Diofanor Rodríguez CPP
Saber de buena tinta el costo real del no cumplimiento de la seguridad es complejo. Tal dificultad se deriva de dos motivos principales: Primero, se tiene una mezcla de aspectos tangibles e intangibles, estos últimos no cuantificables, tales como la incertidumbre; y segundo, no es habitual que las empresas examinen la totalidad de sus fallos de seguridad corporativa, ni siquiera a nivel interno, ya que muchas veces éstas están penalizadas o pueden suponer una fuente de conflicto para los responsables de seguridad que por cualquier motivo no hayan procedido correctamente.
Sería enormemente útil conocer estos costos para afrontar las planificaciones presupuestarias. La seguridad corporativa siempre tiene un elemento económico, y conocer su cuantía de una manera previa sería muy interesante para los departamentos financieros y de seguridad corporativa.
Desafortunadamente, la información que puede conocerse de estos costos presenta datos no del todo confiables, toda vez que en múltiples ocasiones son datos que corresponden a otras empresas o sectores productivos. Ello muestra que solo nos podemos fiar de los datos recolectados dentro de la organización.
Pese a esto, es frecuente ver que las publicaciones presentan datos sobre los costos de la seguridad. A veces es frecuente hablar de los costos en los que nos hace incurrir el crimen organizado en las empresas e incluso los costos que proceden de la aparición de vulnerabilidades en nuestros esquemas de seguridad corporativa (equipo, procesos y personas).
Técnicas como el hurto, el sabotaje, las perdidas desconocidas, y los delitos informáticos, son una muestra del sin número de amenazas a las que diariamente está expuesta la seguridad corporativa. Es obvio que el crimen organizado está utilizando cuanto multiplicador encuentra para optimizar su accionar delictivo, siempre en busca de mejorar sus ingresos económicos fruto de sus actividades ilegales.
Las preguntas que saltan a la palestra ante este escenario serían:
¿Cuánto le cuesta esto a las empresas, en términos económicos? ¿Qué perjuicio, traducido en términos financieros, causa el descubrimiento de lasitudes en los protocolos de seguridad corporativa?.
Uno podría decir entonces que en múltiples ocasiones, los datos que conocemos no se acercan a la realidad del verdadero impacto que generan las fallas de seguridad en una organización. Así es entonces que en la práctica desconocemos que tan dramática puede ser la situación para la continuidad del negocio.
En este contexto, otro problema al que se enfrentan los departamentos o empresas proveedoras del servicio seguridad corporativa, es que una vez es descubierta una vulnerabilidad por parte de un atacante y nuestro sistema no lo detecta a tiempo, los adversarios si la divulgan de forma rápida y eficaz, consiguiendo con esto la explotación durante varios periodos hasta que nuestro sistema es reacomodado. Es allí entonces que cuando se detecta, queda el sin sabor de no saber a ciencia cierta hace cuanto ocurría el delito y cuantas perdidas causadas por esta vulnerabilidad fueron llevadas a otros ítems del presupuesto (mermas y averías).
Se estima que existen bajas posibilidades de los equipos de seguridad corporativa, descubran una vulnerabilidad mucho antes de que el adversario nos haya mostrado la misma. En ese caso, el impacto en la organización es más notorio.
A pesar de que como ya se ha dicho es muy difícil de cuantificar, es importante que las Organizaciones trabajen siempre en conocer los costos de los problemas de seguridad para cada una de las casuísticas, pues es evidente que el costo de la no observancia de la seguridad, entendida ésta como la gestión ineficiente de la misma, es un costo elevado, y que lamentablemente, se incrementa día a día.
