Modelos de Seguridad Informática y Retorno de InversiónModelos de Seguridad Informática y Retorno de Inversión

IEEE – Computer - Management SocietyIEEE – Computer - Management Society

ProblemáticaProblemática

� ¿Cuanto le cuesta la inseguridad informática a nuestro negocio?

� ¿Qué impacto tiene la falta de seguridad en la productividad?

� ¿Qué impacto tendría una interrupción de seguridad catastrófica?

� ¿Cuál es la solución más costo-efectiva?

� ¿Qué impacto tendría la solución sobre la productividad?

� ¿Cuanto le cuesta la inseguridad informática a nuestro negocio?

� ¿Qué impacto tiene la falta de seguridad en la productividad?

� ¿Qué impacto tendría una interrupción de seguridad catastrófica?

� ¿Cuál es la solución más costo-efectiva?

� ¿Qué impacto tendría la solución sobre la productividad?

Objetivo PrincipalObjetivo Principal

� Al final de esta sesión estaremos en capacidad de seleccionar el método adecuado para hacer un análisis de retorno de inversión en seguridad informática.

� Al final de esta sesión estaremos en capacidad de seleccionar el método adecuado para hacer un análisis de retorno de inversión en seguridad informática.

¿Como lo vamos a hacer?¿Como lo vamos a hacer?

� Métodos para análisis de Retorno de inversión

� Estándares/Metodologías de Riesgo Seguridad Informática

� Como utilizar los modelos para justificación de inversión en Seguridad Informática

� Caso de estudio

� Métodos para análisis de Retorno de inversión

� Estándares/Metodologías de Riesgo Seguridad Informática

� Como utilizar los modelos para justificación de inversión en Seguridad Informática

� Caso de estudio

CuantificarCosto EventosOcultos (Soft)

CuantificarCosto EventosVisibles (Hard)

Realidad de la Seguridad de la Información

Mas que “eventos de una sola vez”

-Costo soporte proveedores-Costo recuperación del servicio-Costo arreglo de la falla

-Perdida de ingresos por no disponibilidad del servicio-Improductividad de empleados-Impacto en la imagen y percepción del cliente

Métodos para análisis de retorno de inversión

Métodos para análisis de retorno de inversión

� Radio Beneficio/Costo (B/C)

� Valor Presente Neto (NPV)

� Punto de equilibrio (Breakeven, Payback)

� Retorno sobre la inversión (ROI)

� Taza Interna de Retorno (IRR)

� Radio Beneficio/Costo (B/C)

� Valor Presente Neto (NPV)

� Punto de equilibrio (Breakeven, Payback)

� Retorno sobre la inversión (ROI)

� Taza Interna de Retorno (IRR)

CSI/FBI Computer and Crime Survey - 2006

CSI/FBI Computer and Crime Survey - 2006

Radio Beneficio/CostoRadio Beneficio/Costo

� Radio Beneficio/Costo

Beneficio B/CR = _______

Costo

Es una medida de cuanto dinero se obtiene por usar una estrategia de costo determinada.

B/C 1:1 cada dólar gastado – recibe otro“Todo gratis, pague una comida y le devuelven el dinero”B/C 0.5:1 Por cada dólar se retorna 0.50“ Si pago 20 dólares por llenar el tanque de mi carro y me devuelven

10 dólares”B/C 2:1 Por cada dólar invertido se reciben 2“ En proyectos de software pueden obtener radios de hasta 1000:1”

� Radio Beneficio/Costo

Beneficio B/CR = _______

Costo

Es una medida de cuanto dinero se obtiene por usar una estrategia de costo determinada.

B/C 1:1 cada dólar gastado – recibe otro“Todo gratis, pague una comida y le devuelven el dinero”B/C 0.5:1 Por cada dólar se retorna 0.50“ Si pago 20 dólares por llenar el tanque de mi carro y me devuelven

10 dólares”B/C 2:1 Por cada dólar invertido se reciben 2“ En proyectos de software pueden obtener radios de hasta 1000:1”

Valor Presente NetoValor Presente Neto

� VPN – es lo que el dinero valdrá en el futuro menos la inflación.

� VPN – es lo que el dinero valdrá en el futuro menos la inflación.

VPN =Beneficio

(1 + Taza de Inflación)AÑO

$10 de hoy costaran $9.52 en u año, $7.84 el siguientey 6.14 en 10 años, usando una taza de inflación modestade 5%. ¿Imaginemos si mantuviéramos el mismo salario durante 10 años?

