¿Por qué son inútiles las comparativas antivirus en los entornos empresariales?

Hola,

Las comparativas de antivirus existen desde hace mucho tiempo, prácticamente, desde que se introdujeron estos productos en el mercado. A mí no me han gustado nunca, por muchas razones, pero menos me gustan hoy en día.

No me gustan por varios motivos. El primero es que cada cual las hace como le viene en gana, y nadie te cuenta con detalle qué hace o deja de hacer. Como mucho te dicen que han tomado N muestras de malware, que las han metido en su coctelera y de ahí aparece la comparativa, sin entrar en mucho más detalle. Bien. Otros se van por los Cerros de Úbeda, y en vez de centrarse en la misión principal de un antivirus te hablan únicamente de rendimiento, espacio en disco, memoria, y otras historias que aunque interesantes, no son tan importantes en un producto de este tipo como su capacidad para protegernos de las amenazas.

Pero es en el ámbito corporativo donde las comparativas hacen aguas mires por donde las mires. En el ámbito doméstico tiene lógica que el valor principal a comparar sea lo bien que se desenvuelve el producto con las muestras conocidas y las menos conocidas. Pero estas métricas son insuficientes en el ámbito empresarial. Voy a explicaros porqué.

En una organización las soluciones de protección -nótese que no hablo de antivirus- se compran para mitigar los riesgos relacionados con las distintas problemáticas que puede sufrir un terminal de usuario, un servidor o cualquier otro elemento donde despleguemos la solución. En otras palabras: invertimos un determinado número de euros por puesto, con el deseo de que la inversión total en la solución de protección sea menor que la traducción monetaria de todos los efectos adversos generados por toda la amalgama de problemas en los que incurriríamos si no dispusiéramos de la solución.

Ejemplo sencillo: Si pago 10 euros por puesto y año, y tengo 10.000 puestos, la inversión es rentable sólo si el valor monetario de todos los incidentes sufridos por la carencia de una solución es superior a esos 100.000 euros. Si me gasto 100.000 y no tener ningún tipo de protección me genera un coste total de 20.000 euros anuales, mal negocio estaremos haciendo, y será mejor no gastar dinero en protección y afrontar el coste de los incidentes. Parece sencillo, ¿verdad? Pues no hemos terminado.

Vamos a darle algo de realismo a esos números que hemos visto. ¿Sería para todos los casos buena una inversión siempre que el valor económico de los problemas residuales en situación de carencia sea mayor que la inversión? Evidentemente, no. Para un mismo valor del coste de los incidentes, cuanto menos gastemos mejor. Es lo que podemos denominar inversión óptima.

La importancia de estas consideraciones es lo que invalida las comparativas de productos antivirus. Precisamente por eso: ninguna se moja en comparar las soluciones desde este punto de vista. Todas hablan de las tasas de detección, y con suerte, algunas, que no todas, te ofrecen una visión sobre cómo evolucionan las tasas de detección con respecto al tiempo que pasa desde que la muestra maliciosa es inicialmente descubierta. Pero ninguna te compara los productos desde el punto de vista económico. Y esto las convierte en inútiles si las queremos usar para emplearlas en un proceso de compra empresarial. Pero aquí no acaba todo: para convertirlas todavía en más inútiles, ya no es que ninguna emplee cifras económicas para ver cuál es rentable y cual no lo es, es que ninguna se moja en el coste real de los incidentes, con lo que es imposible deducir de ellas los costes residuales por incidentes, es decir, los costes que derivan de los incidentes que la solución no puede cubrir al no tener una efectividad del 100%.

Una solución de protección empresarial, al menos las relevantes, no sólo ofrece protección antimalware. Todas tienden a ofrecer soluciones integrales a los problemas que se pueden sufrir, como por ejemplo anclaje con productos de cifrado de medios, gestor de listas negras y blancas de aplicaciones y hardware permitido, HIPS, NAC, integración con DLP o integración con SIEM, por poner algunos ejemplos. Cada una de esas funcionalidades ataca problemáticas que al final cuestan dinero a las organizaciones si no son atajadas, como la fuga de información confidencial, el compromiso de cuentas por pagar y deuda activa, la revelación de secretos industriales, el insider trading, el fallo en el cumplimiento regulatorio, el fraude y una larga lista de problemas que como resulta fácil comprobar, van mucho mas allá de una infección por malware.

Imaginaos una solución A que según una comparativa antivirus al uso tiene una tasa media de detección el 50% y otra B que tiene una tasa media del 40%. Ambas cuestan lo mismo. Por emplear números sencillos, el coste por incidente por infección es de 100 euros y se estiman 100 incidentes por año. Con la solución A habrá un residual del 50% no detectado, es decir, 50 incidentes a razón de 100 euros, lo que totaliza 5000 euros. Para la solución B nos iremos a 6000 euros. ¿Cuál es la que debemos adquirir? Parece que A es la mejor opción.

Añadamos más números. Imaginaos que para los incidentes no relacionados con malware (los que hemos visto antes, fuga de información, revelación de secretos, etc) el coste es de otros 100 euros por incidente, y se sufren otros 100 incidentes anuales. Sin embargo, para estas funciones, A tiene un rendimiento del 50% y B, que dispone de mejor tecnología y funcionalidad, tiene un rendimiento del 70%. Es decir, con A sufriremos un perjuicio de 5000 euros, pero con B el coste será de 3000 euros.

¿Qué pasa si sumamos los costes de los incidentes relacionados con malware y los que tienen relación con otras funcionalidades de la solución integral de defensa? Escoger A nos supondría un residual de 10000 euros al año, y B implicaría 9000 euros por año. Si ambas cuestan lo mismo, ¿Cuál comprar?

Ninguna de las comparativas antivirus tradicionales ofrece información sobre estos aspectos. Para el usuario doméstico, que quizás esté sólo interesado en ver qué solución brinda mejores resultados, una comparativa al uso puede ser suficiente, aunque seguro que agradecería saber la relación coste/eficacia para saber qué debe comprar. Pero este tipo de comparaciones son absolutamente inútiles en los entornos empresariales, porque los negocios requieren obligatoriamente hablar de cifras cuando se ejecutan inversiones, y porque en los entornos corporativos no se pueden hacer números sólo pensando en los incidentes que derivan de los troyanos bancarios que pueblan los terminales y los gusanos esparcidos por la red. Ojalá todo acabase ahí.

Sé que no es nada fácil obtener números para estos escenarios, pero no es algo descabellado. Las fuerzas de ventas de las compañías que ofrecen soluciones integrales saben de la importancia de los números, y están avanzando en la obtención y presentación de estas cifras, aunque claro, siempre serán más fiables si proceden de una fuente independiente. Desgraciadamente parece que muchas las fuentes independientes no quieren ni oír hablar de cifras monetarias cuando comparan soluciones de protección. Será porque también las desconocen.

Un saludo,