El tema de las inversiones en seguridad ya lo he mencionado varias veces en el blog, ya que cada vez son mas las empresas preocupadas sobre cómo asignar eficientemente el dinero abocado a la seguridad de la información. Mientras algunas inversiones son consideradas un desperdicio, otras empresas siquiera poseen el presupuesto para considerarlas así. ¿Cuál es el estado de las inversiones en controles de seguridad?

Según reporta PC World, la prestigiosa empresa Gartner ha realizado un estudio sobre las inversiones en seguridad, consultando a 1500 compañías en todo el mundo. Según el análisis de los resultados, en promedio las empresas asignan 5% del presupuesto de IT a la seguridad. Este dato es consistente con el presentado anteriormente en este mismo blog, donde comentaba que según el ESET Security Report Latinoamérica, “más de la mitad de los encuestados (57,86%) afirmaban que menos del 5% del presupuesto de IT es utilizado para seguridad“.

Otros datos interesantes arrojados por el informe indican que:

• La inversión por empleado ha aumentado de 525 dólares en 2009 a 636 en 2010. En Latinoamérica, los estudios también indican que aumentan las inversiones en seguridad.
• El total del presupuesto en seguridad se distribuye así: 37% es abocado a personal, 25% al software, 20% al hardware, 10% a tercerización (outsourcing) y un 9% a consultoría.

La distribución arroja un dato muy interesante: la seguridad de la información es un campo complejo y heterogéneo, y a esto se debe los resultados a priori parejos en la repartija del dinero asignado a la seguridad. Todos los componentes mencionados son importantes y conforman un Sistema de Gestión de la Seguridad de la Información. El software de seguridad es complementado por el personal que aplica en él una correcta configuración, que a la vez puede ser auditada por una consultora. Todas las partes se complementan, y es necesario trabajar los presupuestos de seguridad en este contexto.

Como se puede observar, el tema de las inversiones en seguridad es hoy una de las prioridades a resolver por las organizaciones en este campo. Recuerden que mediciones como TCO (Total Cost of Ownership) el retorno de inversión pueden colaborar para hacer evaluaciones más precisas y eficientes en el proceso de asignar dinero a la protección de la información.

Sebastián Bortnik
Coordinador de Awareness & Research

Categories: Gestión
1 Comment »

Como mencionaba en el post Inversiones en seguridad, ¿un desperdicio?, “la inversión en seguridad será un tema de amplio debate en el futuro cercano“. Y esto es coherente con algunos datos que se mencionan en Information Security Breaches Survey 2010 realizado por Infosecurity Europe.

Según el reporte, el 90% de las empresas aumentaron su presupuesto asignado a seguridad en el último año, un valor alto y alentador respecto a la posición del ámbito corporativo respecto a la relevancia que posee la protección de la información en las organizaciones.

El informe extiende esta información indicando que en promedio el presupuesto de seguridad para empresas pequeñas es de un 10% (cuando el año pasado era el 7%) y en grandes empresas ya ocupa el 6%. Este dato se condice con los presentados en el ESET Security Report Latinoamérica que indicaba según los datos recabados en encuestas realizadas en la región durante el año 2009, que “más de la mitad de los encuestados (57,86%) afirmaban que menos del 5% del presupuesto de IT es utilizado para seguridad“.

Comparando estos datos puede observarse que:

• Las pequeñas diferencias en los valores entre ambos informes pueden deberse a que en 2010 las inversiones en seguridad se estiman mayores a las del año anterior.
• Además, sabido es que en la región latinoamericana los presupuestos pueden ser levemente menores a los que se acostumbren en Europa.
• A pesar de todo, también puede concluirse que las inversiones en Latinoamérica no son tan distintas a las brindadas en el informe de los números en otro continente.

Sobre las inversiones de seguridad, recuerden que ya hemos comentado algunos métodos para analizar, evaluar y decidir sobre estas, con metodologías como TCO o ROSI.

