Cómo calcular el ROI de una solución de IAM: ¿Cuánto puedes ahorrar?
Posiblemente seas ya consciente de que la utilización de procesos manuales en la gestión de identidades puede llegar a ser un proceso tedioso. Probablemente tengas además la impresión de que supone una constante pérdida de tiempo y un derroche de los recursos de IT presentes en tu empresa. Es una sensación muy común en las organizaciones que no tienen definidas Políticas de Seguridad Corporativas así como Sistemas de Gestión de Identidades (GdI), que sistematicen procesos relacionados con la identidad de los usuarios relacionados con la organización.
Si bien la implantación de una solución de GdI implica cierto nivel de complejidad, así como unos costes asociados, éstos deben ser contemplados como una inversión en lugar de un gasto adicional. Con frecuencia, además, la contratación de una solución GdI es considerada una especie de gasto necesario, motivado tanto por cuestiones normativas como por la necesidad de incrementar la seguridad de la información digital de la compañía.
El problema es que, a priori, parece complicado estimar el valor de todos los factores que intervienen a la hora de calcular todos estos costes asociados. Si se piensa en empresas cuyo volumen de trabajo y procesos es especialmente elevado, la confusión es más que comprensible. Cuanto mayor es el número de identidades corporativas a gestionar, más complejo puede volverse todo el proceso.
Una consideración:
Como ya imaginarás, es considerablemente complicado hacer un planteamiento generalizado que contemple cada una de las casuísticas que puedan estar presentes en el mundo corporativo. Sólo una persona involucrada en tu organización puede identificar las particularidades de tu negocio para llevar a cabo un cálculo preciso de todas y cada una de las tareas y facetas relacionadas con la gestión de identidades en tu empresa.
Ahora bien, lo que te propongo es poner de relieve un conjunto de los principales costes de oportunidad que implica la ausencia de una solución GdI. De esa manera, serás mucho más capaz de calcular el ahorro generado por ésta y compararlo con su coste de implementación.
¿Cuáles son los principales gastos que necesitas analizar para hacer un adecuado del ROI de una solución GdI?
1. Costes derivados de la administración manual de la gestión de accesos e identidades
La gestión de las identidades digitales de tus empleados implica una multiplicidad de tareas que podrían automatizarse fácilmente. En este sentido, se puede destacar todo lo que afecta a la gestión de contraseñas, atribución de privilegios de acceso, supervisión del cumplimiento de la normativa legal y la política corporativa de protección de datos, así como la sincronización de todas las credenciales y sus atributos presentes en múltiples bases de datos y directorios.
Más concretamente:
El ciclo de vida de una identidad digital puede implicar diversas etapas, a lo largo de las cuales será necesario llevar a cabo tareas relacionadas con el aprovisionamiento y desprovisionamiento de cuentas, cambios de departamento o puesto (y la correspondiente alteración de sus derechos de acceso), etc.
Necesitas estimar el tiempo que se invierte en este tipo de tareas básicas y multiplicarlo por los honorarios que percibe tu personal de IT. El coste asociado con estas actividades se verá drásticamente reducido, gracias a la implantación de un sistema automatizado.
En el caso de que determinados procesos no puedan automatizarse completamente, la definición de un flujo de trabajo estandarizado contribuirá igualmente a agilizar su ejecución y hacerla más transparente, lo cual también reducirá la posibilidad de errores.
Pero eso no es todo:
Las soluciones GdI simplifican sustancialmente los procesos relacionados con las auditorías internas. Para llevar a cabo el cálculo de las mismas, te recomiendo tener en cuenta el tiempo empleado en la elaboración de los informes de cada uno de vuestros sistemas, así como el correspondiente a la consolidación.
Según las estadísticas publicadas por SC Magazine, la utilización de herramientas de IAM para la elaboración de informes de seguridad IT reduce los costes entre un 50% y un 80%.
2. Costes derivados por la pérdida de productividad del usuario final/empleado
El tiempo durante el cual tus empleados no pueden hacer uso de sus aplicaciones y herramientas de trabajo supone una pérdida de productividad. Obviamente, el cálculo de este coste puede ser complejo, dado que es difícil determinar el nivel de inactividad que el empleado experimenta mientras se está restaurando su password, aprovisionando su nueva cuenta o cambiando sus privilegios de acceso. No obstante, si reflexionas acerca de ello, seguro que crees que es un aspecto en el que tu organización puede mejorar u optimizar sus procesos de adaptación e incorporación de empleados.
