Un tema complejo para las gerencias, sin duda. ¿Cuánto cuesta la seguridad de la información a una empresa?
Hace algún tiempo, hablé del tema de costes de seguridad en «una-al-día» de Hispasec. Publiqué el mismo texto en este blog, y también está enlazado en muchos sitios más, como Belt Ibérica.
Hoy os enlazo la opinión de alguien mucho más experto que yo en estos asuntos. Se trata de un administrador de red de Morgan Stanley, Kelly Lucas, que cuenta cómo evaluar estos costes desde una perspectiva financiera clásica: Retorno de la Inversión, Valor Neto Actual y la Tasa Interna de Retorno (en otras palabras, los famosos VAN y TIR, aderezados con el sempiterno ROI.
Todo esto me recuerda que tengo publicado por ahí temario de la asignatura Dirección Financiera, perteneciente a los estudios de segundo ciclo de Ingeniero en Organización Industrial, estudios que cursé en la Universidad de Málaga, en los que explico precisamente todo lo relativo a los criterios básicos de selección de inversión en la empresa. He subido los tres temas de análisis de inversión al servidor, así que el que quiera, que se los baje: vienen con teoría y ejemplos prácticos.
- Criterios para la selección y valoración de inversiones – Payback, TRC y otros métodos estáticos.
- Criterios para la selección y valoración de inversiones – Valor Actual Neto
- Criterios para la selección y valoración de inversiones – Tasa Interna de Rendimiento
Este es un claro ejemplo de que los métodos más clásicos y simples son útiles cuando se usan sabiamente. La evaluación de costes es un problema complejo pero puede ser simplificado con las herramientas adecuadas.
Fuente: Economic Evaluation of a Company’s Information Security Expenditures
No creo que la pregunta sea: ¿cuánto cuesta la seguridad?. La pregunta es: ¿cúanto cuesta NO tener seguridad o una seguridad insuficiente?
No te quito razón. De hecho, si lees la primera frase del artículo de «una-al-día» verás que comienza diciendo «Conocer el coste real de la no observancia de la seguridad es complejo.»
Esto es algo parecido a lo del famoso vaso medio lleno o medio vacío. Suelo jugar con la terminología y a veces, induce a la confusión. Mis disculpas.
Los costes de la seguridad o los costes de su no observancia son a fin de cuentas, costes en la empresa, los cuales deben entenderse, y permíteme otro juego de palabras, no como costes, sino como inversiones, es decir, como algo positivo y no como lastre financiero.
Un saludo ;)