Adicionalmente, el informe también posee muchos datos sobre la cantidad de incidentes que sufrieron las empresas, indicando que el 92% tuvieron un incidente de seguridad el último año. Respecto al malware, 62% de las empresas sufrieron alguna infección durante el año. Extendiendo algunos datos sobre los tipos de incidentes, analizando las respuestas sólo para “grandes empresas” (para ver las respuestas para otros tamaños de organizaciones pueden ver el informe completo) se desprende que:

• 70% tuvieron un incidente de seguridad accidental
• 90% un incidente malicioso
• 62% un incidente serio

Estos datos estadísticos permiten observar con un lenguaje más gráfico (los números) lo que hemos venido conversando en estos post respecto a las inversiones en seguridad.

Sebastián Bortnik
Analista de Seguridad

Categories: Estadísticas, Gestión, Informes
1 Comment »

Interesante noticia leíamos y discutíamos la semana pasada aquí con el equipo de investigación de ESET Latinoamérica. La empresa internacional Verizon, a través de Peter Tippett, vicepresidente de tecnología e innovación, asegura que más de dos tercios de las inversiones en seguridad son un desperdicio.

Algunos fragmentos de la noticia publicada en Computer Weekly, en traducción libre:

“Más del 40% del dinero invertido en seguridad es un desperdicio”, dijo Peter Tippett.

Muchas organizaciones están aumentando la inversión en la protección contra amenazas internas, cuando en realidad sólo el 11% de las vulnerabilidades explotadas exitosamente en los últimos años han sido de este tipo, según el último Business Data Breach Investigations Report.

La mayoría de las brechas de seguridad involucran múltiples orígenes, pero la investigación indica que sólo el 20% son de origen interno.

En base a estos resultados, parece poco aconsejable minimizar la amenaza que representan los ataques externos (outsiders), dice el reporte.

Las organizaciones terminan desperdiciando los presupuestos en seguridad, gastando mucho donde se percibe que están las amenazas , en lugar de dónde verdaderamente están.

Este informe da lugar a un interesante debate sobre las inversiones en seguridad, tema que ya hemos estado tratando antes en TCO: ¿Cómo evaluar una inversión en seguridad? y Retorno de inversión en seguridad.

Respecto a lo afirmado por el informe de Verizon, son dos los aspectos a analizar.

En primer lugar, si la afirmación respecto al desperdicio de la inversión es correcta, y eso dependerá de la apreciación de cada lector. Sí es importante remarcar que, por un lado, los números indicados son contundentes y se condicen con los que manejamos desde ESET Latinoamérica. Sin embargo, al momento de sacar las conclusiones, las mismas quedan sujetas a la interpretación de cada uno, ya que no se analiza el impacto de los incidentes en términos económicos. Es decir, a pesar de que sólo el 11% de los incidentes son internos, quizás el impacto de dicha amenaza en términos monetarios sea mayor al de los ataques externos, lo cual es probable dado que los ataques internos suelen ser más graves una vez consumados por la naturaleza de los mismos tanto del conocimiento por parte del atacante de la organización, como de los privilegios que este puede contar por su ubicación en la empresa. Como ya mencioné, el análisis es interesante aunque queda a criterio de cada lector sacar sus propias conclusiones con los números aquí planteados.

En segundo lugar, aparece un debate menos concreto pero a la vez más profundo: ¿cómo estamos decidiendo nuestras inversiones en seguridad? Aquí aparece un tema que hemos venido tratando aquí mismo y en varios congresos a dónde hemos asistido en los últimos años. En las empresas, decidir cómo invertir el dinero en la protección de la información es un proceso que no debe tomarse a la ligera, sin ser evaluado como un simple concurso de precios. Existen diversas metodologías para medir, cuantificar, comparar y decidir respecto a las inversiones en seguridad, y la utilización de estas hace al profesionalismo con el que se está considerando el dinero que se dedica a esta materia. Cuando se trata de una inversión corporativa, lo que debe quedar claro es que la misma debe realizarse de la misma forma que se analizan otras asignaciones monetarias en la empresa, y no como si se estuviera haciendo una inversión hogareña. Involucrados a todos los actores necesarios en el proceso es un factor fundamental para el éxito del mismo.

