Todo profesional de la seguridad necesita encontrar y utilizar los conceptos financieros adecuados para comunicar el valor añadido que la seguridad ofrece a su empresa.
Los indicadores financieros han acosado a los directores de seguridad desde siempre. ¿Cómo se justifica el gasto en algo que no está diseñado para aumentar la línea de negocio de la empresa? Existe el factor miedo, y sin embargo, explicar por qué cristal antibalas vale más que un metacrilato blindado todavía requiere números. Con una recesión que se cierne sobre las principales economías mundiales como un huracán enfadado, habrá aún más presión para medir lo que los gastos de seguridad que estos aportan a una empresa. El gran reto es reunir y conseguir demostrar de una manera fácil y con datos que esto es así. Y a pesar de que en la actualidad hay herramientas financieras muy potentes, como el ROI, del inglés, Return on Investment o ratio de retorno de la inversión, los datos que maneja un Director de Seguridad es su faceta financiera pueden seguir siendo desalentadores y complican de una manera sustancial el demostrar la rentabilidad del Departamento de Seguridad.
A continuación vamos a exponer cuatro conocidos indicadores financieros de medición que, si se utilizan correctamente, pueden ayudar a estabilizar el impacto que los gastos de seguridad producen en las empresas y ofrecer una perspectiva financiera rentable a la vista de nuestra compañia.
ROI (Return on Investment) o Retorno de la Inversión
El ROI es un valor que mide el rendimiento de una inversión, para evaluar qué tan eficiente es el gasto que estamos haciendo o que planeamos realizar. Existe un fórmula que nos da este valor calculado en función de la inversión realizada y el beneficio obtenido, o que pensamos obtener.
ROI = (beneficio obtenido – inversión) / inversión
Es decir, al beneficio que hemos obtenido de una inversión (o que planeamos obtener) le restamos el costo de inversión realizada. Luego eso lo dividimos entre el costo de la inversión y el resultado es el ROI.
Por ejemplo, hemos hecho una inversión de 1000 euros y hemos obtenido 3000 euros. Entonces el ROI sería igual a (3000 – 1000) / 1000 = 2
El valor de ROI es un ratio, por lo que se expresa en porcentaje. En nuestro ejemplo anterior, que tenemos un ROI de 2%.
Para saber el porcentaje de beneficios de nuestra inversión podemos multiplicar el ROI por 100. Es decir, con un ROI del 2% en realidad estamos ganando un 200% del dinero invertido, o lo que es lo mismo, de cada euro invertido estamos obteniendo 2 euros (siempre una vez descontado el coste de la inversión).
Pero entender este valor aplicado a los gastos de seguridad presenta dificultades, ya que la tensión que existe en la mayoría de las ramas del negocio de una compañía es que la inversión por lo general no conduce directamente a los beneficios.
Para los gastos de seguridad, el problema es más grande: Si hacemos una inversión de seguridad para hacer frente a un riesgo, y no pasa nada… Pero si por el contrario esa inversión no fuese realizada, ¿Seguiría sin haber pasado nada?
El problema por lo tanto para tratar de calcular el ROI para las implementaciones de seguridad es que se destruyen las pruebas de su eficacia simplemente por hacer su trabajo.
Por todo ello el ROI se está convirtiendo en una medida poco persuasiva a la hora de calcular el tiempo que se tardará en recuperar el coste de la inversión en seguridad. En otras palabras no es un indicador financiero perfecto a la hora de realizar los estudios de gastos en seguridad, y esto puede ser por lo que su uso en esta materia está disminuyendo.
Algunos de los problemas con el uso de retorno de la inversión:
Un enfoque estricto en el retorno de la inversión puede llevar a las empresas y sobre todo a su Director de Seguridad a elegir la tecnología equivocada para ahorrar dinero.
Ponemos un ejemplo sencillo, si nos basamos estrictamente en el cálculo del ROI para hacer una inversión de seguridad a la hora de atajar un riesgo, podríamos estar hablando de priorizar la elección de unas cámaras de seguridad a bajo costo, en oposición a cámaras más caras y que posean, análisis de video, o complejos algoritmos de seguridad integrados en las mismas.