Más crítica resulta la inoperatividad por parte de un subcontratista o cualquier stakeholder, cuando éste no puede desempeñar una tarea concreta, debido a la ausencia de una cuenta o falta de autorización por parte de IT.
3. Costes derivados del incumplimiento de las normativas y penalizaciones como consecuencia de su violación
Todas las organizaciones están sometidas a una exigente regulación que implica el establecimiento de controles internos y el cumplimiento de múltiples normativas, tales como la LOPD, la ISO 27000, la Sarbanes-Oxley, la Basel II, EU Privay, etc.
Tal como indicaba al principio de este post, la privacidad de la información de los usuarios se ha convertido no sólo en una cuestión de control de riesgos en la seguridad de la información, sino también en una obligación normativa, con las complejidades que esto implica y el peligro de las sanciones correspondientes en caso de incumplimiento.
Este aspecto es especialmente relevante para determinados sectores que llevan implícito el cumplimiento de normativas específicas propias, y que necesitan superar auditorías que prueben dicho cumplimiento. Un ejemplo es el caso del sector financiero, cuyas organizaciones requieren superar la normativa PCI DSS (Payment Card Industry Data Security Standard), y para los cuales contar con una herramienta PCI DSS Compliance como WBSVision es realmente interesante.
¿La solución?
La tecnología propia de las soluciones GdI posibilita un rápido proceso de adaptación a las normativas gubernamentales. Teniendo en cuenta que tan sólo el 50% de las empresas logran superar los procesos de auditoría externa, las probabilidades de sufrir una sanción o ver el negocio paralizado constituyen un riesgo económico que necesitas calcular.
De acuerdo con la consultora Forrester, a lo largo de la última década, todas las organizaciones consultadas han experimentado un incremento exponencial en el tiempo invertido para satisfacer los requerimientos impuestos por la legislación.
4. Costes derivados de una brecha en la seguridad de la información
El cálculo de las probabilidades de que tu empresa sufra una brecha de seguridad dependerá mucho del tipo de sector y mercado en el que opere, así como la utilización efectiva de políticas de seguridad interna dentro de tu organización.
No obstante, según cifras facilitadas por Forrester, las soluciones de IAM pueden reducir la vulnerabilidad frente a amenazas en un 75%.
El coste medio que puede generarse con una brecha de seguridad oscila entre los 250.000 dólares y los 3´5 millones de dólares, dependiendo de las fuentes consultadas. La cifra más conservadora corresponde a Forrester, mientras que la más elevada fue estimada por el Instituto Ponemon.
¿Cómo puedes calcularlo?
El impacto económico de una brecha de seguridad debe tener en cuenta el coste generado por la pérdida de datos, la validación de la integridad del resto de la información, la pérdida de credibilidad de la marca y los costes de oportunidad de futuros negocios.
Conclusión:
Sea cual sea la estimación que realices, la cruda realidad es que los ciber-ataques siguen creciendo y, cada día, podemos añadir nuevas modalidades a los ya conocidos phishing, vishing, smishing o pharming.
Comienza a hacer tus cálculos ahora
A pesar de la aparente complejidad de la implantación de una solución GdI, los costes que tu empresa puede llegar a ahorrar con ella constituyen argumentos difíciles de refutar, máxime si estamos hablando de soluciones basadas en open source, como WBSVision, las cuales eliminan cualquier barrera de entrada derivada del gasto que supone la adquisición de licencias propietarias.
Te animo a que pongas en valor los citados ámbitos, con los que podrás calcular los costes actuales en los que incurre tu organización y comparar los mismos con la inversión necesaria para contratar una solución de gestión de identidades. Es muy posible que te sorprendas.
Quizá te interese:
- Que no te engañen con el TCO. Todo lo que necesitas saber de los proyectos GdI para evitar imprevistos.
- Por qué implantar un Sistema de Gestión de Identidades open source.
- Señales inequivocas de que necesitas un Sistema de Gestión de Identidades.
- 7 preguntas útiles antes de implantar un Sistema de Gestión de Identidades.
