modelos de seguridad informática y retorno de inversión
Post on 26-Oct-2014
128 Views
Preview:
TRANSCRIPT
Modelos de Seguridad Informática y Retorno de InversiónModelos de Seguridad Informática y Retorno de Inversión
IEEE – Computer - Management SocietyIEEE – Computer - Management Society
ProblemáticaProblemática
� ¿Cuanto le cuesta la inseguridad informática a nuestro negocio?
� ¿Qué impacto tiene la falta de seguridad en la productividad?
� ¿Qué impacto tendría una interrupción de seguridad catastrófica?
� ¿Cuál es la solución más costo-efectiva?
� ¿Qué impacto tendría la solución sobre la productividad?
� ¿Cuanto le cuesta la inseguridad informática a nuestro negocio?
� ¿Qué impacto tiene la falta de seguridad en la productividad?
� ¿Qué impacto tendría una interrupción de seguridad catastrófica?
� ¿Cuál es la solución más costo-efectiva?
� ¿Qué impacto tendría la solución sobre la productividad?
Objetivo PrincipalObjetivo Principal
� Al final de esta sesión estaremos en capacidad de seleccionar el método adecuado para hacer un análisis de retorno de inversión en seguridad informática.
� Al final de esta sesión estaremos en capacidad de seleccionar el método adecuado para hacer un análisis de retorno de inversión en seguridad informática.
¿Como lo vamos a hacer?¿Como lo vamos a hacer?
� Métodos para análisis de Retorno de inversión
� Estándares/Metodologías de Riesgo Seguridad Informática
� Como utilizar los modelos para justificación de inversión en Seguridad Informática
� Caso de estudio
� Métodos para análisis de Retorno de inversión
� Estándares/Metodologías de Riesgo Seguridad Informática
� Como utilizar los modelos para justificación de inversión en Seguridad Informática
� Caso de estudio
CuantificarCosto EventosOcultos (Soft)
CuantificarCosto EventosVisibles (Hard)
Realidad de la Seguridad de la Información
Mas que “eventos de una sola vez”
-Costo soporte proveedores-Costo recuperación del servicio-Costo arreglo de la falla
-Perdida de ingresos por no disponibilidad del servicio-Improductividad de empleados-Impacto en la imagen y percepción del cliente
Métodos para análisis de retorno de inversión
Métodos para análisis de retorno de inversión
� Radio Beneficio/Costo (B/C)
� Valor Presente Neto (NPV)
� Punto de equilibrio (Breakeven, Payback)
� Retorno sobre la inversión (ROI)
� Taza Interna de Retorno (IRR)
� Radio Beneficio/Costo (B/C)
� Valor Presente Neto (NPV)
� Punto de equilibrio (Breakeven, Payback)
� Retorno sobre la inversión (ROI)
� Taza Interna de Retorno (IRR)
CSI/FBI Computer and Crime Survey - 2006
CSI/FBI Computer and Crime Survey - 2006
Radio Beneficio/CostoRadio Beneficio/Costo
� Radio Beneficio/Costo
Beneficio B/CR = _______
Costo
Es una medida de cuanto dinero se obtiene por usar una estrategia de costo determinada.
B/C 1:1 cada dólar gastado – recibe otro“Todo gratis, pague una comida y le devuelven el dinero”B/C 0.5:1 Por cada dólar se retorna 0.50“ Si pago 20 dólares por llenar el tanque de mi carro y me devuelven
10 dólares”B/C 2:1 Por cada dólar invertido se reciben 2“ En proyectos de software pueden obtener radios de hasta 1000:1”
� Radio Beneficio/Costo
Beneficio B/CR = _______
Costo
Es una medida de cuanto dinero se obtiene por usar una estrategia de costo determinada.
B/C 1:1 cada dólar gastado – recibe otro“Todo gratis, pague una comida y le devuelven el dinero”B/C 0.5:1 Por cada dólar se retorna 0.50“ Si pago 20 dólares por llenar el tanque de mi carro y me devuelven
10 dólares”B/C 2:1 Por cada dólar invertido se reciben 2“ En proyectos de software pueden obtener radios de hasta 1000:1”
Valor Presente NetoValor Presente Neto
� VPN – es lo que el dinero valdrá en el futuro menos la inflación.
� VPN – es lo que el dinero valdrá en el futuro menos la inflación.
VPN =Beneficio
(1 + Taza de Inflación)AÑO
$10 de hoy costaran $9.52 en u año, $7.84 el siguientey 6.14 en 10 años, usando una taza de inflación modestade 5%. ¿Imaginemos si mantuviéramos el mismo salario durante 10 años?
Una inversión con B/C de 10:1 y un ROI de 900% teniendoen cuanta el valor de dinero, se convierten en 7.4:1 y ROI de 641%
Punto de equilibrioPunto de equilibrio
� El punto de equilibrio es el valor numérico al cual un beneficio supera o excede el costo. ¿Cuándo retorna la inversión?
� El punto de equilibrio es el valor numérico al cual un beneficio supera o excede el costo. ¿Cuándo retorna la inversión?
BEP = Costo
1 – Productividad antes/ Productividad Desp.
Ejemplo: Un modulo de seguridad de una aplicación requiere 100.000 Horas/hombre para producir 10.000 líneas de código y se tiene un 30% de errores detectados en producción.Si invertimos en aplicar una metodología de seguridad en el ciclo de desarrollo de software. Después de 100 horas de entrenamiento podemos esperar que para producir las mismas 10.000 líneas de código requerimos 10.000 horas /hombre y se genera un 20% menos de errores.
Después de 111 Horas se recupera el costo de implantar la nueva metodología (100 horas capacitación y 11 horas de trabajo - 1/2 día).
Retorno sobre la inversiónRetorno sobre la inversión
� ROI es la cantidad de dinero que se obtiene después de gastar