Upload File

24 todos

1
CoBS: Alternativas al RoSI para la toma de decisiones en seguridad agosto 4, 2011 § Deja un comentario La utilización del Return on Security Investment (RoSI) o Retorno de la Inversión en Seguridad ha sido bastante utilizada en el pasado con la intención de dar respuesta a la problemática de decidir la inversión en este área. El RoSI es muy similar en estructura y objetivos al concepto de Retorno de la Inversión (ROI – Return on Investment) que se utiliza para justificar las decisiones de inversión tradicionales. El cálculo del RoSI tiene cuatro etapas que se repiten para cada uno de los riesgos a estudiar [1]: 1. Se define la Tase Anual de Ocurrencia (ARO – Annualized Rate of Ocurrence). 2. Se identifica la Expectativa de Pérdida Simple (SLE – Single Loss Expectancy). 3. Se calcula la Expectativa de Pérdida Anual (ALE – Annual Loss Expectancy) como el resultado de ARO x SLE. 4. Se compara la ALE sin inversión con la ALE si se realiza la inversión en seguridad + el coste de la inversión. El gran problema que tiene el RoSI [y que hemos sufrido los que alguna vez hemos tratado de utilizarla] es que sólo tiene sentido cuando los cálculos se basan en datos existentes que sean estadísticamente significativos (para los que queráis un análisis detallado de esto, os recomiendo [2; 3 y 4]). Por este motivo, en Basilea II se hace tanto énfasis en los datos que se utilizan como base para los cálculos de riesgo operacional. No valen cualesquiera datos y además, demostrar que son válidos no es trivial, se deben realizar pruebas estadísticas que soporten su utilización. En este sentido, enfrentados a la cruda realidad en la que NO contaremos con datos suficientes y estadísticamente significativos, tendremos que utilizar otros métodos como, por ejemplo, el denominado Hojas Coste Beneficio (CoBS – Cost Benefit Sheets) [5] que es muy similar al esquema propuesto por B. Schneier en 2006 [6] pero que impone un modelo con un orden que refleja los aspectos psicológicos de las evaluaciones y de forma que, una respuesta negativa a cualquiera de las preguntas, hace que, directamente, la propuesta de inversión sea rechazada. El modelo consiste en, para cada una de las inversiones analizadas, hacerse las siguientes preguntas: 1. ¿Cuáles son los riesgos que contempla? 2. ¿Cuál es la intención de la inversión? 3. ¿Cuál es el grado de efectividad de la inversión? 4. ¿Cuál es la pérdida financiera y la probabilidad de ocurrencia? 5. ¿Qué podría ocurrir si se rechazara la inversión? La utilización de CoBS nos permitiría considerar todos los datos existentes a la hora de realizar las hojas y disponer de una documentación sistemática que permita justificar debidamente y revisar las decisiones de inversión. En definitiva se trataría de una particularización de un método más general utilizado desde el siglo XXI para la valoración de las inversiones públicas, el análisis coste-beneficio. Referencias: [1] Wei, Huaqiang; Frinke, Deb; Carter, Olivia; Ritter, Chris: Cost-Benefit Analysis for Network Intrusion Detection Systems. CSI 28th Annual Computer Security Conference, October 29-31, 2011, Washington, D.C. (2001) [2] Klempt, Phillip; Schmidpeter, Hannes; Sowa, Sebstian; Tsinas, Lampros: Business Oriented Information Security Management – A Layered Approach. In: Proceedings of the 2nd International Symposium on Information Security (IS’07), Vilamoura (2007) 1835-1852. [3] Tiller, Jim: The Business of Security. In: Information Systemas Security, Vol. 12, No. 5 (2003) 2-4 [4] Schneier, Bruce: Security ROI. In: Schneier on Security blog, 2 Sept 2008 [5] Sowa, Sebastian; Tsinas, Lampros; Gabriel, Roland: BORIS – Business Oriented management of Information Security. In: WEIS, 2008 [6] Schneier, Bruce: Beyond Fear, Thinking Sensibly About Security in an Uncertain World. New York (2006)

Upload: tecnicoitca

Post on 06-Nov-2015

216 views

Category:

Documents


0 download

Report

DESCRIPTION

24

TRANSCRIPT

  • CoBS: Alternativas al RoSI para la toma de decisiones en seguridad agosto 4, 2011 Deja un comentario

    La utilizacin del Return on Security Investment (RoSI) o Retorno de la Inversin en Seguridad ha sido bastante utilizada en el

    pasado con la intencin de dar respuesta a la problemtica de decidir la inversin en este rea. El RoSI es muy similar en

    estructura y objetivos al concepto de Retorno de la Inversin (ROI Return on Investment) que se utiliza para justificar las

    decisiones de inversin tradicionales.