Una solución aportará más medidas de seguridad frente a mejores porcentajes de ROI ante una misma amenaza. Por ello siempre hay que priorizar en las necesidades esenciales a la hora de afrontar un riesgo para reducir la ocurrencia del mismo a la menor probabilidad posible y esto en ocasiones entra en conflicto con el ROI.
Eso sí, con todo y con ello, el ROI es mucho más fácil de calcular después de un determinado incidente, midiendo su impacto, y como estaba protegido. Es entonces cuando los costes o gastos de una inversión se ven claros y cristalinos. De lo contrario y como venimos diciendo es complejo cuantificar el potencial que tiene una determinada inversión en seguridad, frente a las pérdidas que puede producir.
Tenemos que tener en cuenta que en los Departamentos de Seguridad se está extendiendo el factor financiero ROSI (Return on Security Investment) que no es más que seleccionar los gastos en seguridad obligatorios por legislación y restarlos a las pérdidas anuales esperadas.
Este cálculo es sencillo dado que se nos imponen una serie de inversiones en seguridad por obligación según las legislaciones vigentes de cada país.
TCO, (Total Cost of Ownership) Coste total de propiedad, o coste de mantenimiento
Una de las alternativas del Retorno de la inversión es calcular el coste total de la propiedad o (TCO, Total Cost of Ownership), en otras palabras, calcular y medir financieramente de una manera lo más sencilla posible el coste de mantenimiento a la hora de hacer una inversión en seguridad.
Es decir, si a la hora de hacer una inversión en seguridad, no solo tenemos en cuenta los gastos de compra e instalación si no también proveemos a la misma de un mantenimiento ya sea correctivo o preventivo estaremos dotando a nuestra sección financiera de más poder a la hora de presentar nuestras cuentas.
Es un método de cálculo diseñado para ayudar a los gestores empresariales a determinar los costes directos e indirectos, así como los beneficios, relacionados con la compra de equipos , software, soportes, mantenimientos etc.
El TCO ofrece un resumen final que refleja no sólo el coste de la compra sino aspectos del uso y mantenimiento. Esto incluye formación para el personal de soporte y para usuarios, el coste de operación, y de los equipos o trabajos de consultoría necesarios, etc.
Este indicador financiero es ideal para rentabilizar la inversión en un antivirus o software de seguridad, ya que calcular los beneficios o rentabilidades que aportarían es muy complicado.
Este indicativo financiero nos ayuda a resolver preguntas como:
¿Cuál es el coste de instalar un producto? ¿Cuál es el coste por tiempo por tener a nuestro administrador de sistemas configurando y manteniendo el sistema? ¿Cuál es el coste de desarrollar nosotros como compañía un producto?
Son preguntas complicadas, pero la elaboración de estos números puede ayudar a ilustrar un poco lo mucho que cuesta poner en marcha una determinada tecnología, que en mayor parte de las ocasiones es mucho más caro que contratarlo, comprarlo etc.
Es posible que este cálculo sea impreciso, pero es posible dar un buen sentido a nuestra gestión a la hora de demostrar lo que nos cuesta un problema de seguridad en nuestra empresa, y cuanto hemos de gastarnos para solucionarlo, eso a efectos prácticos es por lo general suficiente información para tomar una buena decisión para nuestra compañía o empresa.
EVA (Economic Value Added) o Valor Económico Añadido
Valor Económico Añadido, es un indicador de gestión que fue acuñado por la firma Stern&Stewart y que se define como el valor en exceso que un negocio o una unidad de negocio aporta después de detraer del resultado que genera el coste que supone financiar los activos que están afectos a dicho negocio o unidad de negocio.
Conceptualmente, su cálculo se realizaría de la siguiente manera:
EVA=BAIDT–CMPC x Valor Contable del Activo
Donde,
BAIDT = Beneficio de explotación antes de intereses pero después de impuestos.
CMPC = Coste medio ponderado de los capitales que constituyen la estructura financiera de la empresa.
