Embed Size (px)
DESCRIPTION
Presentación de Franz Erni en Foro Global Crossing Perú 2009
Citation preview
Información segura. Negocios seguros.
Cómo justificar las inversionesCómo justificar las inversiones en seguridad de la información
Franz Erni
LOGO ORADOR
Franz ErniSecurity Product Specialist
¿Por qué hablamos de Inversión?
Algunos interrogantes
• ¿Se conoce realmente la importancia de los activos de información de la organización?
•¿Qué podría ocurrir que afectara estos activos? •Si ocurre, ¿cuan malo sería?, ¿•Si ocurre, ¿podría repetirse?
•¿Qué se puede hacer para evitarlo? ¿ p p• ¿Cuánto puede costar su remediación?
•¿Es costo efectivo?¿Es costo efectivo?
¿Por qué hablamos de Inversión?
Amenazas• Naturales:
• Incendio.• Inundación.• Terremoto
• De IT:• Fallas de HW.• Terremoto.
• etc.• Físicas:
• Fallas de energía.
• Fallas de SW. • Fallas de Comunicaciones.• Hacking (con sus técnicas y variantes)• Explosivos.
• etc.
variantes).• etc.
• Humanas:• Errores y/o fallas por negligencia.• Falta de conciencia respecto a Seguridad de la Información.• Fraudes internosFraudes internos.• etc.
¿Por qué es difícil justificar la Inversión en Seguridad?
L id d d l i f ió t id t
Inversión en Seguridad?
• La seguridad de la información no muestra una evidente mejora en las ganancias de la organización.
• Muchas veces se obvia por desconocimiento.
• Para poder justificarla se debe cuantificar como una j ó i l i iómejora económica para la organización.
Solución = ROSISolución ROSI
Concepto de ROSI
Similitudes y diferencias entre ROI y ROSI
• ROI: Retorno sobre la Inversión • Determina el Beneficio a través de ingresos monetarios.• Beneficios Directos• Beneficios Directos.
• ROSI: Retorno sobre la Inversión de Seguridadg• Busca justificar la inversión en seguridad de la información en términos monetarios.• Beneficio = Disminución de Riesgos.• El Riesgo puede medirse en términos monetarios. g p
Riesgo Disminuido [$] – Costo [$]ROSI [%] =
Costo [$]Costo [$]
Riesgo
¿Como se relacionan los Riesgos con el ROSI?
• Riesgos evitados = Beneficio.
• Debe medirse en términos monetarios.
• Para medirse debe realizarse un Análisis de Riesgos sobre los acti os de la organi aciónsobre los activos de la organización.
Análisis de Riesgos
Identificación de ActivosDeterminar el Impacto
Identificar AmenazasDeterminar el Riesgo
Identificar VulnerabilidadesDeterminar las Contramedidas
Identificar Controles Actuales
Determinar la Probabilidad
Riesgo
¿Qué representa?• El “Riesgo” es la probabilidad de un impacto (daño o pérdida) en el desempeño esperado del “Negocio”:
IngresosImpactoAmenazas R
RentabilidadImpactoAmenazas
IESProbabilidad
CostosImpactoAmenazas
GO
Enfoques para ROSI
Tres Enfoques Distintos para el Cálculo del ROSITres Enfoques Distintos para el Cálculo del ROSI
• Enfoque Empírico
• Enfoque EstadísticoEnfoque Estadístico
• Enfoque Probabilístico
Cálculo del ROSI
(1) Enfoque Empírico:• Mapa de riesgo (basado en Supuestos):
Impacto
¿Dónde están los mayores
riesgos?
¿Qué estimamos que no va a
i ?
BackupIncendio
¿Qué puedo postergar?
¿Qué estimamos
ocurrir?
AtaqueAtaquepostergar? estimamos que sí va a
ocurrir?
