SlideShare una empresa de Scribd logo

Cómo justificar inversiones en tecnologías de Información, por Hernando Castiglioni

Foro Global Crossing
Foro Global Crossing

Presentación de Hernando Castiglioni, Security Product Manager, Global Crossing, en el I Foro Global Crossing de Negocios y Tecnología, en Santiago de Chile, julio 14 2009.

Tecnología
1 de 23
Descargar para leer sin conexión
Información segura. Negocios seguros. Como Justificar Inversiones  en Seguridad de la  Información Hernando Castiglioni Security Pre Sales Engineer. Julio 2009 1° Foro Global Crossing de Tecnología y Negocios   Santiago ‐ Chile
¿Por qué hablamos de Inversión? Algunos interrogantes ¿Se conoce realmente la importancia de los activos de información de la  organización? ¿Qué podría ocurrir que afectara estos activos?  Si ocurre, ¿cuan malo sería? Si ocurre, ¿podría repetirse? ¿Qué se puede hacer para evitarlo?  ¿Cuánto puede costar su remediación?  ¿Es costo efectivo?  1° Foro Global Crossing de Tecnología y Negocios   Santiago ‐ Chile
¿Por qué hablamos de Inversión? Amenazas Naturales: De IT: • Incendio. • Fallas de HW/SW. • Inundación. • Fallas de Comunicaciones. • Terremoto. • Hacking (con variantes) • etc. • etc. Físicas: Humanas: • Fallas de energía. • Fraudes internos. • Explosivos. • Falta de conciencia respecto a  • Infraestructura. Seguridad de la Información. • etc.  • Errores o fallas por negligencia. • etc. 1° Foro Global Crossing de Tecnología y Negocios   Santiago ‐ Chile
Concepto de ROSI Similitudes y diferencias entre ROI y ROSI ROI: Retorno sobre la Inversión  • Busca determinar el retorno o beneficio a partir de ingresos monetarios. • Para esto se cuenta con flujos de caja los cuales se traducen en beneficios  directos. ROSI: Retorno sobre la Inversión de Seguridad • Busca justificar la inversión en seguridad de la información en términos  monetarios. • Los beneficios no surgen directamente como beneficios contables, sino en todo  caso como reducción de pérdidas.  • Retorno = Valor – Costo. ROSI (%) = (Valor – Costo) / Costo 1° Foro Global Crossing de Tecnología y Negocios   Santiago ‐ Chile
Concepto de ROSI Obstáculos y dificultades del ROSI La seguridad de la información en si misma no genera una real o  apreciable mejora en la eficiencia operacional: • No incrementa la productividad ni disminuye los costos. Estimación de la reducción de pérdidas: • Que surgen como resultado de la implantación de contramedidas que evitan o  mitigan la ocurrencia de incidentes de seguridad. • ¿Cual sería el impacto y su probabilidad de ocurrencia? Existen tanto factores cuantitativos como cualitativos a considerar:  • Cuantitativos. Por ejemplo: horas no productivas por incidente. • Cualitativos. Por ejemplo: pérdida de imagen o confianza. 1° Foro Global Crossing de Tecnología y Negocios   Santiago ‐ Chile
Administración de Riesgos ¿Como se relacionan los Riesgos con el ROSI? Administración de Riesgos:  • Es el proceso de identificación, valoración y mitigación de riesgos asociados  con una actividad o función a fin de minimizar las pérdidas hasta un nivel  aceptable por la organización. • Asiste en la determinación del “Valor” dentro de la expresión del ROSI ya que,  como resultado de mitigar los efectos de incidentes de seguridad se reducen las  pérdidas originalmente evaluadas. Análisis de Riesgos: • Permite identificar, valorar y priorizar los riesgos detectados a partir de la  determinación de amenazas, vulnerabilidades, impactos y probabilidad de  ocurrencia de incidentes de seguridad. 1° Foro Global Crossing de Tecnología y Negocios   Santiago ‐ Chile
Análisis de Riesgos Metodología 1   Identificación de Activos:  • Se deben determinar cuales son las actividades involucradas y los activos de información  requeridos para el logro de los objetivos planteados. 2   Identificar amenazas: • Para cada activo identificado se deberán especificar las amenazas que le son propias a  su naturaleza. 3   Identificar vulnerabilidades:  • Para cada activo‐amenaza se deberán identificar vulnerabilidades que tenga el activo  que pueda permitir que la amenaza se materialice. 4   Identificar controles actuales:  • Se deberán identificar controles existentes que ayuden a salvaguardar el proceso ante  las amenazas‐vulnerabilidades identificadas para los activos. Eventualmente los controles  podrán aportar seguridad a más de un activo identificado.  5   Determinar la probabilidad:  • Se debe otorgar una probabilidad de ocurrencia de la explotación de la vulnerabilidad  por la amenaza considerando los controles actuales. 1° Foro Global Crossing de Tecnología y Negocios   Santiago ‐ Chile
Análisis de Riesgos Metodología 6   Determinar el impacto:   • Se debe cuantificar el daño que se produciría si la vulnerabilidad es explotada por la  amenaza.  7   Determinar el riesgo:  • La valorización del nivel de riesgo del sistema por parejas Amenazas‐Vulnerabilidades debe  considerar, para cada riesgo detectado el resultado de la dupla Impacto‐Probabilidad. 8 Determinación de contramedidas:  • Se debe reducir el nivel de riesgo del sistema para llevarlo a un nivel aceptable, para lo cual  se definen controles que, al ser implantados, permitirán mitigar uno o más de los riesgos  determinados.  Implantar contramedidas es equivalente a aplicar mayor seguridad y es  realmente lo que constituye la inversión en seguridad.  Al invertir se está disminuyendo el riesgo y por lo tanto las pérdidas  relacionadas. 1° Foro Global Crossing de Tecnología y Negocios   Santiago ‐ Chile