    El clculo del RoSI tiene cuatro etapas que se repiten para cada uno de los riesgos a estudiar [1]:

    1. Se define la Tase Anual de Ocurrencia (ARO Annualized Rate of Ocurrence).

    2. Se identifica la Expectativa de Prdida Simple (SLE Single Loss Expectancy).

    3. Se calcula la Expectativa de Prdida Anual (ALE Annual Loss Expectancy) como el resultado de ARO x SLE.

    4. Se compara la ALE sin inversin con la ALE si se realiza la inversin en seguridad + el coste de la inversin.

    El gran problema que tiene el RoSI [y que hemos sufrido los que alguna vez hemos tratado de utilizarla] es que slo tiene

    sentido cuando los clculos se basan en datos existentes que sean estadsticamente significativos (para los que queris un

    anlisis detallado de esto, os recomiendo [2; 3 y 4]). Por este motivo, en Basilea II se hace tanto nfasis en los datos que se

    utilizan como base para los clculos de riesgo operacional. No valen cualesquiera datos y adems, demostrar que son vlidos

    no es trivial, se deben realizar pruebas estadsticas que soporten su utilizacin.

    En este sentido, enfrentados a la cruda realidad en la que NO contaremos con datos suficientes y estadsticamente

    significativos, tendremos que utilizar otros mtodos como, por ejemplo, el denominado Hojas Coste Beneficio (CoBS Cost

    Benefit Sheets) [5] que es muy similar al esquema propuesto por B. Schneier en 2006 [6] pero que impone un modelo con un orden

    que refleja los aspectos psicolgicos de las evaluaciones y de forma que, una respuesta negativa a cualquiera de las preguntas,

    hace que, directamente, la propuesta de inversin sea rechazada.

    El modelo consiste en, para cada una de las inversiones analizadas, hacerse las siguientes preguntas:

    1. Cules son los riesgos que contempla?

    2. Cul es la intencin de la inversin?

    3. Cul es el grado de efectividad de la inversin?

    4. Cul es la prdida financiera y la probabilidad de ocurrencia?

    5. Qu podra ocurrir si se rechazara la inversin?

    La utilizacin de CoBS nos permitira considerar todos los datos existentes a la hora de realizar las hojas y disponer de una

    documentacin sistemtica que permita justificar debidamente y revisar las decisiones de inversin. En definitiva se tratara de

    una particularizacin de un mtodo ms general utilizado desde el siglo XXI para la valoracin de las inversiones pblicas,

    el anlisis coste-beneficio.

    Referencias:

    [1] Wei, Huaqiang; Frinke, Deb; Carter, Olivia; Ritter, Chris: Cost-Benefit Analysis for Network Intrusion Detection Systems. CSI 28th

    Annual Computer Security Conference, October 29-31, 2011, Washington, D.C. (2001)

    [2] Klempt, Phillip; Schmidpeter, Hannes; Sowa, Sebstian; Tsinas, Lampros: Business Oriented Information Security Management

    A Layered Approach. In: Proceedings of the 2nd International Symposium on Information Security (IS07), Vilamoura (2007)

    1835-1852.

    [3] Tiller, Jim: The Business of Security. In: Information Systemas Security, Vol. 12, No. 5 (2003) 2-4

    [4] Schneier, Bruce: Security ROI. In: Schneier on Security blog, 2 Sept 2008

    [5] Sowa, Sebastian; Tsinas, Lampros; Gabriel, Roland: BORIS Business Oriented management of Information Security. In: WEIS, 2008

    [6] Schneier, Bruce: Beyond Fear, Thinking Sensibly About Security in an Uncertain World. New York (2006)


Noticias para TODOS

Catalogo Cajas Automaticas Todos

Yurtas para todos

CLASE 1 Materialesdd todos

Beachfront hotel todos santos

Twitter para todos

Piano Chords(Todos)

Cobertura para todos - CyberBackupsCobertura para todos 2 tú Decides – A Bilingual Newspaper 24 de junio 2016 Sabiduría para las decisiones Hablamos Español Ubicado cerca de la

Presentation Me Todos 2

Selinux Para Todos

Vacaciones para todos

Todos logos

translation Booklet Todos

Todos somos maestros

Agua en Todos Lados

June 24, 2018 St. Turibius Church A Roman Catholic Parish ... · 6/24/2018  · • Health & God’s Blessings for Santiago Palafox (Family) We are all God’s Family! Somos todos

TODOS: Mathematics for All · TODOS Handbook, October 2018 3 TODOS Mission and Goals MISSION The mission of TODOS: Mathematics for ALL is to advocate for equity and high quality mathematics

TODOS STAT

Registros Inversion (Todos)

ENTRE TODOS

TODOS CANÍBALES (ENGLISH)

Me Todos Dosage m

toma todos

TODOS SUS PATITOS. Dossier

Todos os parâmetros

All Saints C atholic Paris h Parr oqu ia de Todos los Santos · 2021. 1. 24. · All Saints Catholic Parish/ Iglesia de Todos Los Santos Sunday, January 24th, 2021/Domingo, 24 de

Python para todos

Periodicos Qualis Todos

System x Todos

La dignidad como “Ley primera de nuestra República” y “con todos … · 2015-09-24 · La dignidad como “Ley primera de nuestra República” y “con todos y para el bien

Codigos Todos Metrologic

Todos Gás Natural

St. Faustina Catholic Church PO Box 1099, Fulshear, TX 77441 · 2019-09-19 · Dios y Padre de todos, que está sobre todos y por medio de todos y en todos.” - Efesios 4:13 “Pero

Una escuela de todos y para todos. Las prácticas escolares

Embajadores twsteel todos