cómo justificar inversiones en tecnologías de información, por hernando castiglioni

1° Foro Global Crossing de Tecnología y Negocios Santiago ‐ Chile

Información segura. Negocios seguros.

Como Justificar Inversiones en Seguridad de la Información

Hernando CastiglioniSecurity Pre Sales Engineer.

Julio 2009


¿Por qué hablamos de Inversión?

Algunos interrogantes

¿Se conoce realmente la importancia de los activos de información de la organización?

¿Qué podría ocurrir que afectara estos activos? Si ocurre, ¿cuan malo sería?Si ocurre, ¿podría repetirse?

¿Qué se puede hacer para evitarlo? ¿Cuánto puede costar su remediación?

¿Es costo efectivo?


¿Por qué hablamos de Inversión?

Amenazas

Naturales:• Incendio.• Inundación.• Terremoto.• etc.

Físicas:• Fallas de energía.• Explosivos.• Infraestructura.• etc.

De IT:• Fallas de HW/SW.• Fallas de Comunicaciones.• Hacking (con variantes)• etc.

Humanas:• Fraudes internos.• Falta de conciencia respecto a Seguridad de la Información.• Errores o fallas por negligencia.• etc.


Concepto de ROSI

Similitudes y diferencias entre ROI y ROSIROI: Retorno sobre la Inversión

• Busca determinar el retorno o beneficio a partir de ingresos monetarios.• Para esto se cuenta con flujos de caja los cuales se traducen en beneficios directos.

ROSI: Retorno sobre la Inversión de Seguridad• Busca justificar la inversión en seguridad de la información en términos monetarios.• Los beneficios no surgen directamente como beneficios contables, sino en todo caso como reducción de pérdidas. • Retorno = Valor – Costo.

ROSI (%) = (Valor – Costo) / Costo


Obstáculos y dificultades del ROSI

La seguridad de la información en si misma no genera una real o apreciable mejora en la eficiencia operacional:

• No incrementa la productividad ni disminuye los costos.

Estimación de la reducción de pérdidas:• Que surgen como resultado de la implantación de contramedidas que evitan o mitigan la ocurrencia de incidentes de seguridad.• ¿Cual sería el impacto y su probabilidad de ocurrencia?

Existen tanto factores cuantitativos como cualitativos a considerar: • Cuantitativos. Por ejemplo: horas no productivas por incidente.• Cualitativos. Por ejemplo: pérdida de imagen o confianza.

Concepto de ROSI


Administración de Riesgos

¿Como se relacionan los Riesgos con el ROSI?

Administración de Riesgos: • Es el proceso de identificación, valoración y mitigación de riesgos asociados con una actividad o función a fin de minimizar las pérdidas hasta un nivel aceptable por la organización.• Asiste en la determinación del “Valor” dentro de la expresión del ROSI ya que, como resultado de mitigar los efectos de incidentes de seguridad se reducen las pérdidas originalmente evaluadas.

Análisis de Riesgos:• Permite identificar, valorar y priorizar los riesgos detectados a partir de la determinación de amenazas, vulnerabilidades, impactos y probabilidad de ocurrencia de incidentes de seguridad.


Análisis de Riesgos

Metodología1 Identificación de Activos:

• Se deben determinar cuales son las actividades involucradas y los activos de información requeridos para el logro de los objetivos planteados.

2 Identificar amenazas:• Para cada activo identificado se deberán especificar las amenazas que le son propias a su naturaleza.

3 Identificar vulnerabilidades: • Para cada activo‐amenaza se deberán identificar vulnerabilidades que tenga el activo que pueda permitir que la amenaza se materialice.

4 Identificar controles actuales: • Se deberán identificar controles existentes que ayuden a salvaguardar el proceso ante las amenazas‐vulnerabilidades identificadas para los activos. Eventualmente los controles podrán aportar seguridad a más de un activo identificado.

5 Determinar la probabilidad: • Se debe otorgar una probabilidad de ocurrencia de la explotación de la vulnerabilidad por la amenaza considerando los controles actuales.


Análisis de Riesgos

Metodología6 Determinar el impacto:

• Se debe cuantificar el daño que se produciría si la vulnerabilidad es explotada por la amenaza.

7 Determinar el riesgo: • La valorización del nivel de riesgo del sistema por parejas Amenazas‐Vulnerabilidades debe considerar, para cada riesgo detectado el resultado de la dupla Impacto‐Probabilidad.

8 Determinación de contramedidas: • Se debe reducir el nivel de riesgo del sistema para llevarlo a un nivel aceptable, para lo cual se definen controles que, al ser implantados, permitirán mitigar uno o más de los riesgos determinados.

Implantar contramedidas es equivalente a aplicar mayor seguridad y es realmente lo que constituye la inversión en seguridad.

Al invertir se está disminuyendo el riesgo y por lo tanto las pérdidas relacionadas.


Probabilidad de Impacto

RelacionesPérdidas Anualizadas Esperadas (ALE):

• Es la métrica de gestión de riesgos por la cual se estiman las pérdidas producto de los riesgos determinados.• Trabaja con dos variables: la frecuencia anual de ocurrencia de un riesgo determinado, y el impacto monetario que produciría el mismo sobre el activo afectado. ALE = Impacto (unitario) x Probabilidad (anual)

ALE se aplica a dos escenarios posibles:• El “original” sin contramedidas implantadas y el “tratado” o con riesgos mitigados. • Se busca determinar así el “valor” (cuantificable monetario), diferencia entre uno y otro escenario dentro de la fórmula del ROSI.

ALE se basa en “estimaciones de expectativas”:• Por lo general son valores discretos con sus imprecisiones y errores en su determinación, lo cual genera incertidumbre. Por esta razón se suele utilizar la Simulación Monte Carlo.


Perdidas Anuales Esperadas

Ejemplo ICon valores discretos:El especialista en riesgos ha determinado para el R1 lo siguiente:Escenario original: Impacto (unitario) = $100.000/incidenteProbabilidad (anual) = 2 incidentes/añoALE original = $200.000/añoEscenario tratado:Impacto (unitario) = $100.000/incidenteProbabilidad (anual) = 0,5 incidentes/añoALE tratado = $50.000/año

Valor = ALE original – ALE tratado = $150.000/año

La disminución de las pérdidas es $150.000 por año para el R1.



Ejemplo ICon Simulación de Monte Carlo:El especialista en riesgos ha determinado para el R1 lo siguiente:Escenario original: Impacto = entre $60.000 a $140.000/incidente Probabilidad = entre 1 y 3 incidentes/añoALE original = $¿?/añoEscenario tratado:Impacto = entre $60.000 a $140.000/incidente Probabilidad = entre 0,25 y 0,75 incidentes/añoALE tratado = $¿?/año

Valor = ALE original – ALE tratado = $¿?/año

La disminución de las pérdidas se representa ahora como una distribución estadística…



Ejemplo I Simulación de Monte Carlo:

0,00%

10,00%

20,00%

30,00%

40,00%

50,00%

60,00%

70,00%

80,00%

90,00%

100,00%

0

10

20

30

40

50

60

Acumulad

o%

Prob

abilida

d

Rango

Valor Neto(miles $)

Probabilidad Acumulado%

Valor más probable de ALE original – ALE tratado:$145.000/año con unadesviación de $25.000.o bien…entre $130.000 a $160.000/año con unacertidumbre del 80%.


Simulación Monte Carlo

Menor Incertidumbre

El rol del Experto:

• Este modelo requiere que el Experto en Análisis de Riesgo describa su “incerteza”. • Su descripción definirá la curva y los parámetros definitivos para estimar la distribución. • Por esta razón el Experto debe estar abierto a comunicar su incertidumbre a fin de dejar bien establecido que el “valor esperado” definido por ellos es simplemente representativo de una posibilidad.

La determinación de la disminución de las pérdidas depende de la habilidad del Experto en determinar la distribución estadística que más se aproxime a

sus observaciones.


Estimemos ROSI

Usando Valores DiscretosDeterminación del Ahorro Bruto Anual

• Ya estimado anteriormente.

Determinación de los Costos anualizados de las contramedidas:• Costo Inicial de Contramedias = $120.000• Costos Anuales Recurrentes Contramedidas = $10.000/año

Sumario de Valores


Estimemos ROSI

Cálculo del ROSICalculo de ROSI


Estimemos ROSI

Es posible estimar el ROSICalculo de ROSI

La Administración del Riesgo es parte fundamental del ROSI.

El punto más complejo es el poder determinar el Ahorro o Valor resultante de la aplicación de contramedidas (mitigación).

Para reducir la incertidumbre se utiliza diferentes métodos como la Simulación de Monte Carlo.

Es preciso contar con un Experto en riesgos que asista en la determinación del ALE y defina sus ”incertezas”.

Invertir en seguridad no es fácil y demostrar que dicha inversión es rentable, mucho menos…

… ¡pero se puede!



Caso Real: Estimación del ROSI


Caso Real : Situación Inicial

Estado Previo Ataque

PELIGRO!

Sitio NO analizado

PELIGRO!

Sistema SIN detección de intrusos

PELIGRO!

ServidorDesactualizado

Sito de E‐Commerce en desarrollo. Escases de controles y tecnología adecuada.Crecimiento desmedido.


Caso Real : Análisis de Impacto

Ganancias al 1 de Mayo: U$ 100.000

Ganancias desde el 1 de Mayo al 31 de Diciembre: U$ 30.000

Impacto lineal al 31 Diciembre: 33k x 7 – 30k = U$ 201.000 Perdida de imagen y confianza = U$ 201.000 + (X)

Rev

enue

s =

33K


Caso Real : Remediación

Equipo DedicadoSistema IDP integrado,Reporting, monitoreo

Situación RemediadaSito de E‐Commerce en desarrollo. Aumento adecuado de controles.Crecimiento estimado analizado.


Caso Real : Costo de Contramedidas

130K (Lo ganado)

201K (Lo perdido)(X) (crecimiento)

U$ 331.000

Ganancia Ideal a 1 año

10,2K(0,85 x 12)

U$ 320.800

Inversión en SeguridadLéase ‐0,85

Aproximado Ganancia

3,1%Aproximado REVENUE

2,6%


Estimemos ROSI

Cálculo del ROSICalculo de ROSI



Muchas Gracias!!!

cómo justificar inversiones en tecnologías de información, por hernando castiglioni

Technology