Una inversión con B/C de 10:1 y un ROI de 900% teniendoen cuanta el valor de dinero, se convierten en 7.4:1 y ROI de 641%

Punto de equilibrioPunto de equilibrio

� El punto de equilibrio es el valor numérico al cual un beneficio supera o excede el costo. ¿Cuándo retorna la inversión?

� El punto de equilibrio es el valor numérico al cual un beneficio supera o excede el costo. ¿Cuándo retorna la inversión?

BEP = Costo

1 – Productividad antes/ Productividad Desp.

Ejemplo: Un modulo de seguridad de una aplicación requiere 100.000 Horas/hombre para producir 10.000 líneas de código y se tiene un 30% de errores detectados en producción.Si invertimos en aplicar una metodología de seguridad en el ciclo de desarrollo de software. Después de 100 horas de entrenamiento podemos esperar que para producir las mismas 10.000 líneas de código requerimos 10.000 horas /hombre y se genera un 20% menos de errores.

Después de 111 Horas se recupera el costo de implantar la nueva metodología (100 horas capacitación y 11 horas de trabajo - 1/2 día).

Retorno sobre la inversiónRetorno sobre la inversión

� ROI es la cantidad de dinero que se obtiene después de gastar una cantidad de dinero.

� Un ROI de 100% significa que por cada dólar invertido se gana 1 dólar.

� Un ROI de 1000% quiere decir que por cada dólar invertido se obtienen 10.

� ROI es la cantidad de dinero que se obtiene después de gastar una cantidad de dinero.

� Un ROI de 100% significa que por cada dólar invertido se gana 1 dólar.

� Un ROI de 1000% quiere decir que por cada dólar invertido se obtienen 10.

ROI =Beneficio - Costos

Costos* 100%

Tasa Interna de RetornoTasa Interna de Retorno

� La taza de descuento que iguala el valor presente de los flujos positivos de dinero y el costo de la inversión. En otras palabras es la taza de interés a la cual el VPN del proyecto es igual a 0.

� La taza de descuento que iguala el valor presente de los flujos positivos de dinero y el costo de la inversión. En otras palabras es la taza de interés a la cual el VPN del proyecto es igual a 0.

NPV(C, t, IRR) = 0

No hay una formula precisa para llegar a la IRRgeneralmente se hace a través de iteraciones que se aproximen al valor de VPN=0

Estándares/Metodologías de Riesgo y Seguridad InformáticaEstándares/Metodologías de

Riesgo y Seguridad Informática

� AS/NZ 4360 Risk Management

� Octave – CERT Information Security Risk Evaluation

� ISO 17999 – Code of practice for information security management

� ISO 27001 – Information Security Management Systems

� CISSP Common Body of Knowledge

� AS/NZ 4360 Risk Management

� Octave – CERT Information Security Risk Evaluation

� ISO 17999 – Code of practice for information security management

� ISO 27001 – Information Security Management Systems

� CISSP Common Body of Knowledge

AS/NZ 4360AS/NZ 4360

AS/NZ 4360

Ejemplo Matriz de RiesgosEjemplo Matriz de Riesgos

Criticidad

Probabilidad de Ocurrencia

Severidad

+-

-

+

3 6 9

2 46

1 2 3

Ocasional (1) Moderado (2) Frecuente (3)

Moderado (1)

Grave(2)

Crítico (3)

40 Riesgos de Nivel MEDIO

R

R

R

RR

R

R

R R

R

R

R

48 Riesgos de Nivel ALTO

R

R

R

R R

R

R

R

RR

R

R

R R

R

RR

R RR

R

22 Riesgos de Nivel BAJO

R R

R

OCTAVEOCTAVE

“OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation) es una aproximación a evaluación de riesgos de seguridad informática que es completa, sistemática, guiada por contexto y autodirigida. Esta aproximación es un conjunto de criterios que definen los elementos esenciales para evaluación de seguridad información dirigida de activos.”[Alberts 2001a].

“OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation) es una aproximación a evaluación de riesgos de seguridad informática que es completa, sistemática, guiada por contexto y autodirigida. Esta aproximación es un conjunto de criterios que definen los elementos esenciales para evaluación de seguridad información dirigida de activos.”[Alberts 2001a].

