Hay varios costos ocultos asociados con cada plataforma que son difíciles de adjudicar un valor monetario. Por ejemplo, los usuarios de Windows son responsables de asegurarse de cumplir con las polìticas de licenciamiento de Microsoft, y deben mantener inventarios de los productos de software instalados. Microsoft ha amenazado con auditorías y demandas en donde cree que se han violado estas polticas. En parte por el miedo de esta acción legal y por las penas que podrían acarrear, muchas compañías han implementado costosos sistemas de inventario de software para hacer auditorías internas. Estos productos cuestan entre $5 y $50 dólares por máquina, dependiendo de su funcionalidad. Debido a que Linux y Solaris no están licenciados con esta moda, las compañías que utilizan estos productos no temen una demanda.
Los costos por caidas de sistema debidos a ruptras en la seguridad varioron salvajemente entre los participantes en el estudio. Algunos citaron pérdidas valuadas en millones por cada hora de caida de sistema. Otros se enfocaron en las demandas legales potenciales sobre información confidencial que podría incluir información sobre tarjetas de crédito o datos controlados por la legislación sobre privacía tal como el Acta sobre Portatibilidad y Contabilidad del Seguro de Salud (HIOAA, por sus siglas en inglés de Healt Insurance Portability and Accountability Act), que podría haber sido obtenida por hackers.
Más importantemente, los participantes fueron renuentes a dar detalles sobre las intrusiones de los hackers o las infecciones virales, aún a pesar de que la información de la encuesta es confidencial. Para muchas compañías, es política estándar nunca hablar de estos temas a un externo. Así, los temas de seguridad deben ser puestos bajo la categoría de costos ocultos. RFG cree que los ejecutivos de la IT podrían hacer sus propias asunciones con respecto al costo anual por incidente de seguridad, si se combinan los siguientes factores:
1. El monto del tiempo de caída del sistema de cada servidor promediado historicamente y debido a infecciones virales o intrusiones.
2. El monto de la caída del sistema de cada servidor que ha tenido que hacerse debido a la aplicación de parches y actualizaciones del sistema.
4. La cantidad de tiempo, y el costo de ese tiempo, que los administradores gastan en monitorear los servicios de boletines de seguridad y los portales de los fabricantes de software destinados a los partches, y la instalación y soporte derivado de dichos parches.
5. La cantidad de tiempo, y el costo de ese tiempo, que los administradores ocupan en hacer actividades de reparación de emergencia después de que ocurre una acción disruptiva.
Historicamente, Microsoft tiene una mala reputación por la seguridad de sus productos, y aún cuando ese fabricante ha trabajado para reparar su imagen, RFG cree que tomará algún tiempo hacerlo - quizá de dos a tres años. Aún aquí hay algo de verdad en el adagio que dice que todos lo programas informáticos podrían contener vulnerabilidades aún no descubiertas, Microsoft es en la actualidad blanco político de los hackers que buscan anotarse un punto, lo cual hace a sus clientes sean de alto riesgo. La información encuestada mostró que las instalaciones Windows requieren el doble de horas administrador en promedio para parchar a los sistemas y tratar con los temas relacionados con la seguridad que los que administran Solaris o Linux.
Los participantes en la encuesta que usan Windows comentaron en más de una ocasión la petición constante de rebootear al servidor después de aplicar un parche de seguridad. Esto afecta los valores de tiempo al aire del sistema, y contribuye a un desempeño inferior de Windows en las áreas de disponibilidad y seguridad.
RFG considera que los ejecutivos de la IT deberían identificar los costos relacionados con la seguridad para sus propios ambientes en estas dos áreas. También deberían determinar el tiempo que emplea el administrador en identificar, aplicar y dar soporte a los parches de seguridad, para evaluar el costo de ese tiempo para la compañía. Deberán también considerar los costos de las caídas de los sistemas y/o los costos en imagen pública de los incidentes relacionados con las intrusiones, tales como el robo de información confidencial de los clientes como los números de tarjeta de crédito.
Ya para terminar, RFG cree que los ejecutivos de la IT deberían ser extremadamente cautelosos cuando evalúen los productos de la plataforma .NET de Microsoft, los cuales incluyen elementos susceptibles a los cambios en el juego, para habilitar los servicios Web, tales como el soporte para el protocolo de acceso simple a objetos, (SOAP, por sus siglas en inglés de Simple Object Access Protocol). Aún que pudiesen tener efectos benéficos de largo plazo para la compañía, sus implicaciones en la seguridad siguen inexploradas. Por ejemplo, los productos cortafuegos diseñados específicamente para filtrar y controlar las comunicaciones basadas en SOAP aún no están en el mercado, y las implicaciones exactas en la seguridad de SOAP aún no han sido adecuadamente determinadas.
La disponibilidad del sistema ha sido tratada como un costo oculto, debido a que el monto de la información disponible con respecto a las cifras de tiempo en funcionamiento (uptime) no permite un cálculo de costo crudo. Esto es desafortunado puesto que los participantes citaron cifras de más de mil dólares en promedio por hora de caída del sistema. Por ello, este tema es medular.
Sin embargo, la estabilidad de el sistema operativo es únicamente un aspecto de la disponibilidad. Junto con otros factores, la plataforma de hardware juega un papel significativo aquí, y la arquitectura Intel x86 no fue diseñada con alta disponibilidad en mente. Aún cuando algunos OEM (Original Equipment Manufacturers, Fabricantes de Equipo Original) de hardware están trabajando para tener disponibilidad tipo mainframe en esa plataforma, hasta ahora, Windows estará limitado por la arquitectura; ya que no corre en otras arquitecturas.
El diseño de software es otra área en donde la disponibilidad puede verse amenazada. Un participante hizo la observación de que debido a que los parches de seguridad de Windows requieren de reiniciar la máquina para que el parche sea aplicado, este proceso tiene los mismos efectos negativos resultado de una caída del sistema. En contraste, muchos de los parches de Linux pueden hacerse reiniciando únicamente el servicio afectado. Este tema, junto con la alta tasa de parches de seguridad producidos por Microsoft, han generado gran parte de sus malas cifras en cuanto a disponibilidad.
Los datos de la encuesta tienen bases firmes como para afirmar que Solaris es más escalable verticalmente que Windows. La misma información no fue conclusiva con respecto a la escalabilidad de Linux contra Solaris o Linux contra Windows, ya que los participantes en el estudio no hicieron una comparación medida entre esos sistemas. Sin embargo, Linux no puede manejar correctamente tantos CPU como Solaris lo hace. Hasta que lo haga, los usuarios que requieran mayores niveles de escalabilidad vertical deberán seguir con Solaris. Sin embargo, aún cuando Linux no es tan verticalmente escalable como Solaris, los resultados de este estudio muestran que esto no afecta el costo de la plataforma.
Los ejecutivos de la IT también deberían considerar el efecto de estar "casados" con una plataforma dada. Linux puede correr en un gran número de arquitecturas de hardware, incluyendo Intel, Power PC y SPARC. Quienes seleccionen Linux tendrán la flexibilidad de cambiar de plataforma si llegaran a decidir que Intel ya no es el equipo más adecuado para su compañía. Los guiones en Java, Perl y PHP se actualizarán junto con el sitio y operarán correctamente en cualquier plataforma. De esta forma, Linux proveé de varias capas de flexibilidad, incluyendo la de arquitectura del equipo, el modelo de licenciamiento, la portatibilidad de las habilidades del administrador y otras. Además, Linux da la libertad de elección de distribución, soporte y proveedores de servicios que mejor se ajustan a las necesidades de negocio de la compañía.