Inversión en Seguridad, ¿Cuánto es suficiente?

Previo a realizar inversión en Seguridad, es importante establecer cuales de mis activos de la información (se puede utilizar la analogía ¿Cuál es el cuarto de los niños?) deben ser protegidos utilizando para ello una evaluación de riesgos (ISO 27005, MAGERIT, entre otras).
Con esta información debemos cálcular la Expectativa de Pérdida Anual – ALE (Annual Lost Expectancy). A continuación un ejemplo de la aplicación del cálculo de este indicador.

 

 

Con esta información conocemos de forma monetaria la exposición que tenemos ante eventos de riesgos y podemos modelar el impacto que estos riesgos de seguridad pueden tener sobre los activos de la organización. Ahora la pregunta es ¿lo que voy a invertir es o no adecuado?, para ello entre otros aspectos se puede considerar el indicador ROSI (Retorno de la inversión en Seguridad) para monitorear cuánto dinero dejará de perder la organización si ocurre el evento.

Es importante recordar siempre “que debe existir equilibrio entre el nivel de control y el nivel de productividad, además el costo de un control NUNCA debe exceder el beneficio que se espera obtener”.

Inversión en Seguridad, ¿Cuánto es suficiente?

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Universidad Tecnológica Israel