Date post: | 15-Jun-2015 |
Category: |
Technology |
Upload: | foro-global-crossing |
View: | 2,752 times |
Download: | 0 times |
© 2007 Global Crossing - Proprietary
Cómo justificar las inversiones en seguridad de la
información
Christian Izarra, Director de Negocios
© 2007 Global Crossing - Proprietary
Estimación del ROSI - Return on Security
Information
© 2007 Global Crossing - Proprietary 3
¿Por qué hablamos de Inversión?
Algunos interrogantes
• ¿Se conoce realmente la importancia de los activos
de información de la organización?
•¿Qué podría ocurrir que afectara estos activos? •Si ocurre, ¿cuan malo sería?
•Si ocurre, ¿podría repetirse?
•¿Qué se puede hacer para evitarlo? • ¿Cuánto puede costar su remediación?
•¿Es costo efectivo?
© 2007 Global Crossing - Proprietary 4
¿Por qué hablamos de Inversión?
Amenazas
• Naturales:
• Incendio.
• Inundación.
• Terremoto.
• etc.
• Físicas:
• Fallas de energía.
• Explosivos.
• etc.
• De IT:
• Fallas de HW.
• Fallas de SW.
• Fallas de Comunicaciones.
• Hacking (con sus técnicas y
variantes).
• etc.
• Humanas:
• Errores y/o fallas por
negligencia.
• Falta de conciencia respecto
a Seguridad de la Información.
• Fraudes internos.
• etc.
© 2007 Global Crossing - Proprietary 5
Concepto de ROSI
Similitudes y diferencias entre ROI y ROSI
• ROI: Retorno sobre la Inversión • Busca determinar el retorno o beneficio a partir de ingresos
monetarios.
• Para esto se cuenta con flujos de caja los cuales se traducen en
beneficios directos.
• ROSI: Retorno sobre la Inversión de Seguridad• Busca justificar la inversión en seguridad de la información en
términos monetarios.
• Los beneficios no surgen directamente como beneficios contables,
sino en todo caso como reducción de pérdidas.
• Retorno = Valor – Costo
ROSI (%) = (Valor – Costo) / Costo
© 2007 Global Crossing - Proprietary 6
Concepto de ROSI
Obstáculos y dificultades del ROSI
• La seguridad de la información en si misma no genera
una real o apreciable mejora en la eficiencia operacional:• No incrementa la productividad ni disminuye los costos.
• Estimación de la reducción de pérdidas:• Que surgen como resultado de la implantación de contramedidas
que evitan o mitigan la ocurrencia de incidentes de seguridad.
• ¿Cual sería el impacto y su probabilidad de ocurrencia?
• Existen tanto factores cuantitativos como cualitativos a
considerar: • Cuantitativos. Por ejemplo: horas no productivas por incidente.
• Cualitativos. Por ejemplo: pérdida de imagen o confianza.
© 2007 Global Crossing - Proprietary 7
Administración de Riesgos
¿Como se relacionan los Riesgos con el ROSI?
• Administración de Riesgos: • Es el proceso de identificación, valoración y mitigación de riesgos
asociados con una actividad o función a fin de minimizar las
pérdidas hasta un nivel aceptable por la organización.
• Asiste en la determinación del “Valor” dentro de la expresión del
ROSI ya que, como resultado de mitigar los efectos de incidentes
de seguridad se reducen las pérdidas originalmente evaluadas.
• Análisis de Riesgos:• Permite identificar, valorar y priorizar los riesgos detectados a
partir de la determinación de amenazas, vulnerabilidades, impactos
y probabilidad de ocurrencia de incidentes de seguridad.
© 2007 Global Crossing - Proprietary 10
Probabilidad e Impacto
¿Cómo se relacionan?
• Pérdidas Anualizadas Esperadas (ALE):• Es la métrica de gestión de riesgos por la cual se estiman las pérdidas
producto de los riesgos determinados.
• Trabaja con dos variables: la frecuencia anual de ocurrencia de un
riesgo determinado, y el impacto monetario que produciría el mismo
sobre el activo afectado. ALE = Impacto (unitario) x Probabilidad (anual)
• ALE se aplica a dos escenarios posibles:• El “original” sin contramedidas implantadas y el “tratado” o con riesgos
mitigados.
• Se busca determinar así el “valor” (cuantificable monetario), diferencia
entre uno y otro escenario dentro de la fórmula del ROSI.
•ALE se basa en “estimaciones de expectativas”:• Por lo general son valores discretos con sus imprecisiones y errores en
su determinación, lo cual genera incertidumbre. Por esta razón se suele
utilizar la Simulación Monte Carlo.
© 2007 Global Crossing - Proprietary 11
Pérdidas Anualizadas Esperadas
Algunos ejemplos
• Con valores discretos:• El especialista en riesgos ha determinado para el R1 lo
siguiente:
• Escenario original:
• Impacto (unitario) = $100.000/incidente
• Probabilidad (anual) = 2 incidentes/año
• ALE original = $200.000/año
• Escenario tratado:
• Impacto (unitario) = $100.000/incidente
• Probabilidad (anual) = 0,5 incidentes/año
• ALE tratado = $50.000/año
• Valor = ALE original – ALE tratado = $150.000/año
La disminución de las pérdidas es $150.000 por año para el R1.
