Una gua metodolgica para el clculo del Retorno a la Inversin (ROI) en seguridad informtica: un caso de estudio

Nicols Snchez Acevedo Juan Sebastin Segura Castaeda

Trabajo de Grado Ingeniera de Sistemas Pontificia Universidad Javeriana Director: Ing. Jeimy J. Cano, PhD. Director

Descripcin del proyecto (1)

Pregunta de Investigacin
Cmo calcular el retorno a la inversin en seguridad informtica?

El problema
Progreso de la informtica y las redes = Beneficio vs. Riesgo Necesidad de justificar proyectos de seguridad informtica

Descripcin del proyecto (2)

Objetivo General
Proponer y evaluar una gua metodolgica para el clculo del retorno a la inversin (ROI) en seguridad informtica, mediante un caso de estudio.

Descripcin del proyecto (3)

Objetivos Especficos
Realizar una investigacin y contextualizacin de los siguientes temas, entre otros:
Historia y evolucin de la seguridad informtica Conceptos y Modelo actual de la seguridad informtica Concepto de ROI (Return on Investment) Estado del arte del ROI en seguridad informtica Mtricas en seguridad informtica Mecanismos de seguridad informtica Administracin de riesgos

Descripcin del proyecto (4)

Objetivos Especficos
Proponer una gua metodolgica abierta, para el clculo del retorno a la inversin (ROI) en seguridad informtica Realizar una prueba de la gua metodolgica propuesta mediante un caso de estudio. Evaluar y analizar los resultados de las pruebas realizadas Concluir la viabilidad y aplicabilidad de la gua propuesta, dentro de los lmites especificados para el caso de estudio.

Metodologa de Investigacin
1. 2. 3. 4. 5. 6. 7.

Especificacin del Problema Revisin de Literatura Diseo del modelo propuesto Diseo de la Gua Aplicacin Prueba Evaluacin Anlisis de resultados Conclusin de la investigacin

Especificacin del Problema

Primera etapa Definicin de la pregunta de investigacin Definicin de objetivos Definicin del problema a tratar de solucionar al responder la pregunta

Revisin de Literatura
39 referencias bibliogrficas NIST (National Institute of Standards and Technology) IEEE (Institute of Electrical and Electronics Engineers) AMCIS (Americas Conference on Information Systems) ACSAC (Annual Computer Security Applications Conference) David F. Rico (davidfrico.com) Tesis Doctorales y de Maestra

Diseo del modelo propuesto

Proceso No. 1: Anlisis de Riesgos

1.

Caracterizacin de la organizacin
Definir alcance y trazar lmites de la organizacin (conocimiento y contextualizacin)

2.

Identificacin de vulnerabilidades
Debilidades o defectos en la infraestructura de seguridad de una organizacin.

3.

Identificacin de amenazas
Agentes o circunstancias capaces de explotar una o ms vulnerabilidades

Proceso No. 1: Anlisis de Riesgos

4.

Tabla de riesgos identificados

Riesgo: pareja compuesta por una o ms vulnerabilidades, junto con una o ms amenazas que pueden explotar dichas vulnerabilidades. Asignar a cada riesgo, un identificador.

Proceso No. 1: Anlisis de Riesgos

Ejemplo:

Identificador R1

Vulnerabilidad Las instalaciones de la organizacin no cuentan con planta elctrica, UPS, o algn sistema de contingencia para fallas elctricas. El punto de Acceso inalmbrico maneja un protocolo de encripcin dbil (WEP) El centro de cmputo est descentralizado y no tiene un lugar determinado; el rack de conexin est en un lugar de acceso pblico y con facilidad de presentar eventos involuntarios con los equipos que all se encuentran.

Amenaza Corte de servicio elctrico

R2

Penetracin al sistema va inalmbrica Denegacin de Servicio del Servidor de Archivos.

R3

Proceso No. 1: Anlisis de Riesgos

5.