Probabilidad de Impacto Relaciones Pérdidas Anualizadas Esperadas (ALE): • Es la métrica de gestión de riesgos por la cual se estiman las pérdidas producto de los  riesgos determinados. • Trabaja con dos variables: la frecuencia anual de ocurrencia de un riesgo  determinado, y el impacto monetario que produciría el mismo sobre el activo afectado.  ALE = Impacto (unitario) x Probabilidad (anual) ALE se aplica a dos escenarios posibles: • El “original” sin contramedidas implantadas y el “tratado” o con riesgos mitigados.  • Se busca determinar así el “valor” (cuantificable monetario), diferencia entre uno y  otro escenario dentro de la fórmula del ROSI. ALE se basa en “estimaciones de expectativas”: • Por lo general son valores discretos con sus imprecisiones y errores en su  determinación, lo cual genera incertidumbre. Por esta razón se suele utilizar la  Simulación Monte Carlo. 1° Foro Global Crossing de Tecnología y Negocios   Santiago ‐ Chile
Perdidas Anuales Esperadas Ejemplo I Con valores discretos: El especialista en riesgos ha determinado para el R1 lo siguiente: Escenario original:  Impacto (unitario) = $100.000/incidente Probabilidad (anual) = 2 incidentes/año ALE original = $200.000/año Escenario tratado: Impacto (unitario) = $100.000/incidente Probabilidad (anual) = 0,5 incidentes/año ALE tratado = $50.000/año Valor = ALE original – ALE tratado = $150.000/año La disminución de las pérdidas es $150.000 por año para el R1. 1° Foro Global Crossing de Tecnología y Negocios   Santiago ‐ Chile
Perdidas Anuales Esperadas Ejemplo I Con Simulación de Monte Carlo: El especialista en riesgos ha determinado para el R1 lo siguiente: Escenario original:  Impacto = entre $60.000 a $140.000/incidente  Probabilidad = entre 1 y 3 incidentes/año ALE original = $¿?/año Escenario tratado: Impacto = entre $60.000 a $140.000/incidente  Probabilidad = entre 0,25 y 0,75 incidentes/año ALE tratado = $¿?/año Valor = ALE original – ALE tratado = $¿?/año La disminución de las pérdidas se representa ahora como una distribución estadística… 1° Foro Global Crossing de Tecnología y Negocios   Santiago ‐ Chile
Perdidas Anuales Esperadas Ejemplo I Simulación de Monte Carlo: Valor Neto (miles $)  60 100,00% Valor más probable de  90,00% 50 80,00% ALE original – ALE tratado: 70,00% $145.000/año con una 40 60,00% desviación de $25.000. o bien… Acumulado% Probabilidad 30 50,00% 40,00% entre $130.000 a  20 30,00% $160.000/año con una 10 20,00% certidumbre del 80%. 10,00% 0 0,00% Rango Probabilidad Acumulado% 1° Foro Global Crossing de Tecnología y Negocios   Santiago ‐ Chile
Simulación Monte Carlo Menor Incertidumbre  El rol del Experto:  • Este modelo requiere que el Experto en Análisis de Riesgo describa su  “incerteza”.  • Su descripción definirá la curva y los parámetros definitivos para  estimar la distribución.  • Por esta razón el Experto debe estar abierto a comunicar su  incertidumbre a fin de dejar bien establecido que el “valor esperado”  definido por ellos es simplemente representativo de una posibilidad. La determinación de la disminución de las pérdidas depende de la habilidad  del Experto en determinar la distribución estadística que más se aproxime a  sus observaciones. 1° Foro Global Crossing de Tecnología y Negocios   Santiago ‐ Chile
Estimemos ROSI Usando Valores Discretos Determinación del Ahorro Bruto Anual  • Ya estimado anteriormente. Determinación de los Costos anualizados de las contramedidas: • Costo Inicial de Contramedias = $120.000 • Costos Anuales Recurrentes Contramedidas = $10.000/año  Sumario de Valores 1° Foro Global Crossing de Tecnología y Negocios   Santiago ‐ Chile
Estimemos ROSI Cálculo del ROSI Calculo de ROSI 1° Foro Global Crossing de Tecnología y Negocios   Santiago ‐ Chile
Estimemos ROSI Es posible estimar el ROSI Calculo de ROSI La Administración del Riesgo es parte fundamental del ROSI. El punto más complejo es el poder determinar el Ahorro o Valor resultante de la  aplicación de contramedidas (mitigación). Para reducir la incertidumbre se utiliza diferentes métodos como la Simulación de  Monte Carlo. Es preciso contar con un Experto en riesgos que asista en la determinación del ALE y  defina sus ”incertezas”. Invertir en seguridad no es fácil y demostrar que dicha inversión es rentable, mucho  menos…  … ¡pero se puede! 1° Foro Global Crossing de Tecnología y Negocios   Santiago ‐ Chile
Información segura. Negocios seguros. Caso Real: Estimación del ROSI 1° Foro Global Crossing de Tecnología y Negocios   Santiago ‐ Chile
Caso Real : Situación Inicial PELIGRO! Sistema SIN  detección  de intrusos PELIGRO! Sitio NO analizado Estado Previo Ataque Sito de E‐Commerce en desarrollo.  Escases de controles y tecnología  adecuada. PELIGRO! Crecimiento desmedido. Servidor Desactualizado 1° Foro Global Crossing de Tecnología y Negocios   Santiago ‐ Chile
Caso Real : Análisis de Impacto Revenues = 33K Ganancias al 1 de Mayo: U$ 100.000 Ganancias desde el 1 de Mayo al 31 de Diciembre: U$ 30.000 Impacto lineal al 31 Diciembre: 33k x 7  – 30k = U$ 201.000  Perdida de imagen y confianza = U$ 201.000 + (X) 1° Foro Global Crossing de Tecnología y Negocios   Santiago ‐ Chile
Caso Real : Remediación Equipo Dedicado Sistema IDP integrado, Reporting, monitoreo Situación Remediada Sito de E‐Commerce en desarrollo.  Aumento adecuado de controles. Crecimiento estimado analizado. 1° Foro Global Crossing de Tecnología y Negocios   Santiago ‐ Chile
Caso Real : Costo de Contramedidas Inversión en Seguridad Léase ‐0,85 Ganancia Ideal a 1 año Aproximado REVENUE Aproximado Ganancia 2,6% 3,1% 130K     (Lo ganado) 201K     (Lo perdido) 10,2K U$ 320.800 (X)      (crecimiento) (0,85 x 12) U$ 331.000 1° Foro Global Crossing de Tecnología y Negocios   Santiago ‐ Chile
Estimemos ROSI Cálculo del ROSI Calculo de ROSI 1° Foro Global Crossing de Tecnología y Negocios   Santiago ‐ Chile
Información segura. Negocios seguros. Muchas Gracias!!! 1° Foro Global Crossing de Tecnología y Negocios   Santiago ‐ Chile

