ROSI (Return on Information Security Investment)

ROSI (Return on Information Security Investment)

Feb.05, 2009 in CREAR VALOR, SEGURIDAD

Por: Ernesto Perez, CISSP, CISM, ITIL

¿Está ud gastando lo suficiente o está ud gastando demasiado?

El cálculo de retorno de inversión (ROI) siempre ha sido una herramienta muy adecuada para justificar inversiones de cara a la gerencia de una organización. Ver beneficios no siempre es fácil, por eso este tipo de cálculos han ido ganando protagonismo en los últimos tiempos.

En el caso particular de inversiones en seguridad, el término a utilizar se denomina ROSI (Return Of Security Investment) y al igual que ROI mide la relación entre el retorno que produce una inversión y la inversión propiamente dicha.

Centrándonos en ROSI, la esencia del cálculo se basa en calcular los costos ahorrados como consecuencia de evitar incidentes de seguridad o de mitigar los efectos de los mismos en caso de ocurrencia. Es por esto que en ROSI el beneficio es en realidad el ahorro conseguido (además de otro tipo de beneficios como pueden ser mejorar la imagen de la empresa consiguiendo así nuevos clientes).

Esto lo podemos describir en otros términos: el objetivo es conocer el monto total en dinero que una organización espera ahorrar en un periodo de tiempo (año por ejemplo) al implementar una medida o control de seguridad que nos evite o mitigue riesgos de incidentes.

¿Qué preguntas se buscan resolver comúnmente?:

- ¿Qué tan cara es la seguridad?

- ¿Qué tan efectiva / eficiente es la seguridad aplicada o adquirida?

- ¿Cuáles son las “ganancias”?

Es importante reconocer que determinar el beneficio de un programa de seguridad, sin importar el tipo de empresa que lo quiera implementar, es un gran reto ya que hay que identificar que existen “bienes informáticos” (information assets en inglés) que al ser intangibles, su valor no se mide de manera tan lineal como los bienes materiales. Lógicamente para esto asumimos que dichos bienes informáticos intangibles es el valor de los datos y la información que hacen funcionar a una empresa o negocio. Solo la empresa puede darle la importancia y valor a esa información que maneja y genera y que de cierta forma le permite contar con un posicionamiento en el mercado y que le permite ser competitivo.

Por lo mencionado anteriormente, se debe tratar de cuantificar un valor a dicha información y aplicar proporcionalmente medidas y controles que aseguren la confidencialidad, integridad y disponibilidad de dicha información y que le permitan a la empresa ser redituable y exitosa, y sobrevivir en muchos casos, en caso de que se vea amenazada esa información. En un mundo ideal no sería necesario gastar en medidas de seguridad para proteger nuestra información, pero la realidad es otra.

El gasto en seguridad

Bajo el concepto de que en la infraestructura de TI de una empresa existen vulnerabilidades que pueden ser explotadas y que esto cause una afectación en la operación de dicha empresa, es importante considerar que esa empresa debe gastar para solucionar esas vulnerabilidades. La variable F la podemos definir como el costo anual de arreglar vulnerabilidades a la infraestructura (adquisición de herramientas de protección o aplicación de parches o actualizaciones a los sistemas).

Un empresa típicamente gastará una vez para implementar mecanismos que protejan sus bienes informáticos (variable B). Posiblemente se incurrirá en un gasto (variable M) para incluir gastos de mantenimiento y actualización de dichos mecanismos de protección.

El gasto total anual de seguridad (variable Es) estará dado por:

Es = F + B + M [1]

Pérdida de ganancia

Cuando un sistema es vulnerado, existe la posibilidad de que exista una pérdida inmediata de ganancias (variable L) ya sea causada por indisponibilidades en la infraestructura, por terceros o por personal de la empresa. En lo que las áreas de soporte atienden una indisponibilidad (total o parcial) de los sistemas, existe la posibilidad de que existan pérdidas en las utilidades o ganancias del negocio porque el “sistema está abajo”. Existen dos partes de una pérdida; la primera está en función del tiempo (variable t) que el sistema estuvo indisponible y la segunda parte es el monto total en dinero que se pierde de manera inmediata (variable Li).

