Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Una de las mayores preocupaciones que tienen los organizadores de los Juegos Olímpicos,
que se celebrarán este verano en Atenas, es la seguridad, pero no solamente la seguridad
física, sino la seguridad de los sistemas informáticos. Los esfuerzos para evitar problemas con
los ordenadores que gestionarán la ingente cantidad de información durante la celebración
podrían equivaler, cuanto menos, a la importancia del evento a nivel mundial.
La información a proteger en unos Juegos Olímpicos es tan valiosa que cualquier esfuerzo para
conseguirlo merece la pena. Sin embargo, a la hora de llevar a cabo una inversión en
seguridad en una empresa, que no suele tener el tamaño de la organización de unos Juegos
Olímpicos, el dinero empleado no siempre va a ser el adecuado para proteger la información.
Por un lado es posible que las inversiones realizadas resulten escasas y, por tanto, ineficaces.
Pero tan absurdo es dejar un sistema insuficientemente protegido como sobreprotegerlo, ya
que en muchos casos es un dinero mal invertido.
A la hora de calibrar el gasto a realizar en una instalación de seguridad informática hay tres
valores que deben ser tenidos en cuenta. En primer lugar, debe conocerse el valor de la
información o de los sistemas que deben protegerse. De todos es sabido que éste es, quizá,
uno de los datos más difíciles de obtener en una empresa. ¿Cuánto vale el know how de la
compañía? O más complicado aún, ¿cuánto vale en este momento el proyecto de un nuevo
producto que está todavía en desarrollo? La cantidad de variables a tener en cuenta es
elevadísima, y en numerosos casos imposibles de cuantificar de una manera objetiva. La mejor
manera de conseguir ese dato es a través de un cálculo indirecto, es decir, medir no las
pérdidas, sino la pérdida de dinero que se derive de la pérdida de la información.
Basta con imaginar, pongamos por caso, cuánto cuesta tener parada una hora la red de una
empresa. Si dividimos la facturación anual de un negocio por el número de horas de
trabajo,podremos tener el coste de tener los servidores parados una hora.
Y, por último, hay que medir el coste que le supondría a un atacante conseguir romper las
barreras de seguridad y obtener la información protegida. Este valor debe ser claramente muy
alto, es decir, lograr una determinada información debe ser mucho más costoso que el valor de
la información en sí. De esta manera, estamos colocando una barrera intangible muy difícil de
superar, ya que “si no merece la pena” entrar en un sistema, casi nadie va a intentarlo. O, por
lo menos, se conseguirá disuadir a la inmensa mayoría de atacantes.
Como siempre que se trata de evaluar un riesgo de seguridad, el establecimiento de las bases
de medición es bastante complicado, ya que no existe una métrica perfecta, y aunque la
hubiera debería adaptarse a cada uno de los casos particulares de negocio. De hecho, un
determinado parámetro válido para una visión empresarial es absolutamente distinto para
otra,por muy parecidos que sean los negocios.