Recomendados

Cómo justificar las inversiones en Seguridad de la Información, por Franz Erni
Cómo justificar las inversiones en Seguridad de la Información, por Franz ErniCómo justificar las inversiones en Seguridad de la Información, por Franz Erni
Cómo justificar las inversiones en Seguridad de la Información, por Franz Erni
Foro Global Crossing
 
Cómo justificar las inversiones en seguridad de la información, por Christian...
Cómo justificar las inversiones en seguridad de la información, por Christian...Cómo justificar las inversiones en seguridad de la información, por Christian...
Cómo justificar las inversiones en seguridad de la información, por Christian...
Foro Global Crossing
 
Organizing to manage information assets
Organizing to manage information assetsOrganizing to manage information assets
Organizing to manage information assets
Mark Albala
 
Riesgo Operacional
Riesgo OperacionalRiesgo Operacional
Riesgo Operacional
Ricardo Callirgos Borbor
 
riesgo general
riesgo generalriesgo general
riesgo general
ANDREA JOHN
 
1er.trabajo riesgos
1er.trabajo riesgos1er.trabajo riesgos
1er.trabajo riesgos
grace zegarra
 
Gestión del riesgo de fraude
Gestión del riesgo de fraudeGestión del riesgo de fraude
Gestión del riesgo de fraude
Juan Armando Zepeda
 
Seguridad Empresarial: El costo de la seguridad (o el precio de la Inseguridad)
Seguridad Empresarial: El costo de la seguridad (o el precio de la Inseguridad)Seguridad Empresarial: El costo de la seguridad (o el precio de la Inseguridad)
Seguridad Empresarial: El costo de la seguridad (o el precio de la Inseguridad)
Juan Moratto
 

Recomendados

Cómo justificar las inversiones en Seguridad de la Información, por Franz Erni
Cómo justificar las inversiones en Seguridad de la Información, por Franz ErniCómo justificar las inversiones en Seguridad de la Información, por Franz Erni
Cómo justificar las inversiones en Seguridad de la Información, por Franz Erni
Foro Global Crossing
 
Cómo justificar las inversiones en seguridad de la información, por Christian...
Cómo justificar las inversiones en seguridad de la información, por Christian...Cómo justificar las inversiones en seguridad de la información, por Christian...
Cómo justificar las inversiones en seguridad de la información, por Christian...
Foro Global Crossing
 
Organizing to manage information assets
Organizing to manage information assetsOrganizing to manage information assets
Organizing to manage information assets
Mark Albala
 
Riesgo Operacional
Riesgo OperacionalRiesgo Operacional
Riesgo Operacional
Ricardo Callirgos Borbor
 
riesgo general
riesgo generalriesgo general
riesgo general
ANDREA JOHN
 
1er.trabajo riesgos
1er.trabajo riesgos1er.trabajo riesgos
1er.trabajo riesgos
grace zegarra
 
Gestión del riesgo de fraude
Gestión del riesgo de fraudeGestión del riesgo de fraude
Gestión del riesgo de fraude
Juan Armando Zepeda
 
Seguridad Empresarial: El costo de la seguridad (o el precio de la Inseguridad)
Seguridad Empresarial: El costo de la seguridad (o el precio de la Inseguridad)Seguridad Empresarial: El costo de la seguridad (o el precio de la Inseguridad)
Seguridad Empresarial: El costo de la seguridad (o el precio de la Inseguridad)
Juan Moratto
 
Resumen Taller Mapas de Riesgos en la Auditoría
Resumen Taller Mapas de Riesgos en la AuditoríaResumen Taller Mapas de Riesgos en la Auditoría
Resumen Taller Mapas de Riesgos en la Auditoría
Carlos Barrios
 
EducacionIT - El brazo tonto de la inteligencia de amenazas
EducacionIT - El brazo tonto de la inteligencia de amenazasEducacionIT - El brazo tonto de la inteligencia de amenazas
EducacionIT - El brazo tonto de la inteligencia de amenazas
Luciano Moreira da Cruz
 
Riesgos 2012
Riesgos 2012Riesgos 2012
Riesgos 2012
xhagix
 
Ciberseguridad Mexico
Ciberseguridad MexicoCiberseguridad Mexico
Ciberseguridad Mexico
Kamel Karabelli
 
Semana 9 riesgo operativo
Semana 9 riesgo operativoSemana 9 riesgo operativo
Semana 9 riesgo operativo
gutyr
 
LA_ADMINISTRACIN_DE_RIESGOS_EN_LA_EPOCA_ACTUAL_JON_KRAKER_ROLZ_BENNETT.pptx
LA_ADMINISTRACIN_DE_RIESGOS_EN_LA_EPOCA_ACTUAL_JON_KRAKER_ROLZ_BENNETT.pptxLA_ADMINISTRACIN_DE_RIESGOS_EN_LA_EPOCA_ACTUAL_JON_KRAKER_ROLZ_BENNETT.pptx
LA_ADMINISTRACIN_DE_RIESGOS_EN_LA_EPOCA_ACTUAL_JON_KRAKER_ROLZ_BENNETT.pptx
gmsalazarm1
 
Aplicación de la norma ISO 31000 a la gestión del riesgo de fraude
Aplicación de la norma ISO 31000 a la gestión del riesgo de fraudeAplicación de la norma ISO 31000 a la gestión del riesgo de fraude
Aplicación de la norma ISO 31000 a la gestión del riesgo de fraude
PECB
 
Semana 5
Semana 5Semana 5
Semana 5
Carlos Campos Paredes
 
¿Como ganan dinero los hackers?
¿Como ganan dinero los hackers?¿Como ganan dinero los hackers?
¿Como ganan dinero los hackers?
Ramon
 
German salazar uta_modulo_analisis_de_riesgos
German salazar uta_modulo_analisis_de_riesgosGerman salazar uta_modulo_analisis_de_riesgos
German salazar uta_modulo_analisis_de_riesgos
gmsalazarm1
 
