21 agosto 2007

El coste de la no-seguridad

Como sabéis, comparto la idea de Schenier de que la seguridad es una inversión que se valora con las mismas reglas que el resto de inversiones en el mundo empresarial y que, por tanto, para "merecer la pena", ha de contar con una buena tasa de retorno. En definitiva, que o la inseguridad (no-seguridad) tiene coste o las inversiones en seguridad nunca merecerán la pena para las organizaciones.


Para mí, es evidente que la no-seguridad tiene un precio que es muy parecido al slogan de MasterCard y que vendría a decir: "Mantener un firewall cuesta 1.000 euros al mes, salir en la prensa por un incidente de seguridad no tiene precio", y sino que se lo preguten a los responsables de Verus Inc., una empresa americana que daba soporte TIC a hospitales y que se ha visto obligada a cerrar después de un error que provocó que se hicieran públicos los datos de 5 hospitales durante los meses de abril y mayo.
De lo que no estoy tan seguro es de si los responsables de las organizaciones son conscientes de esta circunstancia o si, siendo conscientes, lo consideran un hecho tan poco probable que hace mejor destinar los fondos a otros menesteres (espero que nunca a su retribución, sino a inversiones para garantizar la consecución de mejores resultados en el presente y en el futuro o sino, para retribuir a sus accionistas y trabajadores...)
Por cierto, a TJX (lo recordaréis, les robaron datos de 45,7 millones de titulares de tarjetas) les ha costado por ahora, 118 millones de dólares, reduciendo su beneficio en el segundo trimestre de 2007 en un 57%.

2 comentarios:

Mario dijo...

Son datos que desde luego deberían hacer pensar a más de uno.

Con todo, Antonio, te remito a Kahnemann y Tversky:

(1) La gente trata de evitar los riesgos cuando busca la ganancia, pero elige el riesgo si se trata de evitar una pérdida segura.
En el caso de la seguridad, la "pérdida segura" es el desembolso en asesoría, equipamiento, formación, etc, frente a la pérdida probable que representa la materialización de la amenaza (aunque las consecuencias sean 100 o 1000 veces más costosas que la adopción de medidas preventivas).

(2) Consecuencia de lo anterior es que aún cuando intentamos comportarnos "lógicamente", respondemos de diferente manera a un mismo problema en función de cómo se nos plantee. Hay muchos ejemplos, ya clásicos, de esto que te cuento. Por ejemplo, en: http://usuarios.iponet.es/ddt/incertidumbre.htm
Si planteamos la adopción de medidas preventivas como algo que cuesta dinero (pérdida segura) encontraremos siempre una resistencia por parte del cliente.

Por supuesto, siempre hay que tener en cuenta la aversión al riesgo del decisor. Los hay más cagaos que otros.

En un mundo en el que tú y yo pintáramos algo y nuestras opiniones fueran tenidas en cuenta, yo me atrevería a formular la siguiente oferta mafiosa: señor cliente, la adopción de estas medidas preventivas no le va a costar a ud. ni un duro. Eso sí, vamos a montar un sistema robusto, confiable, veraz, etc, por el cual ud. y nosotros tendremos constancia de cada incidente de seguridad del que le hemos salvado, ya sea un intento de intrusión impedido, un ataque DOS bloqueado, etc. Caracterizaremos perfectamente dicho incidente y ud. nos pagará una cantidad previamente estipulada (que puede ser en parte variable, en función de la magnitud de las consecuencias del riesgo evitado).

A este modelo lo denomino Pay-per-Use-Security.
Ya no hay pérdida segura frente a potencial; se paga por un servicio recibido.

Este enfoque será más efectivo, si hemos de creer a Tversky-Kahnemann, que cualquier otro.

Antonio Ramos dijo...

Es evidente que esa resistencia existe, de lo contrario, aplicando una regla de tres, la inversión en seguridad sería mucho mejor recibida.

No obstante, se me plantea una duda cuando llevo el razonamiento al extremo: Si preferimos siempre la pérdida probable a la pérdida segura, nunca deberíamos invertir en medidas de seguridad preventivas y es también cierto que la inversión en medidas preventivas es cuantiosa. Entonces, ¿cuál es el elemento de la ecuación que hace que, a pesar, de la premisa expresada, haya personas que apuestan por la "pérdida segura"? ¿Es (solo) el grado de aversión al riesgo?