, las organizaciones no están en la capacidad de afirmar que alguno de los tres (3) factores de la ecuación es cero (0). Es por ello, que se necesita medir cada componente del riesgo. De aquí que las organizaciones requieran los servicios especializados de consultoría en seguridad informática.

Un buen programa de seguridad representa un cuidadoso balance entre controles de seguridad y requerimientos del negocio. El punto de máximo retorno de inversión en seguridad es aquel donde el costo total de seguridad es el menor incluyendo tanto los costos de los eventos de seguridad y el costo de los controles de seguridad diseñados para prevenirlos.

Todos los controles de seguridad tienen costos de adquisición, implementación y mantenimiento; además de costos asociados a las limitaciones y las penalizaciones impuestas a los usuarios. Muchos programas de seguridad crean costos o limitaciones excesivas que entran en conflicto con el núcleo del negocio. Esto ocurre a través de la propagación desapercibida de importantes vulnerabilidades entre los recursos, desencadenando la imposición de controles excesivos donde no son requeridos, o el fallo de la mitigación efectiva de riesgos significativos.

La metodología empleada por CGSI se concentra en la minimización del riesgo al menor costo posible. Nuestra propuesta, teniendo como base el riesgo asegura que con pocos recursos se establece el foco en los elementos críticos. Nuestro diseño de Principios de Seguridad provee un conjunto de políticas, prácticas y controles que trabajando en conjunto garantizan una postura de seguridad adecuada para soportar de manera eficiente y efectiva la infraestructura de negocio de nuestros clientes.

Como adición, a la relación costo/efectividad en la protección de las organizaciones, los Principios de Seguridad de CGSI reducen de manera significativa los costos en TI y operaciones de seguridad.

Ver otras publicaciones

Si desea conocer más de nuestra empresa, comuníquese con nosotros y gustosamente le atenderemos.

Empresa  |  Soluciones y Servicios  |  Clientes  |  Alianzas Estratégicas  |  Atención al Cliente  |
Publicaciones  |  Sugerencias de Seguridad  |  Mapa del Site  |  Contáctenos  |  Página Inicial  ]