Riesgo de crédito
Riesgo de créditoRiesgo de crédito
Riesgo de crédito
CRISTIANCORONEL83
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la Información
PECB
 
Sigue el camino del análisis de riesgos _ INCIBE.pdf
Sigue el camino del análisis de riesgos _ INCIBE.pdfSigue el camino del análisis de riesgos _ INCIBE.pdf
Sigue el camino del análisis de riesgos _ INCIBE.pdf
Nicanor Sachahuaman
 
Semana 1 y 2
Semana 1 y 2Semana 1 y 2
Semana 1 y 2
MikaR123
 
Análisis de sensibilidad y riesgo
Análisis de sensibilidad y riesgoAnálisis de sensibilidad y riesgo
Análisis de sensibilidad y riesgo
LBenites
 
Ser Compliance - Magazcitum año 5, numero4, pág 16
Ser Compliance - Magazcitum año 5, numero4, pág 16Ser Compliance - Magazcitum año 5, numero4, pág 16
Ser Compliance - Magazcitum año 5, numero4, pág 16
Fabián Descalzo
 
Internet, ¿Una amenaza para la propiedad intelectual?
Internet, ¿Una amenaza para la propiedad intelectual?Internet, ¿Una amenaza para la propiedad intelectual?
Internet, ¿Una amenaza para la propiedad intelectual?
Belén Francisca
 
1. que es el riesgo
1. que es el riesgo1. que es el riesgo
1. que es el riesgo
Pablo Tauta PCC MBA
 
Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...
Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...
Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...
TECHNOLOGYINT
 
Semana 1 trabajo riesgos
Semana 1 trabajo riesgosSemana 1 trabajo riesgos
Semana 1 trabajo riesgos
KATHIAST
 
Presentación consolidada 3er Foro Global Crossing - Ecuador
Presentación consolidada 3er Foro Global Crossing - EcuadorPresentación consolidada 3er Foro Global Crossing - Ecuador
Presentación consolidada 3er Foro Global Crossing - Ecuador
Foro Global Crossing
 
Miguel Cisterna - Outsourcing IT: cuando implementarlo
Miguel Cisterna - Outsourcing IT: cuando implementarloMiguel Cisterna - Outsourcing IT: cuando implementarlo
Miguel Cisterna - Outsourcing IT: cuando implementarlo
Foro Global Crossing
 

Más contenido relacionado

Similar a Cómo justificar inversiones en tecnologías de Información, por Hernando Castiglioni

EducacionIT - El brazo tonto de la inteligencia de amenazas
EducacionIT - El brazo tonto de la inteligencia de amenazasEducacionIT - El brazo tonto de la inteligencia de amenazas
EducacionIT - El brazo tonto de la inteligencia de amenazas
Luciano Moreira da Cruz
 
Riesgos 2012
Riesgos 2012Riesgos 2012
Riesgos 2012
xhagix
 
Semana 9 riesgo operativo
Semana 9 riesgo operativoSemana 9 riesgo operativo
Semana 9 riesgo operativo
gutyr
 
LA_ADMINISTRACIN_DE_RIESGOS_EN_LA_EPOCA_ACTUAL_JON_KRAKER_ROLZ_BENNETT.pptx
LA_ADMINISTRACIN_DE_RIESGOS_EN_LA_EPOCA_ACTUAL_JON_KRAKER_ROLZ_BENNETT.pptxLA_ADMINISTRACIN_DE_RIESGOS_EN_LA_EPOCA_ACTUAL_JON_KRAKER_ROLZ_BENNETT.pptx
LA_ADMINISTRACIN_DE_RIESGOS_EN_LA_EPOCA_ACTUAL_JON_KRAKER_ROLZ_BENNETT.pptx
gmsalazarm1
 
Aplicación de la norma ISO 31000 a la gestión del riesgo de fraude
Aplicación de la norma ISO 31000 a la gestión del riesgo de fraudeAplicación de la norma ISO 31000 a la gestión del riesgo de fraude
Aplicación de la norma ISO 31000 a la gestión del riesgo de fraude
PECB
 
German salazar uta_modulo_analisis_de_riesgos
German salazar uta_modulo_analisis_de_riesgosGerman salazar uta_modulo_analisis_de_riesgos
German salazar uta_modulo_analisis_de_riesgos
gmsalazarm1
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la Información
PECB
 
Semana 1 y 2
Semana 1 y 2Semana 1 y 2
Semana 1 y 2
MikaR123
 
Análisis de sensibilidad y riesgo
Análisis de sensibilidad y riesgoAnálisis de sensibilidad y riesgo
Análisis de sensibilidad y riesgo
LBenites
 
Internet, ¿Una amenaza para la propiedad intelectual?
Internet, ¿Una amenaza para la propiedad intelectual?Internet, ¿Una amenaza para la propiedad intelectual?
Internet, ¿Una amenaza para la propiedad intelectual?
Belén Francisca
 

Similar a Cómo justificar inversiones en tecnologías de Información, por Hernando Castiglioni (20)

Resumen Taller Mapas de Riesgos en la Auditoría
Resumen Taller Mapas de Riesgos en la AuditoríaResumen Taller Mapas de Riesgos en la Auditoría
Resumen Taller Mapas de Riesgos en la Auditoría
 
EducacionIT - El brazo tonto de la inteligencia de amenazas
EducacionIT - El brazo tonto de la inteligencia de amenazasEducacionIT - El brazo tonto de la inteligencia de amenazas
EducacionIT - El brazo tonto de la inteligencia de amenazas
 
Riesgos 2012
Riesgos 2012Riesgos 2012
Riesgos 2012
 
Ciberseguridad Mexico
Ciberseguridad MexicoCiberseguridad Mexico
Ciberseguridad Mexico
 
Semana 9 riesgo operativo
Semana 9 riesgo operativoSemana 9 riesgo operativo
Semana 9 riesgo operativo
 
LA_ADMINISTRACIN_DE_RIESGOS_EN_LA_EPOCA_ACTUAL_JON_KRAKER_ROLZ_BENNETT.pptx
LA_ADMINISTRACIN_DE_RIESGOS_EN_LA_EPOCA_ACTUAL_JON_KRAKER_ROLZ_BENNETT.pptxLA_ADMINISTRACIN_DE_RIESGOS_EN_LA_EPOCA_ACTUAL_JON_KRAKER_ROLZ_BENNETT.pptx
LA_ADMINISTRACIN_DE_RIESGOS_EN_LA_EPOCA_ACTUAL_JON_KRAKER_ROLZ_BENNETT.pptx
 
Aplicación de la norma ISO 31000 a la gestión del riesgo de fraude
Aplicación de la norma ISO 31000 a la gestión del riesgo de fraudeAplicación de la norma ISO 31000 a la gestión del riesgo de fraude
Aplicación de la norma ISO 31000 a la gestión del riesgo de fraude
 
Semana 5
Semana 5Semana 5
Semana 5
 
¿Como ganan dinero los hackers?
¿Como ganan dinero los hackers?¿Como ganan dinero los hackers?
¿Como ganan dinero los hackers?
 