Pérdida total

La pérdida total anual (variable Lt) se define :

Lt = Li + I * t / 365 [2]

Donde Li es la pérdida instantánea, I es el valor de los bienes en riesgo y t es el tiempo en días en que el sistema está indisponible.

Las empresas pueden también modelar el costo de la pérdida a través del concepto de pérdida de disponibilidad (variable A(t)) en función de la forma en que las utilidades o ganancias de los bienes en riesgo son perdidos durante un periodo de tiempo (t), es decir, la indisponibilidad provocada por el incidente:

Lt = Li + A(t) [3]

donde A(t) = I * t / 365

Una vez ocurrido el incidente, el sistema será reparado con los medios posibles. Sin importar el medio utilizado, existe un costo financiero de reconstruir (variable R) el sistema en cuestión por lo que la ecuación 3 se modifica:

Lt = Li + A(t) + R [4]

Frecuentemente, el costo de la mano de obra por hora (variable r) es un costo dominante, por lo que la ecuación 4 se reescribe:

Lt = Li + A(t) + r(t) [5]

Donde r(t) es una función que describe el dinero gastado anualmente para reconstruir bienes de TI en el tiempo en que estuvieron abajo.

Viabilidad del gasto

El objetivo de todo programa de seguridad es el de proteger la información (bienes) de la manera más efectiva económicamente hablando. Los mecanismos de defensa no deben costar más que lo que protegen y por si mismo no deben ellos comprometer la disponibilidad de los sistemas que protegen.

Un proyecto es viable si

( F + B + M) < (Lt + A(t) + r(t)) [6]

Una proporción aceptable es que una empresa gaste sustancialmente menos que la pérdida esperada en no más de un tercio de ese costo.

Cost to Break (CTB)

El análisis hecho hasta ahora se ha basado en el hecho de que las vulnerabilidades están intrínsecas en el sistema en cuestión. La posibilidad de un ataque externo no se ha considerado. Un sistema sin defensas de protección y con múltiples vulnerabilidades no está en peligro de ser dañado si no existen amenazas.

Una amenaza inicial a considerar es el sistema de defensa en si. Un ataque de Dos (Denial of Service) afecta a los firewalls y ruteadores por poner dos ejemplos, sin que se vea amenazado el sistema que protegen pero ya crearon una interrupción del servicio en general. Este tipo de ataque puede eventualmente propagarse y explotar alguna vulnerabilidad del sistema de defensa.

CTB = Cd + Cv [7]

Donde CTB es el Costo Anual de Ruptura, Cd es el costo anual de ruptura en el mecanismo de defensa y Cv es el costo anual de explotar las vulnerabilidades en el sistema.

Daño a los mecanismos de defensa (D)

El costo anual por daños (variable D) es hecho ya sea a los mecanismos de defensa (variable Dd) o a la infraestructura en general (variable Di) que contiene la información a proteger. Este daño no necesariamente incluye pérdida de la información pero el proceso de recuperación es el mismo. El costo de reparación es:

D = Dd + Di [8]

La ecuación 6 puede ser ajustada de la siguiente manera:

( F + B + M) < (Lt + A(t) + r(t) + D) [9]

Éxito de un ataque

Se asume que un hacker o usuario malicioso no intentará acceder o violar un sistema a menos que gaste más que el costo de construir los mecanismos de defensa. Por lo tanto, un mecanismo de defensa debe ser construido de tal manera que el costo de violarlo sea mayor que el costo de dicha construcción.

CTB > ( F + B + M) [10]

Motivación para atacar

Un hacker o usuario malicioso estará preparado para pagar casi, pero no más que Li, si intenta robar los datos o posiblemente Li+I(t) si intenta dañar la reputación de la organización a la que ataca. Por lo tal hay una motivación de ataque si:

CTB < (Li + A(t)) [11]

La percepción del valor de la información para el atacante deberá ser mayor que la percepción de valor del dueño de la información en todo caso que la motivación será mayor siempre aún con un alto valor de CTB.

Conclusiones

Una organización no deberá gastar más en seguridad de la información que el costo total de los bienes (información) que sean dañados o perdidos en un incidente cualquiera. Un usuario malicioso no espera gastar más que lo que se pagó por los mecanismos de defensa de la empresa objetivo, pero estará dispuesto a gastar inclusive un poco menos que lo que vale la información robada y explotada.

