Mtro. Ricardo Velasco Barba, cofundador de Cyberwag rvelasco@cyberwag.com
Generalmente la parte más difícil de llevar a cabo proyectos de ciberseguridad o de continuidad de negocios, es convencer a los dueños y/o directivos, de que realmente “hace sentido” invertir en este tipo de herramientas. El reto radica en que tradicionalmente “hacer sentido” para los gerentes significa que el ingreso que resulte de la inversión será mayor que el costo total del proyecto.
¿Cuál es el problema entonces? Sï es posible calcular un costo asociado a proyectos de ciberseguridad, pero no existe un ingreso estimado que provoque dicha inversión. Por lo anterior, se debe cambiar la percepción de la ciberseguridad: en lugar de buscar ingresos se debe de calcular costos por la no implementación de estos proyectos. Es decir, es calcular el costo del riesgo.
Y es que a pesar de que las organizaciones año tras año aumentan sus presupuestos destinados a la ciberseguridad, la mayoría de los responsables del área aún tienen que justificar a su administración cada cantidad adicional gastada. Veamos el siguiente cálculo:
Cálculo de la Expectativa de Pérdida Anual (ALE por sus siglas en inglés)
El cálculo del retorno de la inversión (ROI) se basará en la prevención directa de pérdidas financieras. Pongamos de ejemplo el presupuesto necesario para la protección de un portal de e-commerce (venta en línea). Primero, es necesario calcular el ALE:
ALE = (Número de incidentes por año) X (Pérdida potencial por incidente)
En nuestro caso, el número de incidentes fue establecido razonablemente en 6 por año, esperando al menos 1 intento de intrusión o ataque directo al portal cada bimestre. Para la determinación de la pérdida potencial por incidente el cálculo es un poco más “abstracto” dado que deben considerarse numerosos factores (interrupción directa en la operación, pérdidas por daño en la reputación, repercusiones en el valor de la acción y demás pérdidas de alto perfil relacionadas con una violación a la seguridad).
Se recomienda recurrir a fuentes de buena reputación para tomar costos promedios de incidentes de acuerdo a nuestra industria y tipo de empresa. Por ejemplo, de acuerdo a estudios recientes de Kaspersky Lab la pérdida financiera como resultado de un ataque a portal web con e-commerce para una empresa PYME es en promedio de USD $38,000. En este caso es relativamente fácil identificar de manera “directa” la mayoría de las siguientes cantidades:
- Costo del robo y exposición de la base de datos de clientes y demás información sensible.
- El costo de la indisponibilidad del portal de comercio electrónico durante la investigación forense y la recuperación.
- Costo de los expertos de terceros asignados para investigar y corregir el incidente.
- Costo de las multas legales y de cumplimiento.
Entonces:
ALE = (Número de incidentes por año) X (Pérdida potencial por incidente)
ALE = 6 X $38,000 USD
ALE= USD $228,000
Esta podría ser la cantidad anual que una compañía debería esperar perder, si no se hace nada para proteger su activo.
Cálculo del Retorno de Inversión (ROI por sus siglas en inglés)
El siguiente paso es justificar el dinero que se está requiriendo. Esto se puede hacer proporcionarle a la alta gerencia la información de los productos y soluciones más eficientes y efectivos, seleccionados cuidadosamente acorde a la relación precio/ calidad.
Para el ejemplo de la página web e-commerce (y sin tomar en cuenta costos relacionados con un programa de desarrollo seguro) típicamente se necesitará:
- Web Application Firewall.
- Análisis de vulnerabilidades y monitoreo de seguridad continuos.
- Verificaciones de seguridad (web application pen testing).
Estimando que el costo anual de estas tres herramientas es de $40,000 USD y utilizando la fórmula para calcular el ROI de acuerdo a la Certificación CISSP: ROI = (ALE / Costo de controles compensatorios) X 100%
ROI = ($228,000 / $40,000) X 100%
ROI = 570%
Incluso como en este caso, con un ROI grande, con un valor subjetivo desde un punto de vista puramente técnico, hará más sentido este resultado al negocio y a la alta dirección que cualquier plática larga, persuasiva y detallada acerca de los peligros de los ataques de inyección de código SQL en las aplicaciones web.
El enfoque en ciberseguridad no se encuentra en mostrar las ganancias que se tendrán a través de ella, sino en mostrar las pérdidas y riesgos que se evitarán al utilizarlas adecuadamente.