German salazar uta_modulo_analisis_de_riesgos
German salazar uta_modulo_analisis_de_riesgosGerman salazar uta_modulo_analisis_de_riesgos
German salazar uta_modulo_analisis_de_riesgos
 
Riesgo de crédito
Riesgo de créditoRiesgo de crédito
Riesgo de crédito
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la Información
 
Sigue el camino del análisis de riesgos _ INCIBE.pdf
Sigue el camino del análisis de riesgos _ INCIBE.pdfSigue el camino del análisis de riesgos _ INCIBE.pdf
Sigue el camino del análisis de riesgos _ INCIBE.pdf
 
Semana 1 y 2
Semana 1 y 2Semana 1 y 2
Semana 1 y 2
 
Análisis de sensibilidad y riesgo
Análisis de sensibilidad y riesgoAnálisis de sensibilidad y riesgo
Análisis de sensibilidad y riesgo
 
Ser Compliance - Magazcitum año 5, numero4, pág 16
Ser Compliance - Magazcitum año 5, numero4, pág 16Ser Compliance - Magazcitum año 5, numero4, pág 16
Ser Compliance - Magazcitum año 5, numero4, pág 16
 
Internet, ¿Una amenaza para la propiedad intelectual?
Internet, ¿Una amenaza para la propiedad intelectual?Internet, ¿Una amenaza para la propiedad intelectual?
Internet, ¿Una amenaza para la propiedad intelectual?
 
1. que es el riesgo
1. que es el riesgo1. que es el riesgo
1. que es el riesgo
 
Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...
Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...
Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...
 
Semana 1 trabajo riesgos
Semana 1 trabajo riesgosSemana 1 trabajo riesgos
Semana 1 trabajo riesgos
 

Más de Foro Global Crossing

Presentación consolidada 3er Foro Global Crossing - Ecuador
Presentación consolidada 3er Foro Global Crossing - EcuadorPresentación consolidada 3er Foro Global Crossing - Ecuador
Presentación consolidada 3er Foro Global Crossing - Ecuador
Foro Global Crossing
 
Miguel Cisterna - Outsourcing IT: cuando implementarlo
Miguel Cisterna - Outsourcing IT: cuando implementarloMiguel Cisterna - Outsourcing IT: cuando implementarlo
Miguel Cisterna - Outsourcing IT: cuando implementarlo
Foro Global Crossing
 
David Delgado - Microsoft: el camino hacia la nube con nuestros socios tecno...
David Delgado - Microsoft: el camino hacia la nube con nuestros socios tecno...David Delgado - Microsoft: el camino hacia la nube con nuestros socios tecno...
David Delgado - Microsoft: el camino hacia la nube con nuestros socios tecno...
Foro Global Crossing
 
Marcelo Ruiz (Frost & Sullivan) - Outsourcing tic vision y tendencias
Marcelo Ruiz (Frost & Sullivan) - Outsourcing tic vision y tendenciasMarcelo Ruiz (Frost & Sullivan) - Outsourcing tic vision y tendencias
Marcelo Ruiz (Frost & Sullivan) - Outsourcing tic vision y tendencias
Foro Global Crossing
 
Gabriel Marcos - Soluciones en la nube, decisiones aterrizadas
Gabriel Marcos - Soluciones en la nube, decisiones aterrizadasGabriel Marcos - Soluciones en la nube, decisiones aterrizadas
Gabriel Marcos - Soluciones en la nube, decisiones aterrizadas
Foro Global Crossing
 
Puppy Rojas - Banda Ancha para todos, mas allá de la Infraestructura
Puppy Rojas - Banda Ancha para todos, mas allá de la InfraestructuraPuppy Rojas - Banda Ancha para todos, mas allá de la Infraestructura
Puppy Rojas - Banda Ancha para todos, mas allá de la Infraestructura
Foro Global Crossing
 
Tomás Grassi - Communications as a Service
Tomás Grassi - Communications as a ServiceTomás Grassi - Communications as a Service
Tomás Grassi - Communications as a Service
Foro Global Crossing
 
Gabriela Franchetto - Innovación a la velocidad 100% web
Gabriela Franchetto - Innovación a la velocidad 100% webGabriela Franchetto - Innovación a la velocidad 100% web
Gabriela Franchetto - Innovación a la velocidad 100% web
Foro Global Crossing
 
Gianni Hanawa - Accediendo a la nube: Network Solutions
Gianni Hanawa - Accediendo a la nube: Network SolutionsGianni Hanawa - Accediendo a la nube: Network Solutions
Gianni Hanawa - Accediendo a la nube: Network Solutions
Foro Global Crossing
 
Marcela Núñez - Cloud Computing: Aterrizando la nube
Marcela Núñez - Cloud Computing: Aterrizando la nubeMarcela Núñez - Cloud Computing: Aterrizando la nube
Marcela Núñez - Cloud Computing: Aterrizando la nube
Foro Global Crossing
 
Rodrigo Rojas - "To share or not to share"
Rodrigo Rojas - "To share or not to share"Rodrigo Rojas - "To share or not to share"
Rodrigo Rojas - "To share or not to share"
Foro Global Crossing
 
Alfredo Barriga - Cloud Computing y Competitividad País
Alfredo Barriga - Cloud Computing y Competitividad País Alfredo Barriga - Cloud Computing y Competitividad País
Alfredo Barriga - Cloud Computing y Competitividad País
Foro Global Crossing
 
