cómo justificar las inversiones en seguridad de la información, por christian izarra

© 2007 Global Crossing - Proprietary

Cómo justificar las inversiones en seguridad de la

información

Christian Izarra, Director de Negocios


Estimación del ROSI - Return on Security

Information

© 2007 Global Crossing - Proprietary 3

¿Por qué hablamos de Inversión?

Algunos interrogantes

• ¿Se conoce realmente la importancia de los activos

de información de la organización?

•¿Qué podría ocurrir que afectara estos activos? •Si ocurre, ¿cuan malo sería?

•Si ocurre, ¿podría repetirse?

•¿Qué se puede hacer para evitarlo? • ¿Cuánto puede costar su remediación?

•¿Es costo efectivo?


¿Por qué hablamos de Inversión?

Amenazas

• Naturales:

• Incendio.

• Inundación.

• Terremoto.

• etc.

• Físicas:

• Fallas de energía.

• Explosivos.

• etc.

• De IT:

• Fallas de HW.

• Fallas de SW.

• Fallas de Comunicaciones.

• Hacking (con sus técnicas y

variantes).

• etc.

• Humanas:

• Errores y/o fallas por

negligencia.

• Falta de conciencia respecto

a Seguridad de la Información.

• Fraudes internos.

• etc.


Concepto de ROSI

Similitudes y diferencias entre ROI y ROSI

• ROI: Retorno sobre la Inversión • Busca determinar el retorno o beneficio a partir de ingresos

monetarios.

• Para esto se cuenta con flujos de caja los cuales se traducen en

beneficios directos.

• ROSI: Retorno sobre la Inversión de Seguridad• Busca justificar la inversión en seguridad de la información en

términos monetarios.

• Los beneficios no surgen directamente como beneficios contables,

sino en todo caso como reducción de pérdidas.

• Retorno = Valor – Costo

ROSI (%) = (Valor – Costo) / Costo


Concepto de ROSI

Obstáculos y dificultades del ROSI

• La seguridad de la información en si misma no genera

una real o apreciable mejora en la eficiencia operacional:• No incrementa la productividad ni disminuye los costos.

• Estimación de la reducción de pérdidas:• Que surgen como resultado de la implantación de contramedidas

que evitan o mitigan la ocurrencia de incidentes de seguridad.

• ¿Cual sería el impacto y su probabilidad de ocurrencia?

• Existen tanto factores cuantitativos como cualitativos a

considerar: • Cuantitativos. Por ejemplo: horas no productivas por incidente.

• Cualitativos. Por ejemplo: pérdida de imagen o confianza.


Administración de Riesgos

¿Como se relacionan los Riesgos con el ROSI?

• Administración de Riesgos: • Es el proceso de identificación, valoración y mitigación de riesgos

asociados con una actividad o función a fin de minimizar las

pérdidas hasta un nivel aceptable por la organización.

• Asiste en la determinación del “Valor” dentro de la expresión del

ROSI ya que, como resultado de mitigar los efectos de incidentes

de seguridad se reducen las pérdidas originalmente evaluadas.

• Análisis de Riesgos:• Permite identificar, valorar y priorizar los riesgos detectados a

partir de la determinación de amenazas, vulnerabilidades, impactos

y probabilidad de ocurrencia de incidentes de seguridad.


Probabilidad e Impacto

¿Cómo se relacionan?

• Pérdidas Anualizadas Esperadas (ALE):• Es la métrica de gestión de riesgos por la cual se estiman las pérdidas

producto de los riesgos determinados.

• Trabaja con dos variables: la frecuencia anual de ocurrencia de un

riesgo determinado, y el impacto monetario que produciría el mismo

sobre el activo afectado. ALE = Impacto (unitario) x Probabilidad (anual)

• ALE se aplica a dos escenarios posibles:• El “original” sin contramedidas implantadas y el “tratado” o con riesgos

mitigados.

• Se busca determinar así el “valor” (cuantificable monetario), diferencia

entre uno y otro escenario dentro de la fórmula del ROSI.

•ALE se basa en “estimaciones de expectativas”:• Por lo general son valores discretos con sus imprecisiones y errores en

su determinación, lo cual genera incertidumbre. Por esta razón se suele

utilizar la Simulación Monte Carlo.


Pérdidas Anualizadas Esperadas

Algunos ejemplos

• Con valores discretos:• El especialista en riesgos ha determinado para el R1 lo

siguiente:

• Escenario original:

• Impacto (unitario) = $100.000/incidente

• Probabilidad (anual) = 2 incidentes/año

• ALE original = $200.000/año

• Escenario tratado:

• Impacto (unitario) = $100.000/incidente

• Probabilidad (anual) = 0,5 incidentes/año

• ALE tratado = $50.000/año

• Valor = ALE original – ALE tratado = $150.000/año

La disminución de las pérdidas es $150.000 por año para el R1.


