| Retorno de la Inversión en Seguridad |
|
|
|
 |
| Inicio > Documentos > Retorno de la Inversión |
| |
| Una de las primeras preguntas que surgen al hablar de seguridad es la de describir el objetivo fundamental de la seguridad de la información en términos que toda persona pueda comprender. Para ello bastaría decir: "La seguridad informática tiene como base la mitigación del riesgo". Por ello debe definirse el riesgo en términos informáticos.
|
| |
| RIESGO = AMENAZA X VULNERABILIDAD X COSTO |
| Esta simple ecuación es la manera más efectiva de definir el riesgo. Es fundamental para todo aquel que tiene relación con la seguridad de la información. |
| |
RIESGO
No es amenaza, vulnerabilidad o costo de manera aislada lo que interesa, más si lo es el riesgo. Como se puede ver de la ecuación de riesgo, para que haya cualquier riesgo debe haber al menos una amenaza, una vulnerabilidad y un costo, ya que si alguno de los elementos de la ecuación es igual a cero (0), el riesgo será cero (0). |
AMENAZA
Es la frecuencia potencial de eventos adversos. Como la amenaza siempre se mide como una frecuencia, la misma es potencialmente medible. Y en vista de que los eventos son solo potencialmente adversos, la amenaza per se no es necesariamente peligrosa. |
VULNERABILIDAD
Es la probabilidad de éxito de una categoría de amenaza particular en contra de la organización. Si esto fuera la probabilidad de éxito de un ataque en contra de una máquina en particular, la probabilidad sería 1 o 0. Pero en vista de que estamos hablando de vulnerabilidades a nivel organizacional, el hacer referencia a una clase de vulnerabilidad en términos binarios no aplica. De esta manera, la vulnerabilidad debe ser cuantificada en términos de una probabilidad de éxito, expresada como un porcentaje probabilístico. |
COSTO
Es el costo total del impacto de una amenaza en particular experimentada por un objetivo vulnerable. El costo es medido en términos de daños "reales" a hardware o software, pérdida de transacciones durante un período de tiempo, productividad de usuarios o pérdida de oportunidades de negocio, así como tiempo del personal de TI y recursos utilizados en la recuperación del daño. |
|
| |
En la mayoría de las instancias, las organizaciones no están en la capacidad de afirmar que alguno de los tres (3) factores de la ecuación es cero (0). Es por ello, que se necesita medir cada componente del riesgo. De aquí que las organizaciones requieran los servicios especializados de consultoría en seguridad informática.
Un buen programa de seguridad representa un cuidadoso balance entre controles de seguridad y requerimientos del negocio. El punto de máximo retorno de inversión en seguridad es aquel donde el costo total de seguridad es el menor incluyendo tanto los costos de los eventos de seguridad y el costo de los controles de seguridad diseñados para prevenirlos.
Todos los controles de seguridad tienen costos de adquisición, implementación y mantenimiento; además de costos asociados a las limitaciones y las penalizaciones impuestas a los usuarios. Muchos programas de seguridad crean costos o limitaciones excesivas que entran en conflicto con el núcleo del negocio. Esto ocurre a través de la propagación desapercibida de importantes vulnerabilidades entre los recursos, desencadenando la imposición de controles excesivos donde no son requeridos, o el fallo de la mitigación efectiva de riesgos significativos.
|
| |
| |
|
