Presentación de Hernando Castiglioni, Security Product Manager, Global Crossing, en el I Foro Global Crossing de Negocios y Tecnología, en Santiago de Chile, julio 14 2009.
Cómo justificar inversiones en tecnologías de Información, por Hernando Castiglioni
1. Información segura. Negocios seguros.
Como Justificar Inversiones
en Seguridad de la
Información
Hernando Castiglioni
Security Pre Sales Engineer.
Julio 2009
1° Foro Global Crossing de Tecnología y Negocios
Santiago ‐ Chile
3. ¿Por qué hablamos de Inversión?
Amenazas
Naturales: De IT:
• Incendio. • Fallas de HW/SW.
• Inundación. • Fallas de Comunicaciones.
• Terremoto. • Hacking (con variantes)
• etc. • etc.
Físicas: Humanas:
• Fallas de energía. • Fraudes internos.
• Explosivos. • Falta de conciencia respecto a
• Infraestructura. Seguridad de la Información.
• etc. • Errores o fallas por negligencia.
• etc.
1° Foro Global Crossing de Tecnología y Negocios
Santiago ‐ Chile
4. Concepto de ROSI
Similitudes y diferencias entre ROI y ROSI
ROI: Retorno sobre la Inversión
• Busca determinar el retorno o beneficio a partir de ingresos monetarios.
• Para esto se cuenta con flujos de caja los cuales se traducen en beneficios
directos.
ROSI: Retorno sobre la Inversión de Seguridad
• Busca justificar la inversión en seguridad de la información en términos
monetarios.
• Los beneficios no surgen directamente como beneficios contables, sino en todo
caso como reducción de pérdidas.
• Retorno = Valor – Costo.
ROSI (%) = (Valor – Costo) / Costo
1° Foro Global Crossing de Tecnología y Negocios
Santiago ‐ Chile
5. Concepto de ROSI
Obstáculos y dificultades del ROSI
La seguridad de la información en si misma no genera una real o
apreciable mejora en la eficiencia operacional:
• No incrementa la productividad ni disminuye los costos.
Estimación de la reducción de pérdidas:
• Que surgen como resultado de la implantación de contramedidas que evitan o
mitigan la ocurrencia de incidentes de seguridad.
• ¿Cual sería el impacto y su probabilidad de ocurrencia?
Existen tanto factores cuantitativos como cualitativos a considerar:
• Cuantitativos. Por ejemplo: horas no productivas por incidente.
• Cualitativos. Por ejemplo: pérdida de imagen o confianza.
1° Foro Global Crossing de Tecnología y Negocios
Santiago ‐ Chile
6. Administración de Riesgos
¿Como se relacionan los Riesgos con el ROSI?
Administración de Riesgos:
• Es el proceso de identificación, valoración y mitigación de riesgos asociados
con una actividad o función a fin de minimizar las pérdidas hasta un nivel
aceptable por la organización.
• Asiste en la determinación del “Valor” dentro de la expresión del ROSI ya que,
como resultado de mitigar los efectos de incidentes de seguridad se reducen las
pérdidas originalmente evaluadas.
Análisis de Riesgos:
• Permite identificar, valorar y priorizar los riesgos detectados a partir de la
determinación de amenazas, vulnerabilidades, impactos y probabilidad de
ocurrencia de incidentes de seguridad.
1° Foro Global Crossing de Tecnología y Negocios
Santiago ‐ Chile
7. Análisis de Riesgos
Metodología
1 Identificación de Activos:
• Se deben determinar cuales son las actividades involucradas y los activos de información
requeridos para el logro de los objetivos planteados.
2 Identificar amenazas:
• Para cada activo identificado se deberán especificar las amenazas que le son propias a
su naturaleza.
3 Identificar vulnerabilidades:
• Para cada activo‐amenaza se deberán identificar vulnerabilidades que tenga el activo
que pueda permitir que la amenaza se materialice.
4 Identificar controles actuales:
• Se deberán identificar controles existentes que ayuden a salvaguardar el proceso ante
las amenazas‐vulnerabilidades identificadas para los activos. Eventualmente los controles
podrán aportar seguridad a más de un activo identificado.
5 Determinar la probabilidad:
• Se debe otorgar una probabilidad de ocurrencia de la explotación de la vulnerabilidad
por la amenaza considerando los controles actuales.
1° Foro Global Crossing de Tecnología y Negocios
Santiago ‐ Chile
8. Análisis de Riesgos
Metodología
6 Determinar el impacto:
• Se debe cuantificar el daño que se produciría si la vulnerabilidad es explotada por la
amenaza.
7 Determinar el riesgo:
• La valorización del nivel de riesgo del sistema por parejas Amenazas‐Vulnerabilidades debe
considerar, para cada riesgo detectado el resultado de la dupla Impacto‐Probabilidad.
8 Determinación de contramedidas:
• Se debe reducir el nivel de riesgo del sistema para llevarlo a un nivel aceptable, para lo cual
se definen controles que, al ser implantados, permitirán mitigar uno o más de los riesgos
determinados.
Implantar contramedidas es equivalente a aplicar mayor seguridad y es
realmente lo que constituye la inversión en seguridad.
Al invertir se está disminuyendo el riesgo y por lo tanto las pérdidas
relacionadas.
