Skip to content

¿Por qué son inútiles las comparativas antivirus en los entornos empresariales?

Publicado por Sergio Hernando el 12 febrero 2011

Hola,

Las comparativas de antivirus existen desde hace mucho tiempo, prácticamente, desde que se introdujeron estos productos en el mercado. A mí no me han gustado nunca, por muchas razones, pero menos me gustan hoy en día.

No me gustan por varios motivos. El primero es que cada cual las hace como le viene en gana, y nadie te cuenta con detalle qué hace o deja de hacer. Como mucho te dicen que han tomado N muestras de malware, que las han metido en su coctelera y de ahí aparece la comparativa, sin entrar en mucho más detalle. Bien. Otros se van por los Cerros de Úbeda, y en vez de centrarse en la misión principal de un antivirus te hablan únicamente de rendimiento, espacio en disco, memoria, y otras historias que aunque interesantes, no son tan importantes en un producto de este tipo como su capacidad para protegernos de las amenazas.

Pero es en el ámbito corporativo donde las comparativas hacen aguas mires por donde las mires. En el ámbito doméstico tiene lógica que el valor principal a comparar sea lo bien que se desenvuelve el producto con las muestras conocidas y las menos conocidas. Pero estas métricas son insuficientes en el ámbito empresarial. Voy a explicaros porqué.

En una organización las soluciones de protección -nótese que no hablo de antivirus- se compran para mitigar los riesgos relacionados con las distintas problemáticas que puede sufrir un terminal de usuario, un servidor o cualquier otro elemento donde despleguemos la solución. En otras palabras: invertimos un determinado número de euros por puesto, con el deseo de que la inversión total en la solución de protección sea menor que la traducción monetaria de todos los efectos adversos generados por toda la amalgama de problemas en los que incurriríamos si no dispusiéramos de la solución.

Ejemplo sencillo: Si pago 10 euros por puesto y año, y tengo 10.000 puestos, la inversión es rentable sólo si el valor monetario de todos los incidentes sufridos por la carencia de una solución es superior a esos 100.000 euros. Si me gasto 100.000 y no tener ningún tipo de protección me genera un coste total de 20.000 euros anuales, mal negocio estaremos haciendo, y será mejor no gastar dinero en protección y afrontar el coste de los incidentes. Parece sencillo, ¿verdad? Pues no hemos terminado.

Vamos a darle algo de realismo a esos números que hemos visto. ¿Sería para todos los casos buena una inversión siempre que el valor económico de los problemas residuales en situación de carencia sea mayor que la inversión? Evidentemente, no. Para un mismo valor del coste de los incidentes, cuanto menos gastemos mejor. Es lo que podemos denominar inversión óptima.

La importancia de estas consideraciones es lo que invalida las comparativas de productos antivirus. Precisamente por eso: ninguna se moja en comparar las soluciones desde este punto de vista. Todas hablan de las tasas de detección, y con suerte, algunas, que no todas, te ofrecen una visión sobre cómo evolucionan las tasas de detección con respecto al tiempo que pasa desde que la muestra maliciosa es inicialmente descubierta. Pero ninguna te compara los productos desde el punto de vista económico. Y esto las convierte en inútiles si las queremos usar para emplearlas en un proceso de compra empresarial. Pero aquí no acaba todo: para convertirlas todavía en más inútiles, ya no es que ninguna emplee cifras económicas para ver cuál es rentable y cual no lo es, es que ninguna se moja en el coste real de los incidentes, con lo que es imposible deducir de ellas los costes residuales por incidentes, es decir, los costes que derivan de los incidentes que la solución no puede cubrir al no tener una efectividad del 100%.

Una solución de protección empresarial, al menos las relevantes, no sólo ofrece protección antimalware. Todas tienden a ofrecer soluciones integrales a los problemas que se pueden sufrir, como por ejemplo anclaje con productos de cifrado de medios, gestor de listas negras y blancas de aplicaciones y hardware permitido, HIPS, NAC, integración con DLP o integración con SIEM, por poner algunos ejemplos. Cada una de esas funcionalidades ataca problemáticas que al final cuestan dinero a las organizaciones si no son atajadas, como la fuga de información confidencial, el compromiso de cuentas por pagar y deuda activa, la revelación de secretos industriales, el insider trading, el fallo en el cumplimiento regulatorio, el fraude y una larga lista de problemas que como resulta fácil comprobar, van mucho mas allá de una infección por malware.