© 2007 Global Crossing - Proprietary 12
Pérdidas Anualizadas Esperadas
Algunos ejemplos
• Con Simulación de Monte Carlo:• El especialista en riesgos ha determinado para el R1 lo
siguiente:
• Escenario original:
• Impacto = entre $60.000 a $140.000/incidente
• Probabilidad = entre 1 y 3 incidentes/año
• ALE original = $¿?/año
• Escenario tratado:
• Impacto = entre $60.000 a $140.000/incidente
• Probabilidad = entre 0,25 y 0,75 incidentes/año
• ALE tratado = $¿?/año
• Valor = ALE original – ALE tratado = $¿?/año
La disminución de las pérdidas se representa ahora como una
distribución estadística…
© 2007 Global Crossing - Proprietary 13
Pérdidas Anuales Esperadas
Algunos ejemplos
• Con Simulación de Monte Carlo:
0,00%
10,00%
20,00%
30,00%
40,00%
50,00%
60,00%
70,00%
80,00%
90,00%
100,00%
0
10
20
30
40
50
60
Ac
um
ula
do
%
Pro
bab
ilid
ad
Rango
Valor Neto(miles $)
Probabilidad Acumulado%
• Valor más probable de
ALE original – ALE tratado:
• $145.000/año con una
desviación de $25.000.
o bien…
• entre $130.000 a
$160.000/año con una
certidumbre del 80%.
© 2007 Global Crossing - Proprietary 14
Simulación Monte Carlo
¿Menor incertidumbre?
• El rol del Experto:
• Este modelo requiere que el Experto en Análisis de Riesgo
describa su incerteza.
• Su descripción definirá la curva y los parámetros definitivos
para estimar la distribución.
• Por esta razón el Experto debe estar abierto a comunicar su
incertidumbre a fin de dejar bien establecido que el “valor
esperado” definido por ellos es simplemente representativo
de una posibilidad.
La determinación de la disminución de las pérdidas depende de
la habilidad del Experto en determinar la distribución estadística
que más se aproxime a sus observaciones.
© 2007 Global Crossing - Proprietary 15
Estimación del ROSI
Usando valores discretos
• Determinación del Ahorro Bruto Anual • Ya estimado anteriormente.
• Determinación de los Costos anualizados de las contramedidas:• Costo Inicial de Contramedias = $120.000
• Costos Anuales Recurrentes Contramedidas = $10.000/año
© 2007 Global Crossing - Proprietary 16
Estimación del ROSI
Cálculo del ROSI
© 2007 Global Crossing - Proprietary 17
Conclusiones
¡Es posible estimar el ROSI!
• La Administración del Riesgo es parte fundamental del ROSI.
• El punto más complejo es el poder determinar el Ahorro o Valor
resultante de la aplicación de contramedidas (mitigación).
• Para reducir la incertidumbre se utiliza diferentes métodos como
la Simulación de Monte Carlo.
• Es preciso contar con un Experto en riesgos que asista en la
determinación del ALE y defina sus incertezas.
• Invertir en seguridad no es fácil y demostrar que dicha inversión
es rentable, mucho menos…
… ¡pero se puede!
© 2007 Global Crossing - Proprietary
Caso Real sobre Estimación del ROSI
Hernando Castiglioni,
Security Pre Sales Engineer - Global Crossing
© 2007 Global Crossing - Proprietary 19
Caso real: Estado de Situación
PELIGRO!
Sitio NO analizado
PELIGRO!
Sistema SIN detección de intrusos
PELIGRO!
ServidorDesactualizado
© 2007 Global Crossing - Proprietary 20
Caso real: Análisis de Impacto
Ganancias al 1 de Mayo: U$ 100.000
Ganancias desde el 1 de Mayo al 31 de Diciembre: U$ 30.000
Impacto lineal al 31 Diciembre: 33k x 7 – 30k = U$ 201.000
Perdida de imagen y confianza = U$ 201.000 + (X)
Re
ve
nu
es
= 3
40
K
© 2007 Global Crossing - Proprietary 21
Caso real: Costo de Contramedida
Equipo DedicadoSistema IDP integrado,Reporting, monitoreo
© 2007 Global Crossing - Proprietary 22
Caso real: Análisis de las Pérdida
130K (Lo ganado)
201K (Lo perdido)
(X) (crecimiento)
U$ 331.000
Ganancia Ideal a 1 año
10,2K(0,85 x 12)
U$ 320.800
Inversión en Seguridad
Léase -0,85
Aproximado Ganancia
3%Aproximado REVENUE
0,3%
© 2007 Global Crossing - Proprietary 23
Caso real: Estimación del ROSI
© 2007 Global Crossing - Proprietary
Muchas Gracias