Pérdidas Anualizadas Esperadas

Algunos ejemplos

• Con Simulación de Monte Carlo:• El especialista en riesgos ha determinado para el R1 lo

siguiente:

• Escenario original:

• Impacto = entre $60.000 a $140.000/incidente

• Probabilidad = entre 1 y 3 incidentes/año

• ALE original = $¿?/año

• Escenario tratado:

• Impacto = entre $60.000 a $140.000/incidente

• Probabilidad = entre 0,25 y 0,75 incidentes/año

• ALE tratado = $¿?/año

• Valor = ALE original – ALE tratado = $¿?/año

La disminución de las pérdidas se representa ahora como una

distribución estadística…


Pérdidas Anuales Esperadas

Algunos ejemplos

• Con Simulación de Monte Carlo:

0,00%

10,00%

20,00%

30,00%

40,00%

50,00%

60,00%

70,00%

80,00%

90,00%

100,00%

0

10

20

30

40

50

60

Ac

um

ula

do

%

Pro

bab

ilid

ad

Rango

Valor Neto(miles $)

Probabilidad Acumulado%

• Valor más probable de

ALE original – ALE tratado:

• $145.000/año con una

desviación de $25.000.

o bien…

• entre $130.000 a

$160.000/año con una

certidumbre del 80%.


Simulación Monte Carlo

¿Menor incertidumbre?

• El rol del Experto:

• Este modelo requiere que el Experto en Análisis de Riesgo

describa su incerteza.

• Su descripción definirá la curva y los parámetros definitivos

para estimar la distribución.

• Por esta razón el Experto debe estar abierto a comunicar su

incertidumbre a fin de dejar bien establecido que el “valor

esperado” definido por ellos es simplemente representativo

de una posibilidad.

La determinación de la disminución de las pérdidas depende de

la habilidad del Experto en determinar la distribución estadística

que más se aproxime a sus observaciones.


Estimación del ROSI

Usando valores discretos

• Determinación del Ahorro Bruto Anual • Ya estimado anteriormente.

• Determinación de los Costos anualizados de las contramedidas:• Costo Inicial de Contramedias = $120.000

• Costos Anuales Recurrentes Contramedidas = $10.000/año


Estimación del ROSI

Cálculo del ROSI


Conclusiones

¡Es posible estimar el ROSI!

• La Administración del Riesgo es parte fundamental del ROSI.

• El punto más complejo es el poder determinar el Ahorro o Valor

resultante de la aplicación de contramedidas (mitigación).

• Para reducir la incertidumbre se utiliza diferentes métodos como

la Simulación de Monte Carlo.

• Es preciso contar con un Experto en riesgos que asista en la

determinación del ALE y defina sus incertezas.

• Invertir en seguridad no es fácil y demostrar que dicha inversión

es rentable, mucho menos…

… ¡pero se puede!


Caso Real sobre Estimación del ROSI

Hernando Castiglioni,

Security Pre Sales Engineer - Global Crossing


Caso real: Estado de Situación

PELIGRO!

Sitio NO analizado

PELIGRO!

Sistema SIN detección de intrusos

PELIGRO!

ServidorDesactualizado


Caso real: Análisis de Impacto

Ganancias al 1 de Mayo: U$ 100.000

Ganancias desde el 1 de Mayo al 31 de Diciembre: U$ 30.000

Impacto lineal al 31 Diciembre: 33k x 7 – 30k = U$ 201.000

Perdida de imagen y confianza = U$ 201.000 + (X)

Re

ve

nu

es

= 3

40

K


Caso real: Costo de Contramedida

Equipo DedicadoSistema IDP integrado,Reporting, monitoreo


Caso real: Análisis de las Pérdida

130K (Lo ganado)

201K (Lo perdido)

(X) (crecimiento)

U$ 331.000

Ganancia Ideal a 1 año

10,2K(0,85 x 12)

U$ 320.800

Inversión en Seguridad

Léase -0,85

Aproximado Ganancia

3%Aproximado REVENUE

0,3%


Caso real: Estimación del ROSI


Muchas Gracias

cómo justificar las inversiones en seguridad de la información, por christian izarra

Technology

ale original ale tratado

riesgos por

incidentesao ale original

incidentesao ale tratado

impacto y su probabilidad

ale se basa en estimaciones

ao valor

inversin en seguridad