Daniel
Barriuso Rojo
Responsable de Seguridad
de la Información
CREDIT SUISSE ESPAÑA
|
En el entorno
cambiante de la seguridad de la información, donde cada día
surgen nuevas amenazas, se publican decenas de vulnerabilidades y se construyen
innovadoras soluciones tecnológicas, implementar un nivel de seguridad
acorde a las necesidades de nuestra organización se convierte en
una tarea, cuando menos, compleja. Si dejamos que la estrategia de seguridad
sea dirigida por las necesidades tecnológicas, corremos el riesgo
de perder de vista el verdadero objetivo, y a menudo nos encontramos inmersos
en una frenética carrera entre amenazas y contramedidas que se
aleja cada vez más de la realidad empresarial.
Merece la pena que nos detengamos en el significado de "seguridad
acorde a las necesidades de nuestra organización". ¿Cuáles
son las necesidades de nuestra organización respecto a la seguridad?
Si planteamos esta pregunta a 10 directivos probablemente obtengamos 10
respuestas diferentes. ¿Cómo podemos acertar, nosotros,
los profesionales de la seguridad, cuando hasta el concepto clave de nuestro
trabajo es incierto? Quizás, en esta tesitura, nos puede ayudar
olvidarnos de los virus y hackers, y volver la vista hacia el mundo tradicional
de la gestión empresarial, donde el objetivo de cualquiera de las
áreas es obtener un beneficio para la organización. Dicho
beneficio puede estar relacionado con el aspecto económico, la
imagen, la estrategia corporativa o el cumplimiento normativo, pero en
último caso ha de poder ser expresado en términos objetivos
y cuantificables.
|
La estimación del impacto de un incidente de seguridad es una tarea
que atañe principalmente a Negocio, no a Seguridad.
|
Cualquier
estrategia de gestión de la seguridad por la que se opte requiere
una inversión económica o humana y, al igual que cualquier
otra, la inversión en seguridad debe ser rentable. Probablemente
más de uno de ustedes, estimados lectores, pensará que en
la frase anterior algo falla: ¿"seguridad" e "inversión
rentable"?, ¿juntos?, ¿no es seguridad un centro de costes
con el que no queda más remedio que vivir? En mi opinión,
no. La inversión en seguridad debe de servir para que la organización
obtenga un beneficio, al menos, superior al coste. El problema, muchas veces,
radica en la dificultad de medir el coste y, sobre todo, el beneficio obtenido.
La complejidad del asunto queda claramente reflejada cuando nos planteamos
el ejemplo de un extintor de incendios: ¿es rentable un extintor?,
¿cómo evaluar la rentabilidad de algo que raramente se usa?
Y lo que es aún peor, ¿cómo evaluamos la rentabilidad
de un componente que nunca se debería utilizar si todo está
bien planificado?
Llegados a este punto, es necesario deshacernos de la visión binaria
tan habitual en el mundo de las TIs: es seguro o no es seguro; nos han hackeado
o no; si no hubo un incendio el año pasado, entonces no fue rentable
el extintor. Debemos entrar de lleno en el incierto mundo de la probabilidad
y la gestión de riesgos, en el cual, las amenazas no se eliminan,
se mitigan. Invertir bien en seguridad significa conseguir el mayor beneficio
posible dentro de la ecuación formada por el impacto (o coste) de
los incidentes, amenazas existentes, probabilidades de materialización
de las amenazas, contramedidas de seguridad y coste de las mismas.
Hay que seleccionar los indicadores económicos que queremos evaluar,
buscar el método de análisis de riesgos que más se
ajuste a nuestras necesidades y adaptar ambos a nuestra organización.
