miércoles, 16 de noviembre de 2005

El ROSI, retorno de inversión en seguridad de la información

Aunque normalmente los que nos dedicamos a esto de la seguridad solemos justificar la necesidad de garantizar la misma como la mejor manera a medio y largo plazo de garantizar la continuidad de negocio, hay veces que los mejores argumentos siempre son los económicos. Y es que al final, la pela es la pela.

¿Cómo cuantificar o medir la rentabilidad de la seguridad?

Complicada pregunta dado que nuestros estudios se basan en estimaciones sobre los potenciales sucesos y porque además, nunca podremos saber que habría pasado si las medidas de seguridad no se hubieran tomado. Algo parecido al "Efecto 2000". ¿No paso nada porque se adoptaron las medidas adecuadas y al final se paliaron los efectos, o es que realmente no era para tanto? Quedará como uno de los grandes misterios del siglo XX.

De cualquier manera, está claro que los incidentes de seguridad tiene un coste:
- directos por los daños que se causan
- indirectos por el tiempo de recuperación, las horas que se invierten en volver a restaurarlo todo para dejarlo como antes del incidente.

Por desgracia estos costes no se miden y por tanto, es dificil hablar de rentabilidad si no cuantificamos la "inseguridad". En cualquier caso, dentro del gremio hay establecido que existe un ROSI, "Return of Security Investment".

Como seguro que alguno de mis lectores es un apasionado de las cifras y estará interesado en hacerse oir en materia de seguridad en base a parametros como la rentabilidad o el análisis coste/beneficio, a continuación referencio un muy buen documento que trata el tema más profundamente, poniendo conceptos y cifras a todo.

El documento podeis bajarlo de Infosecwriters y se titula "Return of Security Investment".
 
;