Como profesionales de la seguridad, frecuentemente nos encontramos con dificultades para justificar ante  la alta dirección los recursos invertidos en los programas de seguridad de la información. Hasta ahora una de las formas más aceptadas es el uso de parámetros de retorno de inversión como el ROSI (concepto que es expuesto por el Ing. Ulises Castillo en éste y en números anteriores de Magazscitum), pero probablemente no sea la única manera de “vender” la seguridad.

En algunos círculos de profesionales se comienza a hablar de una nueva forma de justificar los esfuerzos en seguridad: La seguridad de información como habilitador de negocios.

El ejemplo más inmediato se manifiesta en aquellas empresas cuyo programa de seguridad de la información les permite el cumplimiento de determinadas regulaciones y esto, a su vez, las habilita para hacer negocios en el marco de una industria formalmente regulada. Tal es la situación de la industria de ventas al menudeo en Estados Unidos, la cual tiene que cumplir el estándar PCI-DSS (Payment Card Industry – Data Security Standard) para poder procesar los pagos efectuados con tarjetas bancarias afiliadas con VISA y Master Card. Localmente la Asociación de Bancos de México prepara lo que será la tropicalización del estándar a la normatividad mexicana, será denominado PCI-M y tendrá como alcance inicial sólo las transacciones de ventas telefónicas y comercio electrónico (ver el informe de comisiones y comités 2008-2009 de la ABM). Es claro entonces que la inversión en seguridad informática les permitirá a las empresas participar de negocios que de otra manera no podrían llevar a cabo.

Una industria como la bancaria necesita de la confianza de sus ahorradores para acercarse capital y acrecentar su participación en el mercado, de manera que un banco necesita ser percibido como seguro y responsable en el manejo de información tan sensible como es la de los saldos, nombres, direcciones y en general los datos privados de sus cuentahabientes. El valor que genera un programa de seguridad radica en el mensaje de seriedad que envía al mercado. Si el mercado es receptivo y el programa se puede publicitar como una ventaja competitiva, la empresa que más temprano adopte las medidas adecuadas de seguridad de información se verá favorecida por los consumidores, –para los que la seguridad sea un elemento importante para  cimentar una decisión–, permitiéndole acceder a cuotas de mercado que quizá no podría obtener  de otra manera.

Parece que el poder detrás de la inversión en seguridad no ha sido completamente revelado; este nuevo enfoque podría ser el paso que nos lleve a reconsiderar nuestro papel en relación al negocio y colaborar, ya no sólo como costo asociado, sino como parte integral del programa de negocios de nuestra organización.

[email protected]