Ataque Externo
Ataque Interno
Probabilidad
Cálculo del ROSI
(1) Enfoque Empírico:• Impacto y Probabilidad:
Estimación de Impacto ($)
Estimación de Cantidad
Backup 1 por año $ 55,421
Backup Horas Costo TotalRehacer 24 8 188Mitigar 15.000
Implementar 16 15 233Indisponibilidad 40 1 000 40 000
Ataque
Indisponibilidad 40 1.000 40.000Total 55.421
Ataque Externo Horas Costo TotalRehacer 12 8 94Ataque
Externo2 por año $ 40,420
Riesgo
MitigarImplementar 8 15 116
Indisponibilidad 20 1.000 20.000Total 20.210
Riesgo Estimado Anual $ 95,841
Cálculo del ROSI
500%
(1) Enfoque Empírico:
400%
%ROSI (Cualitativo) Log. (ROSI (Cualitativo))
300%
Punto de equilibrio
100%
200%Punto de equilibrio
0%$ 19 $ 29 $ 39 $ 49 $ 59 $ 69 $ 79 $ 89 $ 99 $ 109 $ 119 $ 129 $ 139 $ 149 $ 159
-100%Costo anual de la solución (en miles)
Cálculo del ROSI
(2) Enfoque Estadístico:• Mapa de riesgo:
Impacto100% de posibilidades de
50% de las empresas sufren
Ataque Interno
Incendio
realizar un ataque exitoso en
cualquier servidor
pmás de 10
incidentes de seguridad por año
AtaqueBackup
Gap Analysis Estadísticas
Ataque Externo
BackupServidor público:
recibe 100.000 ataques por mes
15% de las empresas en
Latinoamérica sufrieron al
menos 1 día deProbabilidad
menos 1 día de indisponibilidad
Cálculo del ROSI
(2) Enfoque Estadístico:• Impacto y Estimación de
CantidadBackup Horas Costo TotalRehacer 24 8 188Probabilidad: 1 por año $ 55,4211Rehacer 24 8 188Mitigar 15.000
Implementar 16 15 233Indisponibilidad 40 1.000 40.000
Total 55.421
Ataque Externo Horas Costo Total $ 40,42116% del total
2Ataque Externo Horas Costo TotalRehacer 12 8 94Mitigar
Implementar 8 15 116Indisponibilidad 20 1.000 20.000
Total 20.210
84% del total
$ 346,6148Ataque Interno Horas Costo Total
Rehacer 12 8 94Mitigar 15.000
Implementar 16 15 233Indisponibilidad 28 1.000 28.000
Total 43 327
Ri
1 vez cada 20
años
$ 9,9785%
Total 43.327
Incendio Horas Costo TotalRehacer 176 6 985Mitigar 7.576 7.576
Implementar 15.000 15.000Indisponibilidad 176 1 000 176 000 Riesgo
Estimado Anual $ 452,434añosIndisponibilidad 176 1.000 176.000
Total 199.561
Cálculo del ROSI
(2) Enfoque Estadístico:500%
ROSI (Cualitativo) Log (ROSI (Cualitativo))
400%
ROSI (Cualitativo) Log. (ROSI (Cualitativo))
200%
300%
100%
200%
0%$ 90 $ 136 $ 181 $ 226 $ 271 $ 317 $ 362 $ 407 $ 452 $ 498 $ 543 $ 588 $ 633 $ 679 $ 724
Costo anual de la solución (en miles)-100%
Cálculo del ROSI
M d i
(3) Enfoque Probabilístico:
• Mapa de riesgo: Procesos del
Negocio
Gap Analysis Probabilidad
pact
o
cuen
cia
Imp
Fec
Tipos de Incidentes
Cálculo del ROSI
(3) Enfoque Probabilístico:
• Ejemplo: Ataque Interno
• Duración: 2 a 48 horas• Servidores: 1 a 20• Impacto en ingresos: 0% a 100%Impacto en ingresos: 0% a 100%• Costo por hora (Ingresos): u$s 1.000• Costo por hora (reparación): u$s 20
Cálculo del ROSI
(3) Enfoque Probabilístico:250
200
150
50
100
0
1 41 81 20 60 200
240
280
320
360
400
440
480
519
559
599
639
679
719
7594 8 120
160
200
240
280
320
360
400
440
480
519
559
599
639
679
719
759
Ataque Interno
Cálculo del ROSI
• Impacto y Grado de Exposición Ponderación
(3) Enfoque Probabilístico:Promedio Anualp y
Probabilidad:$ 147,199
p
Ataque Interno
90% $ 132,479
(mínimo)
$ 11,559Ataque Externo
50% $ 5,779
$ 1,046Backup 80% $ 836
$ 199,321Incendio 5% $ 9,966Riesgo Mínimo
Estimado Anual $ 149,060
Cálculo del ROSI
(3) Enfoque Probabilístico:400% ROSI (Mínimo) ROSI (Máximo)
Log (ROSI (Mínimo)) Log (ROSI (Máximo))
300%
350%Log. (ROSI (Mínimo)) Log. (ROSI (Máximo))
200%
250%
100%
150%
0%
50%
$ 71 $ 79 $ 87 $ 95 $ 103 $ 110 $ 118 $ 126 $ 134 $ 142 $ 150 $ 157 $ 165 $ 173 $ 181
Costo anual de la solución (en miles)-50%
$ $ $ $ $ $ $ $ $ $ $ $ $ $ $
Conclusiones
• El ROSI es la herramienta principal para justificar la inversión Seguridad.
• El análisis debe enfocarse a los activos más importantes para el i d l i iónegocio de la organización.
• Existen diferentes técnicas para poder estimar el ROSI.
• Invertir en seguridad no es fácil y demostrar que dicha inversión es rentable mucho menos, sin embargo es posible y necesario.
