La semana pasada os introduje a Salvador, el cual sigue avanzando en el reto que se propuse, solo recordar los tres temas que va a tratar:

  • Aplicando normativas de seguridad y tratamiento de la información sin entorpecer los procesos que generan valor para el negocio
  • Reducción de costes operativos en TI simplificando la agenda del CISO
  • Soluciones de protección de la información: Datos, Redes y Dispositivos que aportan valor directo al negocio mejorando su fiabilidad y continuidad
  • Como lo prometido es deuda aquí viene el primer chapuzón en la turbulenta piscina del valor de negocio de la seguridad TI. Tengo que reconocer que ciñéndonos a la estricta definición de TCO clásico (aka-  Gartner año 2000 aproximadamente) estoy en el trampolín más bajo y sencillo de todos los planteados.

    En otras definiciones ó metodologías posteriores, tipo TVO (Total Value of Opportunity), el peso más fuerte de la justificación del valor de negocio suele recaer en conceptos como Cost Avoidance ó Risk Management que en el ámbito de las Soluciones TI de Seguridad implica el cálculo predictivo sobre KPIs (Key Performance Indicators) del tipo: % de amenzas bloqueadas, Impacto en el SLA de los sistemas críticos de negocio debido a las intrusiones (virus, malware, hackers,…) no bloqueadas, y en el ámbito de la protección de los datos corporativos otros KPIs del estilo : € Importes de las Sanciones por incumplimiento de normativas Reguladores (LOPD es un ejemplo cercano para nosotros dadas el creciente número de sanciones de la Agencia Española de Protección de Datos) ; Costes de las Auditorías de calidad en Procesos no Automatizados ; impactos directos en ingresos en cuenta de resultados por delitos relacionados con fuga de datos (clientes, proveedores, operaciones comerciales en curso)  ; etc…  Estas KPIs y otros indicadores, a los que trataré de aproximarme en los dos siguientes artículos, son sin duda menos extrapolables entre empresas, sectores ó geografías.

    Sin duda es más sencillo poner ejemplos algunas medidas precisas basadas en numerosos ejemplos reales de compañías que han calculado el impacto en Costes Totales de Propiedad del uso de Soluciones TI de seguridad integradas para resolver los numerosos aspectos de la seguridad que el CISO tiene en su agenda. Así que sin más veamos algunos:

    • Ahorros de costes en Redes Corporativas Compliance: NAC Hardware vs NAC Software multiplatform:
      • 15-20 % de incremento en el coste anual por la actualización de todo el hardware de comunicaciones (= 8-16 % IT Budget) a compatibilidad mono-fabricante de 802.1x.
      • 12-24 meses roll-out

    Vs

    • 4-6 % del coste software base en PCs = 5-10 %
    • 4-6 meses roll-out

    Ejemplo: 100M€ IT Budget +12.000 PCs y Servidores Wintel:

    • Incremento de Coste Hwd 802.1x= 2M€ + 3/2 años de roll-out y servicios =.8M€ = 2.8M€

    vs

    • Incremento de Coste Sw: NAC= 200k € + 1/2 año de roll-out y servicios =200k€ = 400K€

     

    • Ahorros de costes en la implantación de una solución de Cifrado de puesto corporativo mixto (Avanzado/Básico) vs Solución de Cifrado de puesto corporativo homogénea:
      • Avanzado =(Todo el almacenamiento accesible: Discos Duros, USB devices, ficheros… gestión de claves, pre-arranque y cumplimiento completo de normativas FIPS, EAL, Common Criteria, …)  avanzada
      • Básico= Basada en capacidades del SO (tipo bitlocker) ó Software Libre, GNU, etc..: sin herramientas completas de gestión, limitaciones en dispositivos  

    Ejemplo: 10.000 PCs y Servidores Wintel:

    • Incremento de Coste de la solución de Cifrado Completa= 1.2M€

    vs

    • Incremento de Coste Sw cifrado Avanzado 10% y 90% Básica: 120k€ avanzado + 200k€ básica = 300K€

     

    OTROS ejemplos reales de ahorros en fase de despliegue y operación de Imágenes Cifradas de PCs y Servidores para redes corporativas:

    Utility
    • Reduces Image creation and Management Costs by 75%
    • Saves $50 per PC
    • Saves $75 per recovered file
    MultinationalGoods&consumer
    • Saves $80 to $120 Per PC reducing deployment time by two to three hours
    • Securely removes data from retired PCs saving $25
     
    • Avoids rebuilding an average of 70 PCs/day, also reduces down time from 1 day to less than a hour per PC
    • Eliminates paying a vendor $18-$26 per PC, saving $180,000 to $260,000 and provides assurance that proprietary company data will not leave it’s possession
    University
    • Reduces Migration time from 1 Hour to 10-15 minutes, and ensures all data is transferred, eliminating another 30-60 minutes of additional support time
    • Active Protection System has reduced Hard Drive failures by 40%-50%

    Espero que estos ejemplos le sirvan para comenzar a plantear algunos casos de TCO sólidos para soportar sus decisiones en funcionalidades de seguridad TI y Como siempre, por favor no dude en comentarme todo aquello que piense me puede ayudar a mejorar este enfoque…

    Saludos cordiales,

  • Aplicando normativas de seguridad y tratamiento de la información sin entorpecer los procesos que generan valor para el negocio
  • Soluciones de protección de la información: Datos, Redes y Dispositivos que aportan valor directo al negocio mejorando su fiabilidad y continuidad