Aunque según los analistas, al menos un tercio de las empresas se ha informado de los retornos económicos que obtendría, como paso previo a la realización de un fuerte desembolso en tecnología que garantice la seguridad de sus sistemas informáticos, son muy pocas las que realmente aprecian su valor. En su mayoría han concluido en que el cálculo del ROI (retorno de la inversión) en un plan de contingencia conlleva dificultades en muchos casos insalvables, dado que la mayor parte de los beneficios conseguidos son intangibles normalmente vinculados a la imagen de marca o la pérdida de productividad de los empleados.
Dos expertos proponen a continuación sus puntos de vista en torno a cómo se mide el ROI en un proyecto de contingencia. Se trata de Carlos Jiménez, presidente y fundador de Secuware, y Mario García, Country Manager NetScreen Iberia. Aclarando que más de un 40 por ciento de las empresas asegura haber sufrido en el último año una contingencia calificada de grave o muy grave relacionada con la seguridad informática , Jiménez no oculta que la inversión en asegurar la información sigue siendo considerado como un gasto en lugar de una inversión necesaria .
Hay estudios, explica, que afirman que sólo el 30 por ciento de las empresas ha evaluado el ROI antes de realizar una inversión en seguridad informática, aunque de ellas sólo el 5 por ciento lo realiza de forma habitual. Según el directivo es difícil calcular el ROI de un plan de contingencia porque la mayoría de los beneficios obtenidos son intangibles (daño de la reputación de la marca, fugas de información, pérdida de beneficios, pérdida de productividad de los empleados…), y para que sea positivo es necesario demostrar el ahorro que las medidas adoptadas suponen al evitar una incidencia . Por ello, indica es preciso conocer cuál es la probabilidad real de sufrir una incidencia, y cuál es el coste asociado a la recuperación de la misma (costes humanos, materiales, de oportunidad, u otros) , y concluye asegurando que el coste estimado para una incidencia dentro del ROI debe calcularse realizando un promedio entre probabilidad de la incidencia y coste de recuperación. Un buen ROI de un proyecto de contingencia debe contemplar riesgos como el mal uso de la plataforma PC por parte de los propios usuarios, o la falta de control de la información, por un uso incorrecto sea intencionado o no , sentencia Jiménez.
Mario García, Country Manager NetScreen Iberia, asegura, por su parte, que resulta obvio que siempre es mejor prevenir que curar. Cuando se presupuesta un proyecto de seguridad o plan de contingencia siempre debemos estar preparados para lo inesperado. Cuando una compañía contrata un seguro para cubrir la pérdida de datos o una brecha en la red, muchos ofrecen descuentos si el departamento de seguridad IT puede demostrar que las medidas que se han tomado son demostrables y lo suficientemente sólidas. NetScreen aboga, según García, por abordar la problemática de la seguridad por capas para conseguir una mayor efectividad. Para ello, cuenta con una amplia gama de productos de hardware con el fin de obtener una completa solución de seguridad por capas que mejorará notablemente el TCO.