Ya se lo decía Rod Tidwell a Tom Cruise en la película Jerry Maguire: ¡Enséñame la pasta! Y es que en el mundo en el que nos movemos, a la hora de tomar decisiones (decisiones que afectan a nuestras organizaciones), no podemos desestimar el factor económico.
El entorno exige una “Mejora continua” y este objetivo está presente en cada momento. Todos los días se nos bombardea con cuestiones sobre la eficiencia, optimización, racionalización de costes, etc. Tenemos a nuestra disposición una amplísima gama de elementos que contribuyen a este fin. Estamos familiarizados con los términos y somos conscientes de la importancia que tiene en nuestro día a día. Está bien, entremos en el juego, nos disponemos a mejorar […] ¿Por dónde empezamos?
¿Implantamos un ERP? ¿Mejoramos nuestros procesos siguiendo guías de buenas prácticas? ¿Incrementamos la robustez de nuestra organización tomando acciones orientadas a mejorar la seguridad? Todas estas actuaciones llevarán asociado un coste: licencias, sistemas físicos, horas de trabajo y algunos más complicados de cuantificar como puede ser el impacto en la política de la empresa, la responsabilidad social, la imagen corporativa, cuestiones éticas, etc.
Llegado a este punto habría que preguntarse, ¿qué beneficios vamos a obtener? Y no me refiero a las ventajas que obtenemos inherentes a cada una de las opciones, sino a beneficio económico. Como muchos habréis deducido, me refiero al ROI o Return of Invesment: Retorno de la Inversión. Podríamos entrar en debate sobre qué acciones de mejora son las más relevantes, priorizarlas y tratar de definir un “Plan de Mejora”, pero… ¡Uff! No dudo que sería interesante pero me gustaría realizar un análisis un tanto más concreto sobre el ROI: el correspondiente a la Seguridad de la Información. Pero a la hora de tratar las inversiones consideraremos una cuestión que no siempre se tiene en cuenta, el factor “disuasión”.
Existen diversas metodologías para realizar análisis de riesgos. Es recomendable acudir a ellas ya que nos ayudarán a identificar los activos que queremos proteger y una vez detectados, protegerlos de una forma racional y así evitar “matar moscas a cañonazos”. Ahora bien, es muy importante considerar el valor del activo teniendo en cuenta su “aportación al servicio” y no considerarlo de forma aislada. Es posible que algunos lectores consideren que esto es de perogrullo, y yo personalmente era consciente de ello (al menos en la teoría).
Hace relativamente poco viví una situación en la que se ve reflejada esta idea, que cuento a modo de anécdota pues creo que se trata de un ejemplo muy didáctico. Nos habíamos reunido unos amigos para tomar un café y charlar un rato, y al despedirnos acompañé a uno de ellos hasta donde había dejado su bicicleta. Mi amigo llevaba un casco “top”, lo cual me hizo pensar que llevaría una buena bicicleta. Al llegar al lugar, ahí estaba “el siniestro”… porque no se me ocurre otra forma de llamarlo. La bici tendría unos 20 años y costaba creer que aquello pudiera aguantar el peso de una persona; ¡desde luego era casi impensable que no se hiciera a pedazos al pedalear! Todavía quedé más sorprendido cuando vi el dispositivo antirrobo; ¡ese candado debía ser para barcos! Trataré de reproducir la conversación que mantuvimos:
Carai tío, ¿dónde vas con eso?
“Eso” es mi bici, es vintage y ahora está de moda (risas).
Con lo que cuesta el casco y el candado te compras once.
Si uso candados malos me la intentan robar cada dos por tres. La última vez rompieron la cerradura y no pudieron llevársela. Yo no pude abrirla tampoco. Al día siguiente tuve que venir con una cizalla y cortar la cadena.
No creo que puedas cortar ese candado con una cizalla.
Con este candado ni lo intentan.
[…]
Supongo que al igual que yo habréis pensado “Mata moscas a cañonazos”… y en parte lo sigo pensando, pero quiero darle una vuelta más de rosca. ¿Tenía sentido llevar aquel casco? Estaba claro que la aerodinámica no era el factor principal a tener en cuenta, sino que él pretendía incrementar la seguridad, su seguridad. Para ello invirtió en un casco que aportaba cierto valor añadido respecto a otros modelos “convencionales”: era más cómodo que los otros modelos, llamaba más la atención, era más visible y, por tanto, no sólo le otorgaba protección frente a golpes, también reducía su riesgo de accidente.
¿Y el candado? Trato de ponerme en el lugar del supuesto ladrón y la verdad es que se me quitan las ganas de llevarme la bici: “Demasiado esfuerzo para tan poca recompensa”. Eso considerando que estuviera la bici sola (que no era el caso). Viendo el resto de bicis, seguro que hubiera tratado de llevarme otra, en definitiva “buscar una presa más fácil”. Lo que vengo a decir es que el hecho de usar ese candado para proteger una bici de escaso valor dotaba al sistema antirrobo de un importante valor añadido: lo dotaba de una fuerte componente disuasoria. (Antonio Villalón nos comentaba recientemente algunas cuestiones sobre Disuasión y Ciberdisuasión).
¿Qué retorno de inversión puedes esperar cuando compras un casco? ¿Y cuando compras un mecanismo antirrobo? Estoy seguro que lectores habituados a establecer salvaguardas para los activos de su organización estarán pensando “el mecanismo de protección no debe valer más que el activo a proteger”, “la inversión en seguridad no debe superar el valor”,… al enunciar estas afirmaciones ¿estamos considerando el valor añadido que podemos obtener gracias a la componente “disuasión”?
¿Consideramos la aportación al servicio? Volviendo al ejemplo, si tratáramos de evaluar la inversión del casco posiblemente sería excesivamente elevada pero considerando el valor añadido (comodidad, reducción del riesgo de accidente, etc.) la inversión no parece descabellada. En el caso del candado ocurre algo similar: si evaluamos el coste del candado respecto al de la bici posiblemente nos encontremos ante un caso de “matar moscas a cañonazos” pero si tenemos en cuenta su valor añadido (disuasión) nos encontramos ante una decisión acertada.
No pretendo justificar la compra en el caso concreto que he comentado sino demostrar o al menos plantear que, antes de evaluar el beneficio que puede aportar una inversión, debe considerarse el servicio concreto ya que en algunos casos podemos descubrir que ciertos elementos aportan valor añadido cuando a priori, al considerarlos individualmente, ese aspecto no parecía evidente. Espero que os haya resultado interesante este enfoque para evaluar las inversiones en seguridad teniendo en cuenta el valor añadido que aporta la componente disuasión. Estáis invitados a compartir otras anécdotas/ejemplos que contribuyan a enriquecer esta pequeña reflexión.
El tema del casco es claro puesto que no es para proteger la bicicleta. Independientemente del valor de la bicicleta, el casco protege tu integridad física. Por lo tanto el activo a proteger es muy valioso.
Depende de la cabeza… :)