Determinacin del nmero de ocurrencias

NOA (Nmero de Ocurrencias Anuales) Fuentes de informacin:
Registros histricos de eventos Organizaciones similares Fabricantes y/o vendedores

Ejemplo
Riesgo R1 R2 R3 NOA 50 * 20 2

* El corte de servicio elctrico, se estima en nmero de horas anuales. La denegacin de servicio del servidor archivos es estima en nmero de horas anuales.

NOA: Nmero de Ocurrencias Anuales

Proceso No. 1: Anlisis de Riesgos

Asignar nivel de criticidad (Alto, Medio, Bajo) Rangos de valores determinados por la misma organizacin, para cada uno de los riesgos Ejemplo:
R1 R2 R3

Rango NOA 0 - 19 20 44 > 45

Criticidad NOA BAJO MEDIO ALTO

Rango NOA 0-2 37 >8

Criticidad NOA BAJO MEDIO ALTO

Rango NOA 0-5 6 24 > 25

Criticidad NOA BAJO MEDIO ALTO

Riesgo R1 R2 R3
NOA: Nmero de Ocurrencias Anuales

NOA 50 10 2

Criticidad NOA ALTO ALTO BAJO

Proceso No. 1: Anlisis de Riesgos

6.

Determinacin del impacto

CUI (Costo Unitario de Impacto) Tener en cuenta la mayor cantidad de factores que generan costos Asignar a cada riesgo el CUI

R1

Factor 1. Inactividad organizacional 2. EL costo promedio de informacin perdida a causa de un corte elctrico 3. El costo promedio de reparacin de daos causados a equipos por cada corte elctrico TOTAL

CUI (US$)* 600 100 10

710

* El costo corresponde al impacto causado por una hora sin servicio elctrico.

NOA: Nmero de Ocurrencias Anuales

CUI: Costo Unitario de Impacto

Proceso No. 1: Anlisis de Riesgos

R2

Factor 1. Valor promedio de informacin perdida 2. Costo promedio de recuperacin de informacin perdida. 3. Costo de daos terceros (clientes) TOTAL
R3

CUI (US$) 200 100 300 600

causados

Factor 1. Inactividad organizacional TOTAL

CUI (US$)* 300 300

* El costo corresponde al impacto causado por una hora sin acceso al Servidor de Archivos

NOA: Nmero de Ocurrencias Anuales

CUI: Costo Unitario de Impacto

Proceso No. 1: Anlisis de Riesgos

Al igual que con el NOA, se debe determinar un rango de valores:
Rango CUI ($Dlares) 0 a 199 200 a 599 Ms de 600 Criticidad CUI BAJO MEDIO ALTO

A partir del rango, se clasifican los riesgos segn el valor del CUI:
Riesgo R1 R2 R3 CUI (US$) 710 600 300 Criticidad CUI ALTO ALTO MEDIO

NOA: Nmero de Ocurrencias Anuales

CUI: Costo Unitario de Impacto

Proceso No. 1: Anlisis de Riesgos

7.

Determinacin del nivel de riesgo

Se busca priorizar los riesgos, con base en criticidad de NOA y CUI
Criticidad CUI Criticidad NOA Alto Medio Bajo Bajo Medio Bajo Bajo Medio Medio Alto Medio Bajo Alto Alto Medio - Alto Medio

De esta forma, la tabla tendra una nueva columna, as:

Riesgo R1 R2 R3 NOA 50 10 2 Criticidad NOA ALTO ALTO BAJO CUI (US$) 710 600 300 Criticidad CUI ALTO ALTO MEDIO Criticidad del Riesgo ALTO ALTO BAJO

NOA: Nmero de Ocurrencias Anuales

CUI: Costo Unitario de Impacto

Proceso No. 1: Anlisis de Riesgos

Calcular el CRIA (Costo de Recuperacin de Impacto Anual) CRIA = CUI x NOA

Riesgo R1 R2 R3

NOA 50 10 2

Criticidad NOA ALTO ALTO BAJO

CUI (US$) 710 600 300

Criticidad CUI ALTO ALTO MEDIO

Criticidad del Riesgo ALTO ALTO BAJO

CRIA (US$) 35.500 6.000 600

NOA: Nmero de Ocurrencias Anuales

CUI: Costo Unitario de Impacto

CRIA: Costo de Recuperacin de Impacto Anual

Proceso No. 1: Anlisis de Riesgos

8.

