SalmorejoTech 2024 - Spring Boot <3 Testcontainers
Justificando inversiones en seguridad de la información con ROSI (Retorno sobre la Inversión de Seguridad
1. Información segura. Negocios seguros.
Cómo justificar las inversiones
Cómo justificar las inversiones
en seguridad de la información
Franz Erni
Franz Erni
Security Product Specialist
LOGO ORADOR
2. ¿Por qué hablamos de Inversión?
Algunos interrogantes
• ¿Se conoce realmente la importancia de los activos
de información de la organización?
•¿Qué podría ocurrir que afectara estos activos?
•Si ocurre, ¿cuan malo sería?
,¿
•Si ocurre, ¿podría repetirse?
•¿Qué se puede hacer para evitarlo?
¿ p p
• ¿Cuánto puede costar su remediación?
•¿Es costo efectivo?
¿Es
3. ¿Por qué hablamos de Inversión?
Amenazas
• Naturales:
• Incendio.
• De IT:
• Inundación.
• Fallas de HW.
• Terremoto
Terremoto.
• Fallas de SW.
• etc.
• Fallas de Comunicaciones.
• Físicas:
• Hacking (con sus técnicas y
• Fallas de energía.
variantes).
variantes)
• Explosivos.
• etc.
• etc.
• Humanas:
• Errores y/o fallas por
negligencia.
• Falta de conciencia respecto
a Seguridad de la Información.
• Fraudes internos
internos.
• etc.
4. ¿Por qué es difícil justificar la
Inversión en Seguridad?
Inversión en Seguridad?
• L seguridad d l i f
La id d de la información no muestra una evidente
ió t id t
mejora en las ganancias de la organización.
• Muchas veces se obvia por desconocimiento.
• Para poder justificarla se debe cuantificar como una
mejora económica para l organización.
j ó i la i ió
Solución = ROSI
5. Concepto de ROSI
Similitudes y diferencias entre ROI y ROSI
• ROI: Retorno sobre la Inversión
• Determina el Beneficio a través de ingresos monetarios.
• Beneficios Directos.
Directos
• ROSI: Retorno sobre la Inversión de Seguridad
g
• Busca justificar la inversión en seguridad de la información en términos
monetarios.
• Beneficio = Disminución de Riesgos.
• El Riesgo puede medirse en términos monetarios.
g p
Riesgo Disminuido [$] – Costo [$]
ROSI [%] =
Costo [$]
6. Riesgo
¿Como se relacionan los Riesgos con el ROSI?
• Riesgos evitados = Beneficio.
• Debe medirse en términos monetarios.
• Para medirse debe realizarse un Análisis de Riesgos
sobre los acti os de la organización.
activos organi ación
7. Análisis de Riesgos
Identificación de Activos
Determinar el Impacto
Determinar el Riesgo
Identificar Amenazas
Determinar las
Identificar Vulnerabilidades
Contramedidas
Identificar Controles Actuales
Determinar la Probabilidad
8. Riesgo
¿Qué representa?
• El “Riesgo” es la probabilidad de un impacto (daño o
pérdida) en el desempeño esperado del “Negocio”:
Amenazas Impacto R Ingresos
I
E
Amenazas Impacto Probabilidad Rentabilidad
S
G
Amenazas Impacto O
Costos
10. Cálculo del ROSI
(1) Enfoque Empírico:
• Mapa de riesgo (basado en Supuestos):
Impacto
¿Qué ¿Dónde están
estimamos Incendio Backup los mayores
que no va a riesgos?
ocurrir?
i?
¿Qué puedo ¿Qué
postergar? Ataque Ataque estimamos
Interno Externo que sí va a
ocurrir?
Probabilidad
11. Cálculo del ROSI
(1) Enfoque Empírico:
• Impacto y Probabilidad:
Estimación de Estimación de
Impacto ($) Cantidad
Backup Horas Costo Total
Rehacer 24 8 188
Mitigar 15.000
Backup 16 15
1 por año $ 55,421
Implementar 233
Indisponibilidad 40 1.000
1 000 40.000
40 000
Total 55.421
Ataque Externo Horas Costo Total
Rehacer 12 8 94
Ataque Mitigar 2 por año $ 40,420
Externo Implementar 8 15 116
Indisponibilidad 20 1.000 20.000
Total 20.210
Riesgo
Estimado Anual $ 95,841
12. Cálculo del ROSI
(1) Enfoque Empírico:
500%
%
ROSI (Cualitativo) Log. (ROSI (Cualitativo))
400%
300%
Punto de equilibrio
200%
100%
0%
$ 19 $ 29 $ 39 $ 49 $ 59 $ 69 $ 79 $ 89 $ 99 $ 109 $ 119 $ 129 $ 139 $ 149 $ 159
Costo anual de la solución (en miles)
-100%
13. Cálculo del ROSI
(2) Enfoque Estadístico:
• Mapa de riesgo:
100% de 50% de las Impacto
posibilidades de empresas sufren
p
realizar un ataque más de 10
exitoso en incidentes de
cualquier servidor seguridad por año Incendio Ataque
Interno
Gap Analysis Estadísticas
15% de las Backup Ataque
empresas en Servidor público:
Externo
Latinoamérica recibe 100.000
sufrieron al ataques por mes
menos 1 día de
indisponibilidad Probabilidad
14. Cálculo del ROSI
(2) Enfoque Estadístico:
Estimación de
• Impacto y Backup Horas Costo Total
Cantidad
Rehacer 24 8 188
Probabilidad: Mitigar 15.000
Implementar 16 15 233 1 por año 1 $ 55,421
Indisponibilidad 40 1.000 40.000
Total 55.421
Ataque Externo Horas Costo Total
Rehacer 12 8 94 16% del 2 $ 40,421
Mitigar
Implementar 8 15 116
total
Indisponibilidad 20 1.000 20.000
Total 20.210
Ataque Interno Horas Costo Total
Rehacer 12 8 94 84% del 8 $ 346,614
Mitigar 15.000
Implementar 16 15 233 total
Indisponibilidad 28 1.000 28.000
Total 43.327
43 327
Incendio Horas Costo Total
Rehacer 176 6 985 1 vez 5% $ 9,978
Mitigar
Implementar
7.576
15.000
7.576
15.000
cada 20
Indisponibilidad 176 1.000
1 000 176.000
176 000 años Riesgo
Ri
Total 199.561
Estimado Anual $ 452,434
16. Cálculo del ROSI
(3) Enfoque Probabilístico:
•M
Mapa d riesgo:
de i Procesos
del
Negocio
Gap Analysis Probabilidadcuencia
pacto
Imp
Fec
Tipos de Incidentes
17. Cálculo del ROSI
(3) Enfoque Probabilístico:
• Ejemplo: Ataque Interno
• Duración: 2 a 48 horas
• Servidores: 1 a 20
• Impacto en ingresos: 0% a 100%
• Costo por hora (Ingresos): u$s 1.000
• Costo por hora (reparación): u$s 20
21. Conclusiones
• El ROSI es la herramienta principal para justificar la inversión
Seguridad.
• El análisis debe enfocarse a los activos más importantes para el
negocio de la organización.
i d l i ió
• Existen diferentes técnicas para poder estimar el ROSI.
• Invertir en seguridad no es fácil y demostrar que dicha inversión
es rentable mucho menos, sin embargo es posible y necesario.
22. ¡Muchas Gracias!
Franz Erni
Security Product Specialist
franz.erni@globalcrossing.com
franz erni@globalcrossing com