07 agosto 2013

La (in)seguridad y los Estados Financieros

(Este artículo se publicó originalmente en n+1 tiende a infinito, el blog de n+1 Intelligence & Research)

En la última edición de la rooted tuve la oportunidad de participar con una ponencia titulada: "¿Y si la seguridad afectara al valor contable de la empresa?" en la que se exploraba la posibilidad de que los fallos de seguridad tuvieran reflejo en la contabilidad de las empresas, mediante una reducción del valor de su activo.

Lógicamente se trataba de un ejercicio teórico y así se comentó durante el turno de preguntas al final de la charla, pero no es menos cierto que hay más ejemplos de metodologías que están tratando de acercar la seguridad a los estados financieros. En particular, esta entrada la vamos a dedicar a comentar brevemente el Modelo de Valor de Seguridad de la Información desarrollado por Ed Ferrara (Analista Principal de Forrester en materia de riesgo y seguridad).

Básicamente el modelo trata de aportar una herramienta a los CISOs para que puedan determinar dónde invertir tomando como punto de partida la valoración de los ingresos generados por la información gestionada por la organización. Aunque no vemos muy novedoso este enfoque (al fin y al cabo, es lo que hacemos en cualquier análisis de riesgos: valorar la información y las TIC por los procesos de negocio que posibilitan), sí que nos resulta interesante la forma en la que trata la seguridad de la información como cualquier otra función de negocio y como aplica los conceptos contables a la valoración de la seguridad (depreciación, métodos de valoración, activos, pasivos, etc.). En particular respecto a los pasivos, más que considerar la información"tóxica", cuya valoración siempre resultará compleja, una estimación del pasivo como una depreciación del activo si no se encuentra bien protegido nos parece más directa y más fiable.

Lógicamente quedaría por determinar la manera en que se calcula ese nivel de inseguridad:
  • ¿Qué mecanismo de valoración se utiliza? Debe ser objetivo, verificable y consistente a lo largo del tiempo.
  • ¿En qué medida se deprecia el valor del activo? ¿Lineal, exponencial...?
  • ¿Cuál es el rol del CISO, del CFO, del auditor interno y/o externo?
  • ¿Qué ocurre con los zero days?
En definitiva, muchas incógnitas que habría que establecer / consensuar, pero que, en mi opinión, proporcionarían un esquema que, al igual que el método propuesto por Ed Ferrara, proporcionaría una guía ligada al negocio para que los CISOs pudieran tomar decisiones sobre dónde invertir en seguridad y que las áreas de negocio valoraran mejor las inversiones en seguridad.

Ya veremos cómo evoluciona la relación entre la seguridad de la información y la contabilidad de las organizaciones...

... ¿todavía no me sigues en twitter.com/antonio_ramosga?


NOTA: Para analizar en detalle el modelo propuesto por Forrester, puedes consultar los siguientes documentos:
  • "Determine the Business Value of an Effective Security Program - Information Security Economics 101", http://goo.gl/caSFOl
  • "Determine the Value of Information Security Assets and Liabilities - Information Security Economics 102", http://goo.gl/SJ1DxC