Presentación Marmora, Hanawa & Repetti - Foro Global Crossing Perú 2011
Presentación Marmora, Hanawa & Repetti - Foro Global Crossing Perú 2011Presentación Marmora, Hanawa & Repetti - Foro Global Crossing Perú 2011
Presentación Marmora, Hanawa & Repetti - Foro Global Crossing Perú 2011
Foro Global Crossing
 
Octavio Novoa Textil del Valle - Foro Global Crossing Peru 2011
Octavio Novoa Textil del Valle - Foro Global Crossing Peru 2011Octavio Novoa Textil del Valle - Foro Global Crossing Peru 2011
Octavio Novoa Textil del Valle - Foro Global Crossing Peru 2011
Foro Global Crossing
 
Elder Cama Ernst & Young - Foro Global Crossing Peru 2011
Elder Cama Ernst & Young - Foro Global Crossing Peru 2011Elder Cama Ernst & Young - Foro Global Crossing Peru 2011
Elder Cama Ernst & Young - Foro Global Crossing Peru 2011
Foro Global Crossing
 
Oscar Schmitz CXO Community - Foro Global Crossing Peru 2011
Oscar Schmitz CXO Community - Foro Global Crossing Peru 2011Oscar Schmitz CXO Community - Foro Global Crossing Peru 2011
Oscar Schmitz CXO Community - Foro Global Crossing Peru 2011
Foro Global Crossing
 

Más de Foro Global Crossing (20)

Presentación consolidada 3er Foro Global Crossing - Ecuador
Presentación consolidada 3er Foro Global Crossing - EcuadorPresentación consolidada 3er Foro Global Crossing - Ecuador
Presentación consolidada 3er Foro Global Crossing - Ecuador
 
Miguel Cisterna - Outsourcing IT: cuando implementarlo
Miguel Cisterna - Outsourcing IT: cuando implementarloMiguel Cisterna - Outsourcing IT: cuando implementarlo
Miguel Cisterna - Outsourcing IT: cuando implementarlo
 
David Delgado - Microsoft: el camino hacia la nube con nuestros socios tecno...
David Delgado - Microsoft: el camino hacia la nube con nuestros socios tecno...David Delgado - Microsoft: el camino hacia la nube con nuestros socios tecno...
David Delgado - Microsoft: el camino hacia la nube con nuestros socios tecno...
 
Marcelo Ruiz (Frost & Sullivan) - Outsourcing tic vision y tendencias
Marcelo Ruiz (Frost & Sullivan) - Outsourcing tic vision y tendenciasMarcelo Ruiz (Frost & Sullivan) - Outsourcing tic vision y tendencias
Marcelo Ruiz (Frost & Sullivan) - Outsourcing tic vision y tendencias
 
Gabriel Marcos - Soluciones en la nube, decisiones aterrizadas
Gabriel Marcos - Soluciones en la nube, decisiones aterrizadasGabriel Marcos - Soluciones en la nube, decisiones aterrizadas
Gabriel Marcos - Soluciones en la nube, decisiones aterrizadas
 
Puppy Rojas - Banda Ancha para todos, mas allá de la Infraestructura
Puppy Rojas - Banda Ancha para todos, mas allá de la InfraestructuraPuppy Rojas - Banda Ancha para todos, mas allá de la Infraestructura
Puppy Rojas - Banda Ancha para todos, mas allá de la Infraestructura
 
Tomás Grassi - Communications as a Service
Tomás Grassi - Communications as a ServiceTomás Grassi - Communications as a Service
Tomás Grassi - Communications as a Service
 
Gabriela Franchetto - Innovación a la velocidad 100% web
Gabriela Franchetto - Innovación a la velocidad 100% webGabriela Franchetto - Innovación a la velocidad 100% web
Gabriela Franchetto - Innovación a la velocidad 100% web
 
Gianni Hanawa - Accediendo a la nube: Network Solutions
Gianni Hanawa - Accediendo a la nube: Network SolutionsGianni Hanawa - Accediendo a la nube: Network Solutions
Gianni Hanawa - Accediendo a la nube: Network Solutions
 
Marcela Núñez - Cloud Computing: Aterrizando la nube
Marcela Núñez - Cloud Computing: Aterrizando la nubeMarcela Núñez - Cloud Computing: Aterrizando la nube
Marcela Núñez - Cloud Computing: Aterrizando la nube
 
Rodrigo Rojas - "To share or not to share"
Rodrigo Rojas - "To share or not to share"Rodrigo Rojas - "To share or not to share"
Rodrigo Rojas - "To share or not to share"
 
Alfredo Barriga - Cloud Computing y Competitividad País
Alfredo Barriga - Cloud Computing y Competitividad País Alfredo Barriga - Cloud Computing y Competitividad País
Alfredo Barriga - Cloud Computing y Competitividad País
 
Presentación Marmora, Hanawa & Repetti - Foro Global Crossing Perú 2011
Presentación Marmora, Hanawa & Repetti - Foro Global Crossing Perú 2011Presentación Marmora, Hanawa & Repetti - Foro Global Crossing Perú 2011
Presentación Marmora, Hanawa & Repetti - Foro Global Crossing Perú 2011
 
Octavio Novoa Textil del Valle - Foro Global Crossing Peru 2011
Octavio Novoa Textil del Valle - Foro Global Crossing Peru 2011Octavio Novoa Textil del Valle - Foro Global Crossing Peru 2011
Octavio Novoa Textil del Valle - Foro Global Crossing Peru 2011
 
Elder Cama Ernst & Young - Foro Global Crossing Peru 2011
Elder Cama Ernst & Young - Foro Global Crossing Peru 2011Elder Cama Ernst & Young - Foro Global Crossing Peru 2011
Elder Cama Ernst & Young - Foro Global Crossing Peru 2011
 
Oscar Schmitz CXO Community - Foro Global Crossing Peru 2011
Oscar Schmitz CXO Community - Foro Global Crossing Peru 2011Oscar Schmitz CXO Community - Foro Global Crossing Peru 2011
Oscar Schmitz CXO Community - Foro Global Crossing Peru 2011
 
miguel cisterna como ordenarnos metodologicamente
miguel cisterna como ordenarnos metodologicamentemiguel cisterna como ordenarnos metodologicamente
miguel cisterna como ordenarnos metodologicamente
 