Imaginaos una solución A que según una comparativa antivirus al uso tiene una tasa media de detección el 50% y otra B que tiene una tasa media del 40%. Ambas cuestan lo mismo. Por emplear números sencillos, el coste por incidente por infección es de 100 euros y se estiman 100 incidentes por año. Con la solución A habrá un residual del 50% no detectado, es decir, 50 incidentes a razón de 100 euros, lo que totaliza 5000 euros. Para la solución B nos iremos a 6000 euros. ¿Cuál es la que debemos adquirir? Parece que A es la mejor opción.

Añadamos más números. Imaginaos que para los incidentes no relacionados con malware (los que hemos visto antes, fuga de información, revelación de secretos, etc) el coste es de otros 100 euros por incidente, y se sufren otros 100 incidentes anuales. Sin embargo, para estas funciones, A tiene un rendimiento del 50% y B, que dispone de mejor tecnología y funcionalidad, tiene un rendimiento del 70%. Es decir, con A sufriremos un perjuicio de 5000 euros, pero con B el coste será de 3000 euros.

¿Qué pasa si sumamos los costes de los incidentes relacionados con malware y los que tienen relación con otras funcionalidades de la solución integral de defensa? Escoger A nos supondría un residual de 10000 euros al año, y B implicaría 9000 euros por año. Si ambas cuestan lo mismo, ¿Cuál comprar?

Ninguna de las comparativas antivirus tradicionales ofrece información sobre estos aspectos. Para el usuario doméstico, que quizás esté sólo interesado en ver qué solución brinda mejores resultados, una comparativa al uso puede ser suficiente, aunque seguro que agradecería saber la relación coste/eficacia para saber qué debe comprar. Pero este tipo de comparaciones son absolutamente inútiles en los entornos empresariales, porque los negocios requieren obligatoriamente hablar de cifras cuando se ejecutan inversiones, y porque en los entornos corporativos no se pueden hacer números sólo pensando en los incidentes que derivan de los troyanos bancarios que pueblan los terminales y los gusanos esparcidos por la red. Ojalá todo acabase ahí.

Sé que no es nada fácil obtener números para estos escenarios, pero no es algo descabellado. Las fuerzas de ventas de las compañías que ofrecen soluciones integrales saben de la importancia de los números, y están avanzando en la obtención y presentación de estas cifras, aunque claro, siempre serán más fiables si proceden de una fuente independiente. Desgraciadamente parece que muchas las fuentes independientes no quieren ni oír hablar de cifras monetarias cuando comparan soluciones de protección. Será porque también las desconocen.

Un saludo,

Be Sociable, Share!

Categoría/s → Malware

15 comentarios
  1. 13 febrero 2011
    Paco Dolor permalink

    Hola,

    Interesante… pero no creo que ninguna comparativa pueda decirle a una empresa cuánto le va a costar que su servicio S se degrade en un P% durante T minutos por causa de un incidente I… y que esto puede ocurrir N veces al año…

    :)

  2. 13 febrero 2011

    Paco,

    Evidentemente no, para tener información a ese nivel mal asunto si recurrimos a los antivirus o a sus fabricantes, aunque como todo en esta vida, ni blanco ni negro: hay un punto intermedio entre eso y el mero hecho de decir “este producto tiene un % de detección del X %” aunque yo tampoco espero que estas empresas produzcan datos tan desgranados.

    La reflexión va más en la línea de saber acotar la importancia de estas comparativas a la hora de escoger un producto de protección para un despliegue empresarial. Por sí mismas, yo al menos las percibo inútiles.

    Un saludo,

  3. 13 febrero 2011

    Hola Sergio,
    Interesante y acertada reflexión.
    Estoy de acuerdo contiigo, por eso es tan necesario que el Direcor de TI o Responsable de Informatica tenga un perfil 50% de gestor (o mas), y 50% técnico. Nosotros, la fuerza de ventas, que queremos hacer este tipo de valoraciones al vender un producto / servicio, agradecemos cuando nuestro interlocutor sabe enfocar la inversión desde este punto de vista.
    Gracias.
    Un saludo.