No existe un método infalible, pero en mi opinión, un buen
punto de partida es comenzar por el famoso retorno de la inversión
(ROI), que se define como la diferencia entre el ahorro y el coste de la
inversión. Si lo trasladamos a la seguridad, el retorno de la inversión
en seguridad (ROSI) sería el ahorro en incidentes de seguridad menos
el coste de las contramedidas. El ahorro en incidentes de seguridad se puede
expresar como la diferencia entre la pérdida anual esperada (ALE)
y la pérdida anual esperada modificada por las contramedidas de seguridad
(mALE), donde la pérdida anual esperada (ALE) equivale al riesgo
anualizado: impacto (o coste) de un incidente multiplicado por la probabilidad
de ocurrencia en un año. Nuestro objetivo es obtener el mayor ROSI
posible, aumentar la inversión o disminuirla no son las únicas
decisiones factibles: en ocasiones se puede conseguir un incremento significativo
simplemente reubicando la inversión, desinvirtiendo en los aspectos
de menor rentabilidad para mejorar en puntos donde el retorno es superior. |
¿Cuáles son las necesidades
de nuestra organización respecto a la seguridad? Si planteamos
esta pregunta a 10 directivos probablemente obtengamos 10 respuestas diferentes
|
Se ha de elegir la aproximación más adecuada -se puede afrontar
el análisis por proceso de negocio, por activo de información,
por grupo de sistemas de información, por proyecto, etc.- y aplicarlo
en un ámbito realista bien acotado. Teniendo en cuenta que el punto
de partida es Negocio, cada organización puede definir sus tipos
de impacto y probabilidad, relacionando un significado cualitativo con una
expresión cuantitativa -p.e., podemos definir que un impacto es crítico
si amenaza la subsistencia del negocio, y equivale a una pérdida
superior al 8% de los ingresos, o que una probabilidad es alta si se estima
en 2 veces al año-.
La estimación del impacto de un incidente de seguridad es una tarea
que atañe principalmente a Negocio, no a Seguridad, mientras que
la estimación de la probabilidad de ocurrencia considerando las componentes
técnicas y organizativas que intervienen es una labor del especialista
en seguridad. Por tanto, el análisis de la inversión en seguridad
fomenta la colaboración entre los expertos de negocio y seguridad,
aportando a los primeros una visión sobre posibles escenarios de
amenazas a su negocio y a los segundos información sobre las verdaderas
necesidades de la organización.
A menudo se objeta que el impacto de un incidente es muy difícil
de evaluar ya que entran en juego costes directos (financiero) e indirectos
(de imagen, legal, etc.), pero yo soy un firme defensor de que sí
se puede estimar. A veces es sorprendente la efectividad con la que el departamento
de Marketing puede valorar el impacto debido a pérdida de imagen
o el Financiero cuantificar el quebranto económico cuando se interrumpe
un proceso de negocio. De igual forma, el cálculo de probabilidad
se puede aproximar. Debe alimentarse de todos los datos disponibles: históricos
internos, bases de datos externas, aspectos organizativos y de personal,
particularidades técnicas, etc.
Si bien el análisis de la inversión no es sencillo, citando
a Confucio, "es mejor encender una pequeña luz que quejarse
de la oscuridad". El objetivo no es la precisión, sino la obtención
de una serie de parámetros y medidas para que los responsables de
seguridad y de negocio puedan tomar buenas decisiones. No sólo consiste
en acertar en los nuevos proyectos y adquisiciones, hay que optimizar los
recursos existentes. Sin olvidar los escenarios de reducción de gastos,
que deben ser tan cuidadosamente examinados como los de nueva inversión.
Por tanto, evaluar la inversión de seguridad está claramente
ligado a la gestión y estrategia de seguridad. Poner el discurso
de seguridad en términos de coste/beneficio facilita la comunicación
con el resto de áreas y desmitifica la función de seguridad,
reduciendo el problema al tipo de decisiones que la Dirección toma
cada día.
Me viene a la mente un artículo que leí hace no mucho, en
el que se identificaban los tres tipos más comunes de estrategia
de concienciación de seguridad: Asustar, Reaccionar o Planificar/Invertir
proactivamente. La estrategia de asustar, avisando sobre los escenarios
más negativos y preocupantes, en un principio puede parecer efectiva
ya que se consigue atención (e inversión), pero a largo plazo,
se convierte en el cuento del "pastor y el lobo", y genera un
descrédito progresivo de los responsables de seguridad.
Reaccionar, esperando a que ocurra un incidente de seguridad y una vez que
esto sucede buscar soluciones (e inversión), permite que durante
cierto tiempo se preste más atención a la seguridad, aunque
rara vez sirve para solucionar el problema en conjunto. Se van poniendo
parches costosos y se transmite una sensación de falta de control.
Planificar e invertir proactivamente con criterios objetivos, aporta una
mayor credibilidad y alinea las necesidades de seguridad con las de negocio,
facilitando la comunicación con la dirección y el resto de
áreas mediante un lenguaje común: el del retorno de la inversión.
Estoy convencido de que todos conocemos ejemplos de los tres tipos, decidir
por cual queremos apostar, qué lenguaje vamos a emplear y con qué
herramientas contaremos, es clave para el éxito. ¿Qué
estrategia nos interesa más?
Por cierto, según la American Society of Safety Engineers, un extintor
de incendios es rentable. De media, por cada 1$ invertido se obtiene un
retorno de 3$. |
|
|
|