Los distintos elementos matemáticos que existen, y que son aplicados para realizar estudios de recuperación, en este caso en materia de seguridad informática, son muy amplios y variados. Los cálculos mostrados en este documento son una manera práctica para apoyar a la toma de decisión de los responsables de un negocio y para justificar las inversiones subsecuentes.

Ernesto Perez, CISSP, CISM, ITIL

.
.

RECURSOS
Un punto de inicio para entender a alto nivel el cumplimiento de estándares de seguridad de la información lo podemos encontrar en el libro de Alan Calder, A Business Guide to Information Security el cual presenta una serie de tácticas para fortalecer la estrategia de protección de la información. Este manual, ofrece consejos muy valiosos que permiten a los responsables de la seguridad de la información proteger a sus compañías de actividades maliciosas y criminales. En el libro se presentan una serie de checklists que permiten a las personas de negocio entender los asuntos que les permitirán tomar el control de un tema que es crítico para la supervivencia de su compañía.

A Business Guide to Information Security

Pastor Cortés

Si quieres recibir más artículos como este, suscríbete a PASTOR CORTES . NET por Email

Compartir/Guardar

Tags: CONTROL, CREAR VALOR, RETORNO SOBRE LA INVERSION EN SEGURIDAD, RETURN ON INVESTMENT, RETURN ON SECURITY INVESTMENT, ROSI, SEGURIDAD

¡Bienvenido a mi Blog!

En el encontrarás estrategias, tácticas y planes para la creación de valor mediante un mejor gobierno de TIC en tu organización. ******** Pastor Cortés

follow pastorcortes at http://twitter.com
Tips de Gobierno de TIC

Ingresa tu email:
A través de FeedBurner
Suite completa de ITIL

Itil Lifecycle Publication Suite, Version 3: Continual Service Improvement, Service Operation, Service Strategy, Service Transition, Service Design
Visitantes
Contactos Profesionales

Los más recientes
Los más Leídos
AMAZON Arquitectura de Empresa BLOGS Business Intelligence CIO CLOUD COMPUTING COBIT CONSOLIDACION DEL DATA CENTER CONTROL CREAR VALOR CRISIS CTO Data Center Datawarehousing DESACOPLADOS EA Entrega de Aplicaciones GOBIERNO DE TI GOBIERNO DE TIC GOVERNANCE ITIL LECTURAS RECOMENDADAS LEYENDAS LIBROS Managed Services MARKETING MITOS MSP NICHOLAS CARR NUBE PMP PROJECT MANAGEMENT QUIEN NOS PUEDE HABLAR DE LA CRISIS RETORNO SOBRE LA INVERSION EN SEGURIDAD RETURN ON INVESTMENT RETURN ON SECURITY INVESTMENT ROSI Sarbanex-Oxley SEGURIDAD Servicios Administrados SILOS SOA TECHNOLOGY VENTAS WEB SERVICES
Categorías
- Arquitectura de Empresa (1)
- BPM (1)
- Business Intelligence (2)
- Casinos (1)
- CLOUD COMPUTING (2)
- COBIT (8)
- CREAR VALOR (13)
- CRISIS (1)
- CRM (1)
- Data Center (5)
- Datawarehousing (2)
- DESACOPLADOS (1)
- Harrahs (1)
- ITIL (5)
- Las Vegas (1)
- LIBROS (3)
- MSP (1)
- SaaS (1)
- SEGURIDAD (2)
- SILOS (1)
- SOA (6)
- VENTAS (6)
- WEB SERVICES (3)
Archivos
- July 2010 (1)
- October 2009 (1)
- May 2009 (1)
- April 2009 (2)
- March 2009 (2)
- February 2009 (4)
- January 2009 (7)
- December 2008 (5)
Administrador
Calendario
September 2010

M T W T F S S

« Jul

1 2 3 4 5

6 7 8 9 10 11 12

13 14 15 16 17 18 19

20 21 22 23 24 25 26

27 28 29 30
COBIT
Technorati Profile

Sitio certificado por

big houses for sale
shops for rent

anunsit4nGB
Oleblogs - Directorio de Blogs

PASTOR CORTES . NET

Factores Clave para un Gobierno de TIC