Sunday, February 19, 2006

Pero...¿Cuánto vale lo que intento proteger?

La organización de la seguridad adolece de otro problema atávico y difícil de erradicar. Los Departamentos de Seguridad se han visto tradicionalmente como centros de coste, desde el punto de vista de Dirección General. No existe en la mente directiva una vinculación muy clara entre mi gasto en seguridad y los beneficios directos asociados a ese gasto. Esta percepción hace difícil la aprobación de gastos e inversiones en personal, hardware, software, formación, definición y desarrollo de procesos y procedimientos sin una aproximación que no me garantice el retorno de la inversión. La seguridad es un intangible, una sensación subjetiva, difícilmente encorsetable en números y que sólo se cuantifica cuando “ya ha pasado algo”. El reto para las organizaciones es responder de antemano al ¿Qué pasa si...? o, dicho de otro modo, al coste que supone la no-seguridad para la organización.
Muy pocas empresas saben exactamente cuánto deben gastarse en seguridad, al desconocer el valor de los activos que pretenden proteger. También desconocen cual es la probabilidad de que se produzca un impacto económico en sus activos y cual sería el impacto caso de producirse un incidente que afecte a la confidencialidad, integridad y disponibilidad de los mismos. Pocos mimbres para una estructura propensa, por tanto, más a las decisiones emocionales, espontáneas y arbitrarias, cuyo grado de inmediatez es directamente proporcional al impacto sufrido, que a un análisis metódico y racional que priorice la protección de aquellos activos más críticos para el negocio.

0 Comments:

Post a Comment

<< Home