Suponga que usted desea comprar un automóvil, y que desea evaluar la inversión que va a realizar, de forma de optimizar la utilización de su dinero. ¿Qué factores tendría en cuenta al momento de la compra? Suponga que hay dos opciones que le agradan, el auto A y el auto B, cuyos costos son $30.000 y $34.000 respectivamente. ¿Son suficientes elementos para evaluar la decisión? Apuesto a que usted también tendrá en cuenta los costos asociados al automóvil: cuál de los dos consume más combustible, cuál es el costo de los impuestos para cada auto, cuál de los dos tiene un seguro más costoso, cuál posee repuestos más económicos, etc. Seguramente usted ha considerado todos estos factores al momento de comprar un automóvil pero, ¿ha tenido en cuenta estos factores a la hora de evaluar una inversión en seguridad?
El Total Cost of Ownership (TCO, en español traducido como "Costo Total de Propiedad" o "Costo Total de Operación") es un modelo presentado en el año 1987 por Hill Kirwin de Gartner Group Inc. En un principio, se trató de un modelo para evaluar las inversiones en compra de equipos de escritorio (PC), que luego fue extendido a redes LAN, sistemas cliente/servidor, computación distribuida, telecomunicaciones, centros de procesamiento de datos, y recientemente para sistemas portátiles (handheld).
El TCO es un modelo que pretende ayudar a los ejecutivos de empresas a evaluar tanto los costos directos e indirectos que están relacionados con la compra de cualquier activo informático. Por ejemplo, en el caso de la compra de una computadora, el modelo propone considerar no sólo el precio de la misma, sino también considerar como costo total, entre otras cosas, los costos de traslado, de espacio, consumo de energía, costos de implementación, costos por reparación o costos de recursos humanos. Todos estos costos ponderados permitirán tomar una mejor decisión a la hora de invertir.
Entonces, ¿es posible implementar este modelo en inversiones en seguridad? No sólo es posible, sino también beneficioso para cualquier organización que decida invertir dinero en seguridad. Citando el ejemplo de nuestro campo de experiencia, algunos de los costos ocultos que pueden evaluarse, además del precio, para calcular el TCO de una solución antivirus serían:
- Consumo de recursos en el sistema
- Necesidad de inversión en hardware
- Necesidad de inversión en software y/o actualizaciones del sistema operativo
- Costo de horas necesarias de administración
- Costo de horas necesarias para desinfección de equipos con malware
- Costo de horas de implementación
- Costo de capacitación
Es decir, todos estos factores van a impactar en el dinero que la empresa necesitará para contar definitivamente con una solución antivirus . Por ejemplo, un antivirus cuyas tecnologías de detección sean más efectivas, tendrán un impacto en menor cantidad de infecciones, y por lo tanto disminuirá el costo por soporte. Una solución con bajo consumo de recursos, no tendrá costo adicional para invertir en hardware en los sistemas que noten una necesidad de mejorar su performance. Sin embargo, es frecuente que sólo se considere el precio de la solución como único factor respecto a la economía de la empresa y la implementación de la tecnología.
En resumen, TCO es un modelo que puede ser resumido de la siguiente manera: no mire sólo el precio. Para realizar una inversión en seguridad, se debe hacer una evaluación de la misma considerando los aspectos recién mencionados. Eso permitirá a las empresas realizar mejores decisiones para contar con mejores tecnologías de protección, que minimicen los incidentes y a la vez optimicen la inversión realizada en seguridad.
Sebastián Bortnik
Analista de Seguridad