A modo de conclusión, luego de muchos años en dónde se fue afianzando la importancia de la seguridad de la información en la empresa, ahora que la misma ya está clara comienzan a aparecer estos asuntos en primera plana, y aquellos que respectan a cómo medir, definir y asignar la inversión en seguridad será un tema de amplio debate en el futuro cercano, conforme aquellos que hacen la seguridad en las empresas vayan definiendo y acostumbrándose a los estándares recomendados.

Sebastián Bortnik
Analista de Seguridad

Categories: Estadísticas, Gestión
5 Comments »

Hace unos días compartíamos en este mismo blog un primer concepto respecto a las inversiones en seguridad de la información: TCO (Total Cost Ownership), un modelo diseñado para calcular al momento de invertir no sólo los costos directos (o únicamente el precio) sino realizar una evaluación más completa de todo el dinero necesario para contar con un producto o servicio en la organización.

Hoy continuaremos extendiendo otro concepto importante al momento de invertir, y su aplicación particular en lo que respecta a seguridad: el Retorno de Inversión (ROI, del inglés Return On Investment).

El ROI es un valor que relaciona la inversión en un proyecto con los beneficios económicos que este traerá. Es utilizado en las empresas para evaluar la viabilidad de una inversión. Es decir, si voy a invertir 2 mil dólares, y el proyecto traerá un beneficio económico de 5 mil dólares en el primer año, el mismo es económicamente viable.

La fórmula básica para el cálculo del ROI es la siguiente:

ROI = (Beneficio – Inversión) / Inversión  x 100

Según el ejemplo brindado, se puede realizar el cálculo de la siguiente manera:

ROI = (5000 – 2000) / 2000 * 100 = 150 %

Es decir que el proyecto tiene retorno de inversión esperado de un 150%. Esto quiere decir que al plazo dado (un año en este caso), se ganará dinero en función de la inversión en el porcentaje indicado.

Ahora, ¿cómo se puede evaluar un ROI a la hora de invertir en seguridad? Mientras que en una inversión convencional se pueden establecer ganancias (por ejemplo, si se invierte en un nuevo software de gestión, se invierte en personal, o en un proyecto determinado), las inversiones en seguridad no ofrecen el ingreso de dinero (directo) por su implementación.

¿Cuánto dinero ingresará en la empresa si se compran matafuegos como medida de seguridad? Pensando en la seguridad informática, ¿cuánto dinero ingresará en la empresa por comprar un antivirus o instalar un firewall? Claramente las respuestas a estas preguntas es cero. Las inversiones en seguridad no son realizadas para obtener el ingreso de dinero en la organización.

Sin embargo, es posible hacer una medición del retorno de inversión en seguridad (o ROSI), analizando los beneficios económicos relacionados a dichas inversiones. ¿Cómo es posible? Analizando los incidentes que dicha medida de seguridad prevendrá o evitará, y cuál es el impacto económico que se evita.

Cada vez que ocurre un incidente de seguridad (una infección de malware, un daño en una base de datos, un intruso), la empresa pierde dinero; y al cuantificar este dinero es posible analizar la viabilidad económica de dicha inversión.

Por ejemplo, si una empresa sabe que un antivirus tendrá un costo anual determinado, podrán analizarse cuáles son los gastos que se deberá incurrir si no se cuenta con un antivirus, en lo que respecta a tiempo de reparación de incidentes, costo de información perdida, costo en horas hombre para reinstalar un sistema o costos por pérdida de productividad por interrupción de servicios. Todos estos costos deben cotejarse contra el costo de la solución para obtener el ROSI de la misma.

En resumen, mientras que el ROI evalúa cuánto dinero se ganará por realizar una inversión, el ROSI evalúa cuánto dinero se dejará de perder.