OctaveOctave

Ejemplo Perfil de amenazasEjemplo Perfil de amenazas

disclosure

modification

loss/destruction

interruption

accidental

deliberate

deliberate

accidental

outside

inside

networkasset

disclosure

modification

loss/destruction

interruption

disclosure

modification

loss/destruction

interruption

disclosure

modification

loss/destruction

interruption

Activo Acceso Actor Motivo Impacto

ISO 17999:2005ISO 17999:2005

� Política de seguridad � Organización de la información de seguridad � Gestión de Activos� Seguridad de los recursos humanos � Seguridad física y del entorno � Administración de las comunicaciones y operaciones � Control de accesos � Adquisición de sistemas de información, desarrollo y

mantenimiento � Administración de los incidentes de seguridad� Administración de la continuidad de negocio � Cumplimiento (legales, de estándares, técnicas y

auditorías)

� Política de seguridad � Organización de la información de seguridad � Gestión de Activos� Seguridad de los recursos humanos � Seguridad física y del entorno � Administración de las comunicaciones y operaciones � Control de accesos � Adquisición de sistemas de información, desarrollo y

mantenimiento � Administración de los incidentes de seguridad� Administración de la continuidad de negocio � Cumplimiento (legales, de estándares, técnicas y

auditorías)

ISO 27001:2005ISO 27001:2005

� Sistema de Gestión de Seguridad de la Información (ISMS)

� Responsabilidad de la dirección

� Auditoria Interna del ISMS

� Administración de las revisiones del ISMS por la dirección

� Mejoras del ISMS

� Sistema de Gestión de Seguridad de la Información (ISMS)

� Responsabilidad de la dirección

� Auditoria Interna del ISMS

� Administración de las revisiones del ISMS por la dirección

� Mejoras del ISMS

CISSP CBKCISSP CBK

� Access Control Systems and Methodology

� Telecommunications and Network Security

� Security Management Practices

� Applications and Systems Development Security

� Cryptography

� Security Architecture and Models

� Operations Security

� Business Continuity Planning (BCP) and Disaster Recovery Planning (DRP)

� Laws, Investigations and Ethics

� Physical Security

� Access Control Systems and Methodology

� Telecommunications and Network Security

� Security Management Practices

� Applications and Systems Development Security

� Cryptography

� Security Architecture and Models

� Operations Security

� Business Continuity Planning (BCP) and Disaster Recovery Planning (DRP)

� Laws, Investigations and Ethics

� Physical Security

¿Qué pasa si usamos métodos de retorno de inversión y modelos de seguridad de forma integrada?

¿Qué pasa si usamos métodos de retorno de inversión y modelos de seguridad de forma integrada?

Proceso de Gestión de RiesgoProceso de Gestión de Riesgo

� Paso 1. Identificar los activos, valor y sus elementos de riesgo

� Amenazas, frecuencia de eventos, valor de perdida por eventos, incertidumbre, costo-beneficio o análisis ROI

� Paso 2. Realizar identificación de riesgo y cuantificación

1. ¿Qué puede pasar con potencial de perdida o daño? (Amenaza)

2. Si pasa, ¿Qué tan malo puede ser? (Exposición)3. ¿Cada cuanto puede ocurrir ?(frecuencia)

� Paso 3. Realizar actividades de mitigación de riesgos

4. ¿Que puede hacerse para prevenir/evitar el riesgo, mitigarlo, para detectar/notificar?

5. ¿Cuanto puede costar?6. ¿Que tan eficiente es?

� Paso 1. Identificar los activos, valor y sus elementos de riesgo

� Amenazas, frecuencia de eventos, valor de perdida por eventos, incertidumbre, costo-beneficio o análisis ROI

� Paso 2. Realizar identificación de riesgo y cuantificación

1. ¿Qué puede pasar con potencial de perdida o daño? (Amenaza)

2. Si pasa, ¿Qué tan malo puede ser? (Exposición)3. ¿Cada cuanto puede ocurrir ?(frecuencia)

� Paso 3. Realizar actividades de mitigación de riesgos

4. ¿Que puede hacerse para prevenir/evitar el riesgo, mitigarlo, para detectar/notificar?

5. ¿Cuanto puede costar?6. ¿Que tan eficiente es?

Activos y ValorActivos y Valor

� Que activos esta tratando de proteger?� Físicos: Equipos de TI

� Información: BD Clientes

� Confianza, Imagen de la marca

� Vida

� ¿Cuanto valen?� Valor en Libros (Valor Inicial – Depreciación) o Valor de

Reemplazo (cuanto vale en el mercado incluyendo el valor de propiedad intelectual)

� Valor de mantenimiento

� Impacto para el negocio si no esta.

(Ingresos que deja de generar, costo de oportunidad o intangibles, ej. Goodwill).

� Que activos esta tratando de proteger?� Físicos: Equipos de TI

� Información: BD Clientes

� Confianza, Imagen de la marca

� Vida

� ¿Cuanto valen?� Valor en Libros (Valor Inicial – Depreciación) o Valor de

Reemplazo (cuanto vale en el mercado incluyendo el valor de propiedad intelectual)

� Valor de mantenimiento

� Impacto para el negocio si no esta.

(Ingresos que deja de generar, costo de oportunidad o intangibles, ej. Goodwill).

Se puede utilizar la Guia de NIST SP 800-60 “Guide for Mapping Types of Information and Information

Systems to Security Categories”,June 2004

Valoración Activos – Clave ROIValoración Activos – Clave ROI

1. Identificar los activos de información: Los activos pueden ser un recurso, un producto, la infraestructura de computo en red, información protegida por ley, o datos de clientes, empleados. Las perdidas en los principios de confidencialidad, integridad y disponibilidad pueden tener un impacto monetario o ser intangible, como la perdida de reputación.

2. Identificar las amenazas y vulnerabilidades: Cualquier cosa que ocasiones un efecto no deseado. Las amenazas tienen varias formas y tienen efectos variados. Terremotos son amenazas, Demandas son amenazas. Vulnerabilidades son debilidades o la ausencia de controles adecuados.

3. Hacer valoración de activos: Una vez se haya identificado los activos y las vulnerabilidades que los afectan, es importante realizar un proceso de valoración de activos. ¿Para que pasar por un proyecto de aseguramiento para un activo que no tiene alto valor para la compañía? Se puede crear una matriz y valorar los activos con una simple matriz en términos de Alto, Medio y Bajo basado en la definición de cada organización. Para cada activo considere el costo total, inicial y de mantenimiento para el ciclo de vida completo del activo. Determinar el valor del activo en terminos de productividad, Investigación y Desarrollo y criticidad para el modelo de negocio (tangiblee intangible. Responsa la pregunta de cuanto vale el activo en el mercado incluyendo los derechos de propiedad intelectual.

1. Identificar los activos de información: Los activos pueden ser un recurso, un producto, la infraestructura de computo en red, información protegida por ley, o datos de clientes, empleados. Las perdidas en los principios de confidencialidad, integridad y disponibilidad pueden tener un impacto monetario o ser intangible, como la perdida de reputación.

2. Identificar las amenazas y vulnerabilidades: Cualquier cosa que ocasiones un efecto no deseado. Las amenazas tienen varias formas y tienen efectos variados. Terremotos son amenazas, Demandas son amenazas. Vulnerabilidades son debilidades o la ausencia de controles adecuados.

3. Hacer valoración de activos: Una vez se haya identificado los activos y las vulnerabilidades que los afectan, es importante realizar un proceso de valoración de activos. ¿Para que pasar por un proyecto de aseguramiento para un activo que no tiene alto valor para la compañía? Se puede crear una matriz y valorar los activos con una simple matriz en términos de Alto, Medio y Bajo basado en la definición de cada organización. Para cada activo considere el costo total, inicial y de mantenimiento para el ciclo de vida completo del activo. Determinar el valor del activo en terminos de productividad, Investigación y Desarrollo y criticidad para el modelo de negocio (tangiblee intangible. Responsa la pregunta de cuanto vale el activo en el mercado incluyendo los derechos de propiedad intelectual.

ROSI – Modelo SageSecureROSI – Modelo SageSecure

ROSI =

(Risk Exposure*%Risk Mitigated) – Solution Cost

Solution Cost

Ejemplo: Un Antivirus que captura 3 de cada 4 virus (75%). El Antivirus cuesta 25.000 USD y es lo mismo que cuestan las intrusiones al año

ROSI =

(25.000*75%) – 25.000

25.000

= 200%

Tomado de “Return On Security Investment (ROSI): A Practical Quantitative Model”, SageSecure

ALE – Annual Loss ExpectancyALE – Annual Loss Expectancy

Asset Value (AV) = Valor del Activo Single Loss Expectancy (SLE) = Expectativa de perdida x EventoExposure Factor (EF) = Factor de ExposiciónSLE = AV * EFAnnual Rate of Occurrence (ARO) = Taza anual de eventosAnnual Loss Expectancy (ALE) = SLE * ARO

Ejemplo:

Un sitio de comercio electrónico genera 100 Millones al año, el costo de

un evento que interrumpa el servicio por una hora es de 42372 US (SLE)

que se incrementa a media que aumenta la indisponibilidad. El año

anterior sufrió al menos 1 ataque mensual.

ALE = 42372 (SLE) * 12 (ARO) = USD 508.474

Idaho University – ROSI Model

Idaho University – ROSI Model

� T = Costo herramienta (ej. Firewall)

� E = Ahorros de intrusiones prevenidas

� R = Costo anual de recuperarse de las intrusiones

� ROSI = R - (ALE)

� T = Costo herramienta (ej. Firewall)

� E = Ahorros de intrusiones prevenidas

� R = Costo anual de recuperarse de las intrusiones

� ROSI = R - (ALE)

(R – E) + T = ALE

ROSI – Vulnerability Reduction Model

ROSI – Vulnerability Reduction Model

Ejemplo: Anualmente hay al menos 2 robos de portátiles de los 50 empresa. El reemplazo del laptop cuesta 1800 USD. El siguiente año hay 50 laptops en la compañía y cuesta 60 USD el cable de seguridad para cada equipo.. EL siguiente año se van a tener 75 portátiles. La probabilidad de robo se planea que disminuya a 1 por año después de instalado el mecanismo

ROSI = ((1800+IV)*2 – ((1800+IV)*1 +75*60))/(75*60)

IV = Valor de la Información, Ej. IV=0ROSI = -60%

Aquí es cuando se debe tomar decisiones de proteger únicamente los equipos con mayor riesgo e información critica para que la inversión se justifique.

Ejemplo: Anualmente hay al menos 2 robos de portátiles de los 50 empresa. El reemplazo del laptop cuesta 1800 USD. El siguiente año hay 50 laptops en la compañía y cuesta 60 USD el cable de seguridad para cada equipo.. EL siguiente año se van a tener 75 portátiles. La probabilidad de robo se planea que disminuya a 1 por año después de instalado el mecanismo

ROSI = ((1800+IV)*2 – ((1800+IV)*1 +75*60))/(75*60)

IV = Valor de la Información, Ej. IV=0ROSI = -60%

Aquí es cuando se debe tomar decisiones de proteger únicamente los equipos con mayor riesgo e información critica para que la inversión se justifique.

ROSI = (RCbefore – RCafter)/SMcost

¿Y en la practica como lo hacemos?¿Y en la practica como lo hacemos?

Directrices de nivel ejecutivo para seguridad de la información

No-técnicos. Puede o no puede requerir justificación económica

Directrices de nivel ejecutivo para seguridad de la información

No-técnicos. Puede o no puede requerir justificación económica

Iniciativas de la

Compañía

Aumento de ingresos

Reducción de costos

Ventaja competitiva

Disminución de riesgos

Amenazas del valor de la marca

Evolución legislativa

Eventos recientes de

Seguridad

Regulación

Contractuales

Comité Auditoria

Mandatos Junta o CEO

Mejorar el

negocio

Reducir

Riesgo

Cumplimiento

Requerimientos

Esquema para proyectar valor financiero

Retorno Sobre la Inversión

Ahorros enCostos de

HW

Mejoras En Productividad

IncrementarOportunidadDe Ingresos

ReducirPerdida AnualEsperada

Disminuye Variabilidad

� Reducción de Costos

� Obtener los costos suaves (Reducir la Expectativa de Perdida Anual)

� Realizar Ahorros de Costos duros (Eficiencia en estructura de IT)

� Mejora en Productividad

� Incrementar productividad de usuario final (Anti-Spam, Filtrad de contenido)

� Optimizar utilización del persnal de seguridad/TI (Patch Management)

� Incrementar Oportunidad de Ingresos

� Habilitar proyectos que de otra manera serian evitados debido a preocupaciones de seguridad

Ejemplo Caso de Negocio –Protección Perímetro

Protección de Perímetro vs Status Quo

ROI 3 Años VPN TIR Punto de Equilibrio 277% $565,563 94% 11.4 Meses

Entregable Caso de NegocioDos mitades del caso de negocio:

Narrativa Financiera

Entregable Caso de NegocioDos mitades del caso de negocio:

Narrativa Financiera

NARRATIVA� Directivas de nivel ejecutivo� Beneficios subjetivos

� Difíciles de cuantificar� Beneficios alternos

NARRATIVA� Directivas de nivel ejecutivo� Beneficios subjetivos

� Difíciles de cuantificar� Beneficios alternos

FINANCIEROS (VALOR)� Cuantificar cuando sea posible� Reducción de costos

� Ahorros de costos de hardware� Reducir Perdida Anual

Esperada

� Mejoras en productividad� Usuarios finales� Personal de IT/Seguridad

� Incrementar oportunidad de ingresos

FINANCIEROS (INVERSION)� Costos por adelantado

� Productos & Servicios

� Costos recurrentes� Subscripciones &

Mantenimientos

� Costos de desarrollo interno

FINANCIEROS (VALOR)� Cuantificar cuando sea posible� Reducción de costos

� Ahorros de costos de hardware� Reducir Perdida Anual

Esperada

� Mejoras en productividad� Usuarios finales� Personal de IT/Seguridad

� Incrementar oportunidad de ingresos

FINANCIEROS (INVERSION)� Costos por adelantado

� Productos & Servicios

� Costos recurrentes� Subscripciones &

Mantenimientos

� Costos de desarrollo interno

Caso de EstudioCaso de Estudio

� Objetivo Proyecto: Implantar la Norma ISO 27001 en una empresa de las siguientes características:

� Objetivo Proyecto: Implantar la Norma ISO 27001 en una empresa de las siguientes características:

Sector Tipo Sector Financiero

Numero de Empleados Numero Total Empleados 1000

Valor/Hora Empleado Nivel 1,

Nivel 2 y 3 $100, $50, $20 Promedio 56

Numero de PCs Servidores y PCs 1200

Numero de Nodos de Red Incluyendo Equipos Seguridad 200

Numero de Incidentes al año 10

Tiempo Promedio por fuera

despues de un incidente Minutos 240

Utilidades Anuales Dolares $100.000.000,00

Valor de Activos Dolares $1.000.000.000,00

CostosCostos

� Utilizamos los cálculos para un proyecto tipo de certificación basado en datos por tipo de empresa de Computer Economics.

� Utilizamos los cálculos para un proyecto tipo de certificación basado en datos por tipo de empresa de Computer Economics.

$4.298.356,00Total

$2.830.500,00Mantenimiento

$667.000,00Pruebas

$442.656,00Implantación

$36.000,00Auditoria

$26.400,00Preparacion

$160.000,00Productos de seguridad de

red

$81.200,00Productos de seguridad de

computadores

$54.600,00Procesos

Obtención de DatosObtención de Datos

� Tablas actuariales propias (incidentes internos o referencias del sector)

� Fuentes: CSI/FBI Survey, Computer Economics, Encuesta Seguridad Informática ACIS.

� Tablas actuariales propias (incidentes internos o referencias del sector)

� Fuentes: CSI/FBI Survey, Computer Economics, Encuesta Seguridad Informática ACIS.

Tablas Computer EconomicsTablas Computer Economics

$33,564,400$53,726,400$20,162,000$10,788,000$6,590,000$2,784,00050,000

$18,137,059$24,587,059$6,450,000$3,725,000$1,625,000$1,100,00020,000

$10,632,998$14,635,498$4,002,500$2,127,500$1,257,800$617,20010,000

$6,747,713$8,751,113$2,003,400$1,065,900$612,700$324,8005,000

$3,909,077$5,104,377$1,195,300$632,800$354,700$207,8003,000

$2,515,220$3,306,870$791,650$416,650$226,500$148,5002,000

$1,281,353$1,729,568$448,215$207,015$160,000$81,2001,000

$719,820$916,200$196,380$102,630$47,850$45,900500

$415,963$509,363$93,400$46,600$23,500$23,300250

$196,020$233,370$37,350$18,600$8,850$9,900100

$112,240$131,040$18,800$9,400$4,200$5,20050

$56,738$66,138$9,400$4,800$2,100$2,50025

ROI for security spending

Economic impact of malicious attacks

Total projected security costs

Associated personnel costs

Projected costs for network security products

Projected costs for computer security products

Number of nodes in the

organization

Source: Computer Economics, “Annual Cost and ROI for security expenditure in a High intensity e-business enviroment”

Impacto en ProductividadImpacto en Productividad

240 minutesTotal Time

15Application Usage Issues

15Backup / Restoration

15Hacked or stolen system information and data

15Corrupt or inaccessible data

10File System Disorganization

15Permissions based Security Problems (User/Pass)

15Compatibility Issues - Hardware and Software

10Popup Ads

10Spyware, System Trackers

10Trojans, Key logging

10Worms

10Viruses, Virus Scanning

15Insecure and Inefficient Network Topology

10Security patches for OS and applications

10System related rollouts and upgrades from IT

10Enforcement of Security Policies

10Inefficient and ineffective Security Policies

10Bandwidth Efficiency and Throughput

15Email Filtering Sorting and Spam

10Application and System related crashes

Average Downtime

(in minutes)

Problem

Beneficios del ProyectoBeneficios del Proyecto

$1.000.000,00

Proyecto VPN para dar acceso a

clientes corporativos a txt bancarias.$0,00

Ingresos generados por proyecto que no se hacían por temas de

seguridad

$12.000.000,0012% de las utilidades

(12 Millones)$20.000.000,0020% de las utilidades

(20 Millones)Provisiones por siniestros

al año (Regulatorio)

$140.000.000,00

14% del valor de activos (140 Millones)$150.000.000,00

15 % del valor de activos (150 Millones)Costo Seguros por año

$864.784,00

5 Incidentes x Año (130 Minutos por

fuera) -$864.784$1.729.568,00

10 Incidentes x Año (240 Minutos por

fuera, $1'729.568)Costo Incidentes por año

ValorDespues de ISO 27001

ValorDatos Antes de ISO 27001

Flujo de caja e indicadoresFlujo de caja e indicadores

318%TIR

12 MesesBEP

300%ROI

$ 14.154.141,85VPN

$2.964.090,56$1.765.442,92$566.795,28$631.852,36$18.034.264,00$4.298.356,00Beneficio Periodo

$794.590,56$595.942,92$397.295,28$198.647,64$19.864.764,00Incremento/Decremento Opex

$5.000.000,00$4.000.000,00$3.000.000,00$2.000.000,00$1.000.000,00Increment/Decremento Ingresos

$2.830.500,00$2.830.500,00$2.830.500,00$2.830.500,00$2.830.500,00$4.298.356,00Inversion

2010,2009,2008,2007,2006,Inicial

Año 5Año 4Año 3Año 1Año 0Inversion

ConclusionesConclusiones

� La inseguridad cuesta

� Usar calculos para justificar la inversión en seguridad

� Si el costo de seguridad < costo de inseguridad la inversión es justificada

� La inseguridad cuesta

� Usar calculos para justificar la inversión en seguridad

� Si el costo de seguridad < costo de inseguridad la inversión es justificada

BibliografiaBibliografia

[1] Information Security Forum, “Standard of Good Practice,”See: http://www.isfsecuritystandard.com/index_ns.htm[2] ISO 17799[3] NSW Government Office of Information andCommunications Technology, “Information SecurityGuideline,” June 2003. See: http://www.oict.nsw.gov.au/[4] “Security Metrics Guide for Information TechnologySystems Special,” Publication 800-55 US National Instituteof Standards and Technology Computer Security ResearchCentre, 2002. See csrc.nist.gov/publications/nistpubs/800-55/sp800-55.pdf.[5] “The Return on Investment for Information Security” see:http://www.oit.nsw.gov.au/content/7.1.15.ROSI.asp[6] “The Return on Investment for Information Security” See:http://www.cisco.com/en/US/netsol/ns340/ns394/ns171/networking_solutions_audience_business_benefit09186a008010e490.html[7] Calculated Risk Scott Berinato in CSO Magazine, December2002. See www.csoonline.com/read/120902/calculate.html[8] Security Attribute Evaluation Method: A Cost-BenefitApproach Shawn A. Butler, Computer Science Department,Carnegie Mellon University, 2002. Seewww2.cs.cmu.edu/~Compose/ftp/SAEM-(Butler)-ICSE_2002.pdf .