Este indicativo financiero no está totalmente desarrollado para la seguridad, de hecho, se supone que es una medida que muestra la rentabilidad financiera, por lo que es la menos conocida por los Directores de Seguridad a la hora de presentar sus cuentas.
Aún así tiene aplicaciones en la seguridad, en particular, es una manera de examinar si una empresa tiene todo lo que necesita para obtener los retornos financieros de una inversión en seguridad.
Para utilizar el EVA de una manera práctica, deberemos tener los números que hemos utilizado para generar el TCO, el ROI y el ALE, y entonces compararlos con los costes reales, entonces deberemos hacernos preguntas como:
¿Cuánto me cuesta la implementación de esta medida de seguridad?
¿Cómo puedo apoyarla?
Usar el EVA nos puede ayudar a cuantificar si el gasto en seguridad va a aumentar el valor de nuestra empresa, mediante de la medición de lo que vale para una empresa evitar los riesgos que queremos proteger o cuanto nos costarían si estos se produjesen.
ALE (Annualized Loss Expectancy) o expectativa de pérdida anual
Para nosotros es uno, si no el mejor, de los indicadores financieros, a la hora de ayudar al Director de Seguridad en su exposición de cuentas.
Como su propio nombre indica, y sin dejar lugar a dudas, se trata de la expectativa que se tiene de perdidas, por la ocurrencia de un determinado riesgo, como por ejemplo, reponer una cámara de seguridad, o un ordenador ya sea por, mal funcionamiento, perdida, o cambios en la legislación. Todo ello supondrá que se deberá de hacer una inversión para reponer el material afectado
De hecho para muchos Directores de Seguridad, calcular la expectativa de pérdida anual, les proporciona una medida útil a la hora de establecer las prioridades en los gastos de seguridad.
El ALE se cácula así:
ALE = SLE x ARO
Donde:
ALE, es la expectativa de pérdida unitaria, es decir, el costo de su reposición o reparación en función de la probabilidad que tenga este de dejar de funcionar o estropearse.
Se calcula:
Para un activo de un valor aproximado a 1.000.000 € con una probabilidad del 10% de pérdida, se estima que su expectativa de perdida unitaria serian unos 100.000 €
Y ARO, o Ratio Anual de Ocurrencia, que es la frecuencia estimada de que una amenaza ocurra en un periodo actualizado de un año.
Para calcularlo se estima que:
Una amenaza acontecida 1 sola vez en 10 años, tiene un ARO de 0,1:
Así mismo una amenaza acontecida 50 veces en 1 solo año tiene un ARO de 50;
El ALE va fuertemente ligado a planes de protección como el BIA o Análisis de Impacto en los Negocios, o el BCP, o Plan de continuidad de Negocio. Recordamos que para estos dos sería necesario el cálculo de un RTO o Tiempo de Recuperación Objetivo.
En todos estos el ALE es el indicativo financiero más usado y por lo tanto fundamental a la hora de determinar los impactos de nuestras amenazas y nuestras expectativas de pérdidas a lo largo de un año.
El único problema con el cálculo del ALE es que sigue siendo un indicador muy subjetivo, basado en conjeturas de ocurrencias sobre un hecho, el cual nos es imposible precedir su ocurrencia con un 100% de certeza.
Para ello es bueno usar datos históricos de ocurrencia sobre los hechos, es decir, remontase al pasado y ver con qué frecuencia hemos tenido nuestras ocurrencias.
Por ejemplo, a la hora de predecir la ocurrencia de un tornado o el robo de un portatil, basarse en datos pasados sobre este riesgo, es la manera más objetiva posible, a la hora calcular su ocurrencia futura.
Poseer bases de datos, o registros históricos sobre nuestros riesgos y amenazas es algo fundamental.
En definitiva y a modo de conclusión recordad, que , como responsables de seguridad de nuestras empresas, tenemos que hacer valer nuestro departamento, y dar a nuestra empresa un valor añadido para que el modelo de negocio sea aún más productivo.
No esperéis a que vuestra empresa os diga que podéis hacer por ella, tenéis que ser proactivos y pensar que podéis hacer vosotros por vuestra empresa.
Fuentes consultadas:segurpress-finantial.