Existen diversas fórmulas para calcular el ROSI, que iremos compartiendo con los lectores en futuros post, de forma que puedan seguir optimizando en las empresas los procesos de decisión de inversión en materia de seguridad de la información.

Sebastián Bortnik
Analista de Seguridad

Categories: Gestión
11 Comments »

Suponga que usted desea comprar un automóvil, y que desea evaluar la inversión que va a realizar, de forma de optimizar la utilización de su dinero. ¿Qué factores tendría en cuenta al momento de la compra? Suponga que hay dos opciones que le agradan, el auto A y el auto B, cuyos costos son $30.000 y $34.000 respectivamente. ¿Son suficientes elementos para evaluar la decisión? Apuesto a que usted también tendrá en cuenta los costos asociados al automóvil: cuál de los dos consume más combustible, cuál es el costo de los impuestos para cada auto, cuál de los dos tiene un seguro más costoso, cuál posee repuestos más económicos, etc. Seguramente usted ha considerado todos estos factores al momento de comprar un automóvil pero, ¿ha tenido en cuenta estos factores a la hora de evaluar una inversión en seguridad?

El Total Cost of Ownership (TCO, en español traducido como “Costo Total de Propiedad” o “Costo Total de Operación”) es un modelo presentado en el año 1987 por Hill Kirwin de Gartner Group Inc. En un principio, se trató de un modelo para evaluar las inversiones en compra de equipos de escritorio (PC), que luego fue extendido a redes LAN, sistemas cliente/servidor, computación distribuida, telecomunicaciones, centros de procesamiento de datos, y recientemente para sistemas portátiles (handheld).

El TCO es un modelo que pretende ayudar a los ejecutivos de empresas a evaluar tanto los costos directos e indirectos que están relacionados con la compra de cualquier activo informático. Por ejemplo, en el caso de la compra de una computadora, el modelo propone considerar no sólo el precio de la misma, sino también considerar como costo total, entre otras cosas, los costos de traslado, de espacio, consumo de energía, costos de implementación, costos por reparación o costos de recursos humanos. Todos estos costos ponderados permitirán tomar una mejor decisión a la hora de invertir.

Entonces, ¿es posible implementar este modelo en inversiones en seguridad? No sólo es posible, sino también beneficioso para cualquier organización que decida invertir dinero en seguridad. Citando el ejemplo de nuestro campo de experiencia, algunos de los costos ocultos que pueden evaluarse, además del precio,  para calcular  el TCO de una solución antivirus serían:

• Consumo de recursos en el sistema
• Necesidad de inversión en hardware
• Necesidad de inversión en software y/o actualizaciones del sistema operativo
• Costo de horas necesarias de administración
• Costo de horas necesarias para desinfección de equipos con malware
• Costo de horas de implementación
• Costo de capacitación

Es decir, todos estos factores van a impactar en el dinero que la empresa necesitará para contar definitivamente con una solución antivirus . Por ejemplo, un antivirus cuyas tecnologías de detección sean más efectivas, tendrán un impacto en menor cantidad de infecciones, y por lo tanto disminuirá el costo por soporte. Una solución con bajo consumo de recursos, no tendrá costo adicional para invertir en hardware en los sistemas que noten una necesidad de mejorar su performance. Sin embargo, es frecuente que sólo se considere el precio de la solución como único factor respecto a la economía de la empresa y la implementación de la tecnología.

En resumen, TCO es un modelo que puede ser resumido de la siguiente manera: no mire sólo el precio. Para realizar una inversión en seguridad, se debe hacer una evaluación de la misma considerando los aspectos recién mencionados. Eso permitirá a las empresas realizar mejores decisiones para contar con mejores tecnologías de protección, que minimicen los incidentes y a la vez optimicen la inversión realizada en seguridad.

Sebastián Bortnik
Analista de Seguridad

Categories: Gestión
9 Comments »