Recomendaciones de control
Recomendacin de controles para cada uno de los riesgos de la lista priorizada resultante del paso anterior

Ejemplo
R1 Control Compra e instalacin de UPS Crea polticas de mantenimiento TOTAL Costo de control (US$) 13.000 1.000 14.000 R2 Control Implementacin del protocolo WPA (Wi-Fi Protected Access) TOTAL Costo de control (US$) 5.000 5.000

Proceso No. 2: Estimacin del ROSI

(Return of Security Investment)

Estimacin del ROSI por aos

Despus de realizada la inversin Iterativo por aos Se analiza el ahorro o gasto anualmente

Estimacin del ROSI en el ao 0

Antes de invertir Tiempo estimado de retorno de la inversin Condiciones Ideales: no hay impacto residual

Proceso No. 2: Estimacin del ROSI

Estimacin del ROSI por aos
1.

Estimacin para el ao 1
Para cada uno de los riesgos se debe construir una tabla como la siguiente:
Costos total de inversiones en controles

Riesgo n Inversin Impacto Operacin Gasto o Ahorro

Ao 1 ($)
CRIA Costos de Operacin (Soporte, Mtto.)

Gasto o Ahorro = CRIA (Inversin + Operacin) Inversin Operacin

CRIA: Costo de Recuperacin de Impacto Anual

Proceso No. 2: Estimacin del ROSI

Ahorro
+
CRIA (R1) = US$35.500

Valor positivo de la resta Ahorro con respecto al CRIA (Inversin + Operacin) menos costosa que Impacto Ya hay ROSI Beneficio del ahorro en dinero Ejemplo

Riesgo n Inversin Impacto Operacin Gasto o Ahorro

Ao 1 (US$) 14.000 35.500 3.000 18.500

CRIA: Costo de Recuperacin de Impacto Anual

Proceso No. 2: Estimacin del ROSI

CRIA (R2) = US$6.000

Gasto

Valor negativo de la resta Gasto Adicional (Inversin + Operacin) ms costosa que Impacto Pendiente por recuperar Gasto Ejemplo
Riesgo n Inversin Impacto Operacin Gasto o Ahorro Ao 1 (US$) 5.000 6.000 2.000 -1.000

CRIA: Costo de Recuperacin de Impacto Anual

Proceso No. 2: Estimacin del ROSI

2.

Estimacin para el ao 2 en adelante

Se tendra una tabla como la siguiente

Riesgo n Inversin Impacto Operacin Gasto del Ao Pendiente por recuperar Ahorro Total o Saldo por recuperar

Ao 1 (US$)

Ao 2 (US$)
-

Costos de Impacto Residual Costos de Operacin (Soporte, Mtto.)

Gasto del Ao = Impacto + Operacin

Ahorro Total o Saldo por recuperar = (CRIA Gasto del Ao) Pendiente por recuperar

CRIA: Costo de Recuperacin de Impacto Anual

Proceso No. 2: Estimacin del ROSI

Ejemplo
Riesgo R2 Inversin Impacto Operacin Gasto del Ao Pendiente por recuperar Ahorro Total o Saldo por recuperar Ao 1 (US$) 5.000 6.000 2.000 -1.000 Ao 2 (US$) 1.500 1.000 2.500 1.000 2.500
Costos de Operacin (Soporte, Mtto.) Costos de Impacto Residual

CRIA (R2) = US$6.000

Gasto del Ao = 1.500 + 1.000 = 2.500

Ahorro Total o Saldo por recuperar = (6.000 2.500) 1.000 = 2.500

CRIA: Costo de Recuperacin de Impacto Anual

Proceso No. 2: Estimacin del ROSI

Estimacin del ROSI en el ao 0
Para cada uno de los riesgos se debe construir una tabla como la siguiente:

Riesgo n Inversin Impacto Operacin Gasto o Ahorro Pendiente por recuperar Ahorro Total o Saldo por recuperar

Ao 1 (US$)