Culpa o caso fortuito - Rodrigo Rojas
Culpa o caso fortuito - Rodrigo Rojas Culpa o caso fortuito - Rodrigo Rojas
Culpa o caso fortuito - Rodrigo Rojas
 
10 Mandamientos de la Continuidad de Negocios - Luis Piccolo
10 Mandamientos de la Continuidad de Negocios - Luis Piccolo 10 Mandamientos de la Continuidad de Negocios - Luis Piccolo
10 Mandamientos de la Continuidad de Negocios - Luis Piccolo
 
Continuidad de Negocios: Aportando valor a la empresa - Marcela Nuñez
Continuidad de Negocios: Aportando valor a la empresa - Marcela NuñezContinuidad de Negocios: Aportando valor a la empresa - Marcela Nuñez
Continuidad de Negocios: Aportando valor a la empresa - Marcela Nuñez
 

Último

redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
nicho110
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 

Último (12)

EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 

Cómo justificar inversiones en tecnologías de Información, por Hernando Castiglioni

  • 1. Información segura. Negocios seguros. Como Justificar Inversiones  en Seguridad de la  Información Hernando Castiglioni Security Pre Sales Engineer. Julio 2009 1° Foro Global Crossing de Tecnología y Negocios   Santiago ‐ Chile
  • 2. ¿Por qué hablamos de Inversión? Algunos interrogantes ¿Se conoce realmente la importancia de los activos de información de la  organización? ¿Qué podría ocurrir que afectara estos activos?  Si ocurre, ¿cuan malo sería? Si ocurre, ¿podría repetirse? ¿Qué se puede hacer para evitarlo?  ¿Cuánto puede costar su remediación?  ¿Es costo efectivo?  1° Foro Global Crossing de Tecnología y Negocios   Santiago ‐ Chile
  • 3. ¿Por qué hablamos de Inversión? Amenazas Naturales: De IT: • Incendio. • Fallas de HW/SW. • Inundación. • Fallas de Comunicaciones. • Terremoto. • Hacking (con variantes) • etc. • etc. Físicas: Humanas: • Fallas de energía. • Fraudes internos. • Explosivos. • Falta de conciencia respecto a  • Infraestructura. Seguridad de la Información. • etc.  • Errores o fallas por negligencia. • etc. 1° Foro Global Crossing de Tecnología y Negocios   Santiago ‐ Chile
  • 4. Concepto de ROSI Similitudes y diferencias entre ROI y ROSI ROI: Retorno sobre la Inversión  • Busca determinar el retorno o beneficio a partir de ingresos monetarios. • Para esto se cuenta con flujos de caja los cuales se traducen en beneficios  directos. ROSI: Retorno sobre la Inversión de Seguridad • Busca justificar la inversión en seguridad de la información en términos  monetarios. • Los beneficios no surgen directamente como beneficios contables, sino en todo  caso como reducción de pérdidas.  • Retorno = Valor – Costo. ROSI (%) = (Valor – Costo) / Costo 1° Foro Global Crossing de Tecnología y Negocios   Santiago ‐ Chile
  • 5. Concepto de ROSI Obstáculos y dificultades del ROSI La seguridad de la información en si misma no genera una real o  apreciable mejora en la eficiencia operacional: • No incrementa la productividad ni disminuye los costos. Estimación de la reducción de pérdidas: • Que surgen como resultado de la implantación de contramedidas que evitan o  mitigan la ocurrencia de incidentes de seguridad. • ¿Cual sería el impacto y su probabilidad de ocurrencia? Existen tanto factores cuantitativos como cualitativos a considerar:  • Cuantitativos. Por ejemplo: horas no productivas por incidente. • Cualitativos. Por ejemplo: pérdida de imagen o confianza. 1° Foro Global Crossing de Tecnología y Negocios   Santiago ‐ Chile
  • 6. Administración de Riesgos ¿Como se relacionan los Riesgos con el ROSI? Administración de Riesgos:  • Es el proceso de identificación, valoración y mitigación de riesgos asociados  con una actividad o función a fin de minimizar las pérdidas hasta un nivel  aceptable por la organización. • Asiste en la determinación del “Valor” dentro de la expresión del ROSI ya que,  como resultado de mitigar los efectos de incidentes de seguridad se reducen las  pérdidas originalmente evaluadas. Análisis de Riesgos: • Permite identificar, valorar y priorizar los riesgos detectados a partir de la  determinación de amenazas, vulnerabilidades, impactos y probabilidad de  ocurrencia de incidentes de seguridad. 1° Foro Global Crossing de Tecnología y Negocios   Santiago ‐ Chile
  • 7. Análisis de Riesgos Metodología 1   Identificación de Activos:  • Se deben determinar cuales son las actividades involucradas y los activos de información  requeridos para el logro de los objetivos planteados. 2   Identificar amenazas: • Para cada activo identificado se deberán especificar las amenazas que le son propias a  su naturaleza. 3   Identificar vulnerabilidades:  • Para cada activo‐amenaza se deberán identificar vulnerabilidades que tenga el activo  que pueda permitir que la amenaza se materialice. 4   Identificar controles actuales:  • Se deberán identificar controles existentes que ayuden a salvaguardar el proceso ante  las amenazas‐vulnerabilidades identificadas para los activos. Eventualmente los controles  podrán aportar seguridad a más de un activo identificado.  5   Determinar la probabilidad:  • Se debe otorgar una probabilidad de ocurrencia de la explotación de la vulnerabilidad  por la amenaza considerando los controles actuales. 1° Foro Global Crossing de Tecnología y Negocios   Santiago ‐ Chile