1° Foro Global Crossing de Tecnología y Negocios
Santiago ‐ Chile
9. Probabilidad de Impacto
Relaciones
Pérdidas Anualizadas Esperadas (ALE):
• Es la métrica de gestión de riesgos por la cual se estiman las pérdidas producto de los
riesgos determinados.
• Trabaja con dos variables: la frecuencia anual de ocurrencia de un riesgo
determinado, y el impacto monetario que produciría el mismo sobre el activo afectado.
ALE = Impacto (unitario) x Probabilidad (anual)
ALE se aplica a dos escenarios posibles:
• El “original” sin contramedidas implantadas y el “tratado” o con riesgos mitigados.
• Se busca determinar así el “valor” (cuantificable monetario), diferencia entre uno y
otro escenario dentro de la fórmula del ROSI.
ALE se basa en “estimaciones de expectativas”:
• Por lo general son valores discretos con sus imprecisiones y errores en su
determinación, lo cual genera incertidumbre. Por esta razón se suele utilizar la
Simulación Monte Carlo.
1° Foro Global Crossing de Tecnología y Negocios
Santiago ‐ Chile
12. Perdidas Anuales Esperadas
Ejemplo I Simulación de Monte Carlo:
Valor Neto
(miles $)
60 100,00%
Valor más probable de
90,00%
50
80,00%
ALE original – ALE tratado:
70,00%
$145.000/año con una
40
60,00%
desviación de $25.000.
o bien…
Acumulado%
Probabilidad
30 50,00%
40,00% entre $130.000 a
20
30,00% $160.000/año con una
10
20,00% certidumbre del 80%.
10,00%
0 0,00%
Rango
Probabilidad Acumulado%
1° Foro Global Crossing de Tecnología y Negocios
Santiago ‐ Chile
13. Simulación Monte Carlo
Menor Incertidumbre
El rol del Experto:
• Este modelo requiere que el Experto en Análisis de Riesgo describa su
“incerteza”.
• Su descripción definirá la curva y los parámetros definitivos para
estimar la distribución.
• Por esta razón el Experto debe estar abierto a comunicar su
incertidumbre a fin de dejar bien establecido que el “valor esperado”
definido por ellos es simplemente representativo de una posibilidad.
La determinación de la disminución de las pérdidas depende de la habilidad
del Experto en determinar la distribución estadística que más se aproxime a
sus observaciones.
1° Foro Global Crossing de Tecnología y Negocios
Santiago ‐ Chile
14. Estimemos ROSI
Usando Valores Discretos
Determinación del Ahorro Bruto Anual
• Ya estimado anteriormente.
Determinación de los Costos anualizados de las contramedidas:
• Costo Inicial de Contramedias = $120.000
• Costos Anuales Recurrentes Contramedidas = $10.000/año
Sumario de Valores
1° Foro Global Crossing de Tecnología y Negocios
Santiago ‐ Chile
16. Estimemos ROSI
Es posible estimar el ROSI
Calculo de ROSI
La Administración del Riesgo es parte fundamental del ROSI.
El punto más complejo es el poder determinar el Ahorro o Valor resultante de la
aplicación de contramedidas (mitigación).
Para reducir la incertidumbre se utiliza diferentes métodos como la Simulación de
Monte Carlo.
Es preciso contar con un Experto en riesgos que asista en la determinación del ALE y
defina sus ”incertezas”.
Invertir en seguridad no es fácil y demostrar que dicha inversión es rentable, mucho
menos…
… ¡pero se puede!
1° Foro Global Crossing de Tecnología y Negocios
Santiago ‐ Chile
17. Información segura. Negocios seguros.
Caso Real: Estimación del ROSI
1° Foro Global Crossing de Tecnología y Negocios
Santiago ‐ Chile
18. Caso Real : Situación Inicial
PELIGRO!
Sistema SIN
detección de intrusos
PELIGRO!
Sitio NO analizado
Estado Previo Ataque
Sito de E‐Commerce en desarrollo.
Escases de controles y tecnología
adecuada. PELIGRO!
Crecimiento desmedido.
Servidor
Desactualizado
1° Foro Global Crossing de Tecnología y Negocios
Santiago ‐ Chile
19. Caso Real : Análisis de Impacto
Revenues = 33K
Ganancias al 1 de Mayo: U$ 100.000
Ganancias desde el 1 de Mayo al 31 de Diciembre: U$ 30.000
Impacto lineal al 31 Diciembre: 33k x 7 – 30k = U$ 201.000
Perdida de imagen y confianza = U$ 201.000 + (X)
1° Foro Global Crossing de Tecnología y Negocios
Santiago ‐ Chile
20. Caso Real : Remediación
Equipo Dedicado
Sistema IDP integrado,
Reporting, monitoreo
Situación Remediada
Sito de E‐Commerce en desarrollo.
Aumento adecuado de controles.
Crecimiento estimado analizado.
1° Foro Global Crossing de Tecnología y Negocios
Santiago ‐ Chile
21. Caso Real : Costo de Contramedidas
Inversión en Seguridad
Léase ‐0,85
Ganancia Ideal a 1 año
Aproximado REVENUE
Aproximado Ganancia
2,6%
3,1%
130K (Lo ganado)
201K (Lo perdido) 10,2K U$ 320.800
(X) (crecimiento) (0,85 x 12)
U$ 331.000
1° Foro Global Crossing de Tecnología y Negocios
Santiago ‐ Chile