Ao 2 (US$)
-

Ao n (US$)
-

No se tiene en cuenta el Impacto Residual Gasto del Ao = Operacin

Mismo manejo a los campos y clculos, que en la estimacin por aos

Proceso No. 2: Estimacin del ROSI

Ejemplo (Riesgo R9 - Caso de estudio)
CRIA (R9) = Col$ 2525.420

Riesgo R9

Ao 1 (Col$) 10000.000 2525.420 500.000 -7974.580 -

Ao 2 (Col$) 500.000 500.000 7974.580 -5949.160

Ao 3 (Col$) 500.000 500.000 5949.160 -3424.240

Ao 4 (Col$) 500.000 500.000 3424.240 -1398.820

Ao 5 (Col$) 500.000 500.000 1398.820 626.600

Inversin Impacto Operacin Gasto o Ahorro Pendiente por recuperar Ahorro Total o Saldo por recuperar

Ahorro Total o Saldo por recuperar = (2525.420 500.000) 7974.580 = - 5949.160

ROSI, representado en ahorro de dinero, al final del ao 5

CRIA: Costo de Recuperacin de Impacto Anual

Anlisis de Resultados Caso de Estudio

Se aplic satisfactoriamente la totalidad de la gua propuesta Dificultades
Retrasos por demoras en la entrega de informacin solicitada a la organizacin Falta de detalle en algunos aspectos de la informacin obtenida Dependencia de terceros

Limitaciones
Determinacin del NOA: slo se tienen en cuenta datos histricos
Se present un caso de riesgo con CRIA nulo, debido a un NOA = 0

No se pudo aplicar la estimacin por aos

Conclusiones
Seguimiento de un discurso metodolgico Utilidad de la pregunta de investigacin Uso de fichas bibliogrficas, fichas de campo y grabaciones No son fcilmente accesibles recursos bibliogrficos precisos y concretos sobre el tema Complejidad de la cuantificacin de los costos de impactos intangibles Viabilidad y aplicabilidad de la gua Aporte al rea de la seguridad informtica Esta investigacin fue presentada en la Americas Conference on Information Systems AMCIS 2006, en diciembre de 2005

Referencias
[BRIN95a] BRINKLEY, Donald L. y SCHELL, Roger R. Information Security: An Integrated Collection of Essays: Essay 1 What is there to worry about? An Introduction to the Computer Security Problem. California, Estados Unidos de Amrica. ACSAC. 1995. Disponible en: http://www.acsac.org/secshelf/book001/01.pdf [BRIN95b] BRINKLEY, Donald L. y SCHELL, Roger R. Information Security: An Integrated Collection of Essays: Essay 2 Concepts and Terminology for Computer Security. California, Estados Unidos de Amrica. ACSAC. 1995. Disponible en: http://www.acsac.org/secshelf/book001/02.pdf [HARR03] HARRIS, Shon. CISSP Certification: All-in-one Exam Guide. Second Edition. Emerville, California, Estados Unidos de Amrica. McGraw Hill. 2004 [MCLE03] MCLEAN, Greg y BROWN, Jason. Determining the ROI in IT security. Toronto, Canad. CICA. 2003. Disponible en: http://www.davidfrico.com/mclean03.htm [NIST95] NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. An Introduction to Computer Security: The NIST Handbook, Special Publication 800-12 Washington, Estados Unidos de Amrica. National Institute of Standards and Technology (NIST), 1995. Disponible en: http://www.csrc.nist.gov/publications/nistpubs/800-12/handbook.pdf [STON02] STONEBURNER, Gary; GOGUEN, Alice; FERINGA Alexis. NIST Special Publication 800-30: Risk Management Guide for Information Technology Systems. Gaithersburg, Estados Unidos de Amrica. National Institute of Standards and Technology (NIST), 2002. Disponible en: http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf

Una gua metodolgica para el clculo del Retorno a la Inversin (ROI) en seguridad informtica: un caso de estudio

Nicols Snchez Acevedo Juan Sebastin Segura Castaeda

Trabajo de Grado Ingeniera de Sistemas Pontificia Universidad Javeriana Director: Ing. Jeimy J. Cano, PhD. Director