  • 8. Análisis de Riesgos Metodología 6   Determinar el impacto:   • Se debe cuantificar el daño que se produciría si la vulnerabilidad es explotada por la  amenaza.  7   Determinar el riesgo:  • La valorización del nivel de riesgo del sistema por parejas Amenazas‐Vulnerabilidades debe  considerar, para cada riesgo detectado el resultado de la dupla Impacto‐Probabilidad. 8 Determinación de contramedidas:  • Se debe reducir el nivel de riesgo del sistema para llevarlo a un nivel aceptable, para lo cual  se definen controles que, al ser implantados, permitirán mitigar uno o más de los riesgos  determinados.  Implantar contramedidas es equivalente a aplicar mayor seguridad y es  realmente lo que constituye la inversión en seguridad.  Al invertir se está disminuyendo el riesgo y por lo tanto las pérdidas  relacionadas. 1° Foro Global Crossing de Tecnología y Negocios   Santiago ‐ Chile
  • 9. Probabilidad de Impacto Relaciones Pérdidas Anualizadas Esperadas (ALE): • Es la métrica de gestión de riesgos por la cual se estiman las pérdidas producto de los  riesgos determinados. • Trabaja con dos variables: la frecuencia anual de ocurrencia de un riesgo  determinado, y el impacto monetario que produciría el mismo sobre el activo afectado.  ALE = Impacto (unitario) x Probabilidad (anual) ALE se aplica a dos escenarios posibles: • El “original” sin contramedidas implantadas y el “tratado” o con riesgos mitigados.  • Se busca determinar así el “valor” (cuantificable monetario), diferencia entre uno y  otro escenario dentro de la fórmula del ROSI. ALE se basa en “estimaciones de expectativas”: • Por lo general son valores discretos con sus imprecisiones y errores en su  determinación, lo cual genera incertidumbre. Por esta razón se suele utilizar la  Simulación Monte Carlo. 1° Foro Global Crossing de Tecnología y Negocios   Santiago ‐ Chile
  • 12. Perdidas Anuales Esperadas Ejemplo I Simulación de Monte Carlo: Valor Neto (miles $)  60 100,00% Valor más probable de  90,00% 50 80,00% ALE original – ALE tratado: 70,00% $145.000/año con una 40 60,00% desviación de $25.000. o bien… Acumulado% Probabilidad 30 50,00% 40,00% entre $130.000 a  20 30,00% $160.000/año con una 10 20,00% certidumbre del 80%. 10,00% 0 0,00% Rango Probabilidad Acumulado% 1° Foro Global Crossing de Tecnología y Negocios   Santiago ‐ Chile
  • 13. Simulación Monte Carlo Menor Incertidumbre  El rol del Experto:  • Este modelo requiere que el Experto en Análisis de Riesgo describa su  “incerteza”.  • Su descripción definirá la curva y los parámetros definitivos para  estimar la distribución.  • Por esta razón el Experto debe estar abierto a comunicar su  incertidumbre a fin de dejar bien establecido que el “valor esperado”  definido por ellos es simplemente representativo de una posibilidad. La determinación de la disminución de las pérdidas depende de la habilidad  del Experto en determinar la distribución estadística que más se aproxime a  sus observaciones. 1° Foro Global Crossing de Tecnología y Negocios   Santiago ‐ Chile
  • 14. Estimemos ROSI Usando Valores Discretos Determinación del Ahorro Bruto Anual  • Ya estimado anteriormente. Determinación de los Costos anualizados de las contramedidas: • Costo Inicial de Contramedias = $120.000 • Costos Anuales Recurrentes Contramedidas = $10.000/año  Sumario de Valores 1° Foro Global Crossing de Tecnología y Negocios   Santiago ‐ Chile
  • 15. Estimemos ROSI Cálculo del ROSI Calculo de ROSI 1° Foro Global Crossing de Tecnología y Negocios   Santiago ‐ Chile
  • 16. Estimemos ROSI Es posible estimar el ROSI Calculo de ROSI La Administración del Riesgo es parte fundamental del ROSI. El punto más complejo es el poder determinar el Ahorro o Valor resultante de la  aplicación de contramedidas (mitigación). Para reducir la incertidumbre se utiliza diferentes métodos como la Simulación de  Monte Carlo. Es preciso contar con un Experto en riesgos que asista en la determinación del ALE y  defina sus ”incertezas”. Invertir en seguridad no es fácil y demostrar que dicha inversión es rentable, mucho  menos…  … ¡pero se puede! 1° Foro Global Crossing de Tecnología y Negocios   Santiago ‐ Chile
  • 17. Información segura. Negocios seguros. Caso Real: Estimación del ROSI 1° Foro Global Crossing de Tecnología y Negocios   Santiago ‐ Chile
  • 18. Caso Real : Situación Inicial PELIGRO! Sistema SIN  detección  de intrusos PELIGRO! Sitio NO analizado Estado Previo Ataque Sito de E‐Commerce en desarrollo.  Escases de controles y tecnología  adecuada. PELIGRO! Crecimiento desmedido. Servidor Desactualizado 1° Foro Global Crossing de Tecnología y Negocios   Santiago ‐ Chile
  • 19. Caso Real : Análisis de Impacto Revenues = 33K Ganancias al 1 de Mayo: U$ 100.000 Ganancias desde el 1 de Mayo al 31 de Diciembre: U$ 30.000 Impacto lineal al 31 Diciembre: 33k x 7  – 30k = U$ 201.000  Perdida de imagen y confianza = U$ 201.000 + (X) 1° Foro Global Crossing de Tecnología y Negocios   Santiago ‐ Chile
  • 20. Caso Real : Remediación Equipo Dedicado Sistema IDP integrado, Reporting, monitoreo Situación Remediada Sito de E‐Commerce en desarrollo.  Aumento adecuado de controles. Crecimiento estimado analizado. 1° Foro Global Crossing de Tecnología y Negocios   Santiago ‐ Chile
  • 21. Caso Real : Costo de Contramedidas Inversión en Seguridad Léase ‐0,85 Ganancia Ideal a 1 año Aproximado REVENUE Aproximado Ganancia 2,6% 3,1% 130K     (Lo ganado) 201K     (Lo perdido) 10,2K U$ 320.800 (X)      (crecimiento) (0,85 x 12) U$ 331.000 1° Foro Global Crossing de Tecnología y Negocios   Santiago ‐ Chile
  • 22. Estimemos ROSI Cálculo del ROSI Calculo de ROSI 1° Foro Global Crossing de Tecnología y Negocios   Santiago ‐ Chile
  • 23. Información segura. Negocios seguros. Muchas Gracias!!! 1° Foro Global Crossing de Tecnología y Negocios   Santiago ‐ Chile