  4. 13 febrero 2011

    Excelente, quiero agregar lo siguiente:

    Simplemente el que un producto antivirus X esté instalado en estaciones de trabajo, servidores, etc. previene conflictos por falta de debida dilegencia.

    http://en.wikipedia.org/wiki/Due_diligence

    Los conflictos pueden ser de origen externo (demandas de clientes, exigencias legales, estándares forzados en determinadas industrias/países, etc.), o de origen interno (asamblea de accionistas, demandas de socios, etc.).

    Para completar una evaluación de productos objetiva habría que incorporar el costo ahorrado en conflictos evitados, versus los costos de hipotéticos conflictos a afrontar por no tener antivirus.

    (en realidad, en el artículo esto está considerado también, solo incorporo el concepto de debida diligencia, ver “Una solución de protección empresarial, al menos las relevantes, no sólo ofrece protección antimalware…”)

    Sldos.

  5. 22 febrero 2011

    Existe otro riesgo, el reputacional, sobre todo en determinados entornos, muy importante y muy difícil de cuantificar.

    Conozco casos en que la decisión se toma más por el nombre del producto que por las prestaciones. Suponen que el nombrar la marca del producto que utilizas, en caso de incidente que transcienda, relajará la mala reputación ya que habías utilizado un antivirus de prestigio y es éste el que ha fallado.

  6. 12 marzo 2011
    gorritsu permalink

    Por añadir un punto creo importante … independiente del análisis económico que se realiza en el POST … (por experiencia) a nivel técnico veo muy importate que dichas soluciones incorporen un buen gestor de las estaciones que se alimente de los antivirus que están en la red empresarial.

    En todos los POST que leo sobre antivirus nunca se hace referencia a este tipo elementos pero para la gestión y detección de incidentes del día a día (una vez que el producto antivirus ya está implantado en la red), la facilidad de detección que te puede dar un panel_admin es muy importante.

    Ejemplo: Empresa con 200 PC-s (o más), el producto antivirus para este caso, de alguna forma debe centralizar todos los incidentes que se detectan en todos los PC-s de la red y transmirlos de forma clara al operador… si no lo hace la gestión puede ser un caos !!! Y perder tiempo en la gestión al final es perder dinero …

  7. 16 marzo 2011

    @gorritsu

    Fíjate si es importante que con un panel centralizado puedes, entre otras muchas cosas:

    – Saber si tienes equipos sin antivirus, e instalarlo remotamente si fuera preciso

    – Saber si tienes equipos sin actualizar, y actualizarlos remotamente

    – Diagnosticar otros problemas como un mal despliegue con impacto en el QoS, donde equipos que deberían acudir a un servidor determinado acuden a otro colapsando recursos

    – Forzar borrado remoto o bloqueos en terminales móviles, si están en el alcance

    – Generar informes que son útiles para tomar decisiones

    – Generar cuadros de mando para implantar y verificar controles de toda índole, como por ejemplo, número de máquinas del parque, desviación media sobre la última actualización y similares

    Son sólo algunos ejemplos. Hay muchos más :)

    Un saludo

  8. 23 marzo 2011

    http://www.av-comparatives.org

    Y contiene la evaluación de las principales soluciones de seguridad a nivel usuario.

    Un saludo.

  9. 23 marzo 2011

Trackbacks & Pingbacks

  1. de la red – 12/02/2011 « Tecnologías y su contexto
  2. Tweets that mention ¿Por qué son inútiles las comparativas antivirus en los entornos empresariales? | Sergio Hernando -- Topsy.com
  3. ¿Por qué son inútiles las comparativas antivirus en los entornos empresariales? | SinapsysMx.Net
  4. Isaiasv.com » Blog Archive » Lecturas Recomendas del día
  5. Shadow Security - ¿Por qué son inútiles las comparativas antivirus en los entornos empresariales?
  6. ¿Por qué son inútiles las comparativas antivirus en los entornos empresariales? | Finance Planet

Escribir un comentario

Note: XHTML permitido. Tu email nunca será publicado.

Suscribirse a los comentarios via RSS