el roi de la seguridad de la información · resultarían aplicando las medidas de seguridad. ......
TRANSCRIPT
ROSI [email protected]
© Carlos Ormella MeyerIng. Carlos Ormella Meyer & Asoc
ROSIEl ROI de la
Seguridad de la InformaciónUna Introducción
ROSI [email protected]
• ROSI es un indicador financiero derivado delROI, que se usa para justificar la inversión enseguridad de la información en términosmonetarios. Es un valor porcentual que relacionael retorno o beneficio neto con la inversión queproduce dicho retorno.
• En un plan de seguridad la inversión es el costode la implementación de medidas de seguridad.
• El retorno, a su vez, es la diferencia entre laspérdidas actuales por incidentes de seguridad ylas pérdidas esperadas luego de aplicar dichasmedidas de seguridad.
Introducción al ROSI
ROSI [email protected]
• Las pérdidas se reducen implementandosalvaguardas o contramedidas, que de estamanera asumen como retorno el valor resultantepor la reducción en las pérdidas y el costocorrespondiente a la implementación de dichassalvaguardas, equivalente a la inversión.
• De esta manera, el retorno será la diferenciaentre el valor y el costo de las salvaguardas.
• En base al ROI, entonces, en un plan deseguridad se tiene que:ROSI = Retorno / Costo, y por lo tanto:ROSI = (Valor – Costo) / Costo
Introducción al ROSI
ROSI [email protected]
• Por otra parte, de forma similar al ROI, cuandoel ciclo de vida del plan de seguridad es devarios años, hay que “traer” al presente valoresy costos futuros de cada año, con cierta tasa dedescuento equivalente al interés del dinero.
• De esta manera a valores presentes será:Valor – Costo = VAN, donde VAN/VPN (ValorActual/Presente Neto), es el monto quequeccomplementa al ROSI, que es un porcentaje.
• Para calcular ROSI primero hay que determinarlos valores de las pérdidas actuales y las queresultarían aplicando las medidas de seguridad.
Cálculo de ROSI
ROSI [email protected]
Cálculo de ROSI
ROSI [email protected]
• Para determinar las pérdidas que puede producirun incidente se emplea la métrica ALE,Expectativa de Pérdidas Anuales.
• ALE es igual a la frecuencia o probabilidadanual de ocurrencia de un incidente por elimpacto correspondiente.
• Para un cálculo adecuado hay que tener datoshistóricos discretos de ambos parámetros.
• Las frecuencias iguales con diferentes impactosse pueden graficar como diagrama de barras yproducir la curva de distribución estadística LDAo Aproximación de Distribución de Pérdidas.
Cálculo de ROSI
ROSI [email protected]
• En el ámbito de seguridad así como en otroscomo los propios de los riesgos operacionalesque considera Basilea II, las distribucionesusuales resultan en curvas asimétricas sesgadasa la derecha.
• Por eso se usa el VaR o Valor en Riesgo paraniveles de confianza del 95% o más.
• Además suele ocurrir que en la cola superioraparezcan valores superiores (fat-tail) a latendencia de la curva en esa zona. En seguridadesto se debe a los incidentes de baja y muy bajaprobabilidad de ocurrencia pero alto impacto.
Cálculo de ROSI
ROSI [email protected]
LDA aproximada con Poisson y Cola
IMPACTOS Valor Medio VaR 98%
FR
EC
UE
NC
IAS
IMPACTOS
Pérdidas Pérdidas Pérdidas Esperadas No Esperadas de Cola
ROSI [email protected]
• Cuando no hay datos históricos concretos deimpactos y/o de frecuencias de ocurrencia, elLDA pierde utilidad.
• Una solución es recurrir a métodos quecombinen datos cuantitativos con cualitativos,como la aproximación de Bayes, donde losdatos cualitativos responden al conocimiento uopinión personal, generalmente de expertos.
• Este procedimiento puede acarrear condicionesde riesgo con un margen importante deincertidumbre, especialmente con datoshistóricos reducidos o nulos.
Problemática de la Incertidumbre
ROSI [email protected]
• La toma de decisiones en condiciones de riesgopuede analizarse con la teoría estadística y laincertidumbre de estas situaciones se puedetratar con la simulación Monte Carlo.
• Simulación Monte Carlo: Método estocástico,es decir aleatorio, que genera múltiples muestrasen base a distribuciones estadísticas, de datos deimpactos y frecuencias para el caso.
• Así se obtienen las pérdidas antes y después deaplicar salvaguardas, y la diferencia resultante.
• Los resultados serán valores y cotas indicativosde un análisis aceptable de proyectos.
Simulación Monte Carlo
ROSI [email protected]
Incidentes sin tratar con Monte Carlo
ROSI [email protected]
• ROSI puede ser parte del llamado caso denegocios o business case que permita tomardecisiones aceptables de riesgo en seguridad.
• Por su parte el BSC, Balance-Scorecard (MandoIntegral Balanceado, o Tablero de Comando ) esuna metodología para medir el desempeño de lasempresas y que puede usarse para presentar lainformación de seguridad como para que losejecutivos pueden entenderla fácilmente.
• Al BSC se vincula la norma de métricas ISO27004, de la serie de normas usadas justamentepara determinar las medidas de seguridad.
ROSI, Caso de Negocios y BSC
ROSI [email protected]
Normas de seguridad de la información
ISO 27002ISO 27002(antes ISO 17799)(antes ISO 17799)
Auditoría yCertificaciónAuditoría y
Certificación
Lista de controlesrecomendados
Requisitos paraimplementar controles y
establecer el Sistema deGestión de Seguridad de
la Información, SGSI
ISO 27001ISO 27001
Selección de controles RiesgosISO 27005
MétricasISO 27004
Extens. Especif.
ROSI [email protected]
ROSIEl ROI de la Seguridad de la Información
Una Introducción
Muchas gracias
Ing. Carlos Ormella Meyer
email: [email protected]