¿Es posible calcular un Retorno de Inversión en Ciberseguridad para mi empresa?

-

Por Ricardo Velasco – Cofundador de </cyberwag>

Generalmente la parte más difícil al llevar a cabo proyectos de ciberseguridad o de continuidad de negocios, es convencer a los dueños y/o directivos, que realmente “hace sentido” invertir en dichos proyectos.

El reto radica en que tradicionalmente “hacer sentido” para los gerentes significa que el ingreso que resulte de la inversión será mayor que el costo total del proyecto.

¿Cuál es el problema entonces? El problema es que sí se puede calcular un costo asociado a proyectos de ciberseguridad, pero no existe un ingreso asociado a dicha inversión.

Por lo anterior, se debe cambiar el sentido de los proyectos de ciberseguridad, en lugar de buscar ingresos se debe de calcular costos por la no implementación de estos proyectos. Es decir, es calcular el costo del riesgo.

Y es que a pesar de que las organizaciones año tras año, aumentan sus presupuestos destinados a la ciberseguridad, la mayoría de los responsables del área aún tiene que justificar a su administración cada cantidad adicional gastada.

Cálculo de la Expectativa de Pérdida Anual (ALE por sus siglas en inglés)

El cálculo del ROI se basará en la prevención directa de pérdidas financieras.

Pongamos de ejemplo el presupuesto necesario para la protección de un portal de e-commerce (venta en línea)

Primero, es necesario calcular el ALE:

ALE = (Número de incidentes por año) X (Pérdida potencial por incidente)

En nuestro caso, el número de incidentes fue establecido razonablemente en 6 por año, esperando al menos 1 intento de intrusión o ataque directo al portal cada bimestre.

Para la determinación de la pérdida potencial por incidente el cálculo es un poco más “abstracto” dado que deben considerarse numerosos factores (interrupción directa en la operación, pérdidas por daño en la reputación, repercusiones en el valor de la acción y demás pérdidas de alto perfil relacionadas con una violación a la seguridad).

Se recomienda recurrir a fuentes de buena reputación para tomar costos promedios de incidentes de acuerdo a nuestra industria y tipo de empresa. Por ejemplo, de acuerdo a estudios recientes de Kaspersky Lab la pérdida financiera como resultado de un ataque a portal web con e-commerce para una empresa PYME es en promedio de USD$38,000. En este caso es relativamente fácil identificar de manera “directa” la mayoría de las cantidades:

Costo del robo y exposición de la base de datos de clientes y demás información sensible.

El costo de la indisponibilidad del portal de comercio electrónico durante la investigación forense y la recuperación.

Costo de los expertos de terceros asignados para investigar y corregir el incidente.

Costo de las multas legales y de cumplimiento.

Entonces:

ALE = (Número de incidentes por año) X (Pérdida potencial por incidente)

ALE = 6 X USD$38000

ALE= USD$228,000

Esta es la cantidad anual que una compañía debería esperar perder, si no se hace nada para proteger su activo.

Cálculo del Retorno de Inversión (ROI por sus siglas en inglés)

El siguiente paso es justificar el dinero que se está requiriendo. Esto se puede hacer proporcionarle a la alta gerencia la información de los productos y soluciones más eficientes y efectivos, seleccionados cuidadosamente acorde a la relación precio/ calidad.

Para el ejemplo de la página web e-commerce (y sin tomar en cuenta costos relacionados con un programa de desarrollo seguro) típicamente se necesitará:

  • Web Application Firewall.
  • Análisis de vulnerabilidades y monitoreo de seguridad continuos.
  • Verificaciones de seguridad (web application pen testing).

Estimando que el costo anual del 1+2+3 = $40,000 y utilizando la fórmula para calcular el ROI de acuerdo a CISSP:

ROI = (ALE / Costo de controles compensatorios) X 100%

ROI = ($228,000 / $40,000) X 100%

ROI = 570%

Incluso como en este caso, con un ROI grande, con un valor subjetivo desde un punto de vista puramente técnico, hará más sentido este resultado al negocio y a la alta dirección que cualquier platica larga, persuasiva y detalla acerca de los peligros de los ataques de inyección de código SQL en las aplicaciones web.

El enfoque en ciberseguridad no se encuentra en mostrar las ganancias que se tendrán a través de ella, sino en mostrar las pérdidas y riesgos que se evitarán al utilizarlas adecuadamente.

Share this article

Recent posts

Popular categories

Leave a reply

Please enter your comment!
Please enter your name here

Recent comments