Hace unos días compartíamos en este mismo blog un primer concepto respecto a las inversiones en seguridad de la información: TCO (Total Cost Ownership), un modelo diseñado para calcular al momento de invertir no sólo los costos directos (o únicamente el precio) sino realizar una evaluación más completa de todo el dinero necesario para contar con un producto o servicio en la organización.
Hoy continuaremos extendiendo otro concepto importante al momento de invertir, y su aplicación particular en lo que respecta a seguridad: el Retorno de Inversión (ROI, del inglés Return On Investment).
El ROI es un valor que relaciona la inversión en un proyecto con los beneficios económicos que este traerá. Es utilizado en las empresas para evaluar la viabilidad de una inversión. Es decir, si voy a invertir 2 mil dólares, y el proyecto traerá un beneficio económico de 5 mil dólares en el primer año, el mismo es económicamente viable.
La fórmula básica para el cálculo del ROI es la siguiente:
ROI = (Beneficio - Inversión) / Inversión x 100
Según el ejemplo brindado, se puede realizar el cálculo de la siguiente manera:
ROI = (5000 - 2000) / 2000 * 100 = 150 %
Es decir que el proyecto tiene retorno de inversión esperado de un 150%. Esto quiere decir que al plazo dado (un año en este caso), se ganará dinero en función de la inversión en el porcentaje indicado.
Ahora, ¿cómo se puede evaluar un ROI a la hora de invertir en seguridad? Mientras que en una inversión convencional se pueden establecer ganancias (por ejemplo, si se invierte en un nuevo software de gestión, se invierte en personal, o en un proyecto determinado), las inversiones en seguridad no ofrecen el ingreso de dinero (directo) por su implementación.
¿Cuánto dinero ingresará en la empresa si se compran matafuegos como medida de seguridad? Pensando en la seguridad informática, ¿cuánto dinero ingresará en la empresa por comprar un antivirus o instalar un firewall? Claramente las respuestas a estas preguntas es cero. Las inversiones en seguridad no son realizadas para obtener el ingreso de dinero en la organización.
Sin embargo, es posible hacer una medición del retorno de inversión en seguridad (o ROSI), analizando los beneficios económicos relacionados a dichas inversiones. ¿Cómo es posible? Analizando los incidentes que dicha medida de seguridad prevendrá o evitará, y cuál es el impacto económico que se evita.
Cada vez que ocurre un incidente de seguridad (una infección de malware, un daño en una base de datos, un intruso), la empresa pierde dinero; y al cuantificar este dinero es posible analizar la viabilidad económica de dicha inversión.
Por ejemplo, si una empresa sabe que un antivirus tendrá un costo anual determinado, podrán analizarse cuáles son los gastos que se deberá incurrir si no se cuenta con un antivirus, en lo que respecta a tiempo de reparación de incidentes, costo de información perdida, costo en horas hombre para reinstalar un sistema o costos por pérdida de productividad por interrupción de servicios. Todos estos costos deben cotejarse contra el costo de la solución para obtener el ROSI de la misma.
En resumen, mientras que el ROI evalúa cuánto dinero se ganará por realizar una inversión, el ROSI evalúa cuánto dinero se dejará de perder.
Existen diversas fórmulas para calcular el ROSI, que iremos compartiendo con los lectores en futuros post, de forma que puedan seguir optimizando en las empresas los procesos de decisión de inversión en materia de seguridad de la información.
Sebastián Bortnik
Analista de Seguridad