¿Es rentable incrementar el gasto en seguridad?
Desde el momento en que el coste y las probabilidades de ruptura de la seguridad se incrementan, los responsables de sistemas necesitan apoyarse en medidas adicionales de seguridad -y de gasto- con la finalidad de mitigar el riesgo en el negocio.
- Fortinet apuesta por una seguridad global
- Se espera que las ventas de appliances de seguridad se aceleren en EMEA
- Las peores amenazas TI que veremos hasta 2017
- HP analiza el panorama de ciberamenazas empresarial en 2015
- Unisys, en los servicios y soporte de TI de la Autoridad Europea de Seguridad Alimentaria
Muchos CIOs ponen en peligro la integridad de los sistemas de sus compañías simplemente por no invertir lo suficiente en medidas de protección. Esto puede parecer raro de plantear a día de hoyu, dado un reciente sondeo llevado a cabo por Pricewaterhouse Coopers, que indica que los negocios ahora invierten un porcentaje superior en sus presupuestos de TI destinados a seguridad, De acuerdo con dicho informe, las grandes compañías invierten una media del 11 por ciento de sus presupuesto de TI en seguridad, mientras que las pequeñas empresas dedican cerca de un 15 por ciento.
No obstante, si consideramos la proporción en seguridad del total del presupuesto de TI que los negocios dedican, nos encontramos con multitud de maniobras de distracción. Ello es debido a que el propósito de invertir más dinero en seguridad TI se fundamenta en reducir el riesgo de que se produzca una brecha, en tanto que la suma monetaria requerida para conseguir este propósito no suele mantener relación alguna con el gasto total en tecnología.
Desde una perspectiva fundamentada en los aspectos más básicos y esenciales, el riesgo en seguridad ha de ser proporcional al resultado del coste o del impacto financiero que una brecha de seguridad causaría a una empresa, y la probabilidad de que ésta brecha tenga lugar. Dicho de otro modo: Riesgo = Coste x probabilidades. La aplicación de esta ecuación permitió al vicepresidente de Sony en seguridad de la información, Jason Spaltro, afirmar en 2007 que “aceptar el riesgo de que se produzca una brecha en el sistema es también una decisión válida para la empresa. No estoy dispuesto a invertir 10 millones de dólares para evitar una posible pérdida de un millón.”
Sony puede haberse equivocado espectacularmente en términos relacionados con probabilidades y coste, pero más sonoro ha sido el argumento económico de Spaltro a la hora de alojar recursos de seguridad: “no tiene ningún sentido realizar inversiones en sistemas de protección, sobre todo en seguridad, si el posible retorno resulta inferior a la cantidad invertida.”