[1] Information Security Forum, “Standard of Good Practice,”See: http://www.isfsecuritystandard.com/index_ns.htm[2] ISO 17799[3] NSW Government Office of Information andCommunications Technology, “Information SecurityGuideline,” June 2003. See: http://www.oict.nsw.gov.au/[4] “Security Metrics Guide for Information TechnologySystems Special,” Publication 800-55 US National Instituteof Standards and Technology Computer Security ResearchCentre, 2002. See csrc.nist.gov/publications/nistpubs/800-55/sp800-55.pdf.[5] “The Return on Investment for Information Security” see:http://www.oit.nsw.gov.au/content/7.1.15.ROSI.asp[6] “The Return on Investment for Information Security” See:http://www.cisco.com/en/US/netsol/ns340/ns394/ns171/networking_solutions_audience_business_benefit09186a008010e490.html[7] Calculated Risk Scott Berinato in CSO Magazine, December2002. See www.csoonline.com/read/120902/calculate.html[8] Security Attribute Evaluation Method: A Cost-BenefitApproach Shawn A. Butler, Computer Science Department,Carnegie Mellon University, 2002. Seewww2.cs.cmu.edu/~Compose/ftp/SAEM-(Butler)-ICSE_2002.pdf .

BibliografiaBibliografia

[9] Cost-Benefit Analysis for Network Intrusion DetectionSystems Huaqiang Wei, Deborah Frinke et al. Centre forSecure and Dependable Software, University of Idaho. InProceedings of the 28th Annual Computer SecurityConference October 2001. Seewwwcsif.cs.ucdavis.edu/~balepin/new_pubs/costbenefit.pdf.[10] A Guide to Security Risk Management for InformationTechnology Systems Published by the Government ofCanada Communications Security Establishment, 1996. Seewww.cse.dnd.ca/en/documents/knowledge_centre/publications/manuals/mg2e.pdf.[11] Executives Need to Know: The Arguments to Include in aBenefits Justification for Increased Cyber Security SpendingTimothy Braithwaite in Information Systems Security,Auerbach Publications, September/October 2001.[12] Seeking Security Scorecards Chris King, Meta Group (File:9377), Dec 2001.[13] Analysis of Return on Investment for Information Security:Steve Foster and Bob Pacl, Getronics.[14] VPN Security and Return on Investment: RSA SolutionWhite Paper[15] Finally, a Real Return on Security Spending CIO Magazine,15 February 2002; seewww.cio.com/archive/021502/security.html.[16] Secure Business Quarterly, Special Issue on Return onSecurity Investment, Quarter 4, 2001. Seewww.sbq.com/sbq/rosi/index.html.

[9] Cost-Benefit Analysis for Network Intrusion DetectionSystems Huaqiang Wei, Deborah Frinke et al. Centre forSecure and Dependable Software, University of Idaho. InProceedings of the 28th Annual Computer SecurityConference October 2001. Seewwwcsif.cs.ucdavis.edu/~balepin/new_pubs/costbenefit.pdf.[10] A Guide to Security Risk Management for InformationTechnology Systems Published by the Government ofCanada Communications Security Establishment, 1996. Seewww.cse.dnd.ca/en/documents/knowledge_centre/publications/manuals/mg2e.pdf.[11] Executives Need to Know: The Arguments to Include in aBenefits Justification for Increased Cyber Security SpendingTimothy Braithwaite in Information Systems Security,Auerbach Publications, September/October 2001.[12] Seeking Security Scorecards Chris King, Meta Group (File:9377), Dec 2001.[13] Analysis of Return on Investment for Information Security:Steve Foster and Bob Pacl, Getronics.[14] VPN Security and Return on Investment: RSA SolutionWhite Paper[15] Finally, a Real Return on Security Spending CIO Magazine,15 February 2002; seewww.cio.com/archive/021502/security.html.[16] Secure Business Quarterly, Special Issue on Return onSecurity Investment, Quarter 4, 2001. Seewww.sbq.com/sbq/rosi/index.html.

BibliografiaBibliografia

[17] ROI of Software Process Improvement, David F. Rico, 2004

[18] CISSP Examination Textbooks, S. Rao Vallabhaneni, 2004

[19] Hack Notes, Network Security, Mike Horton, Clinton Mugge, 2003

[17] ROI of Software Process Improvement, David F. Rico, 2004

[18] CISSP Examination Textbooks, S. Rao Vallabhaneni, 2004

[19] Hack Notes, Network Security, Mike Horton, Clinton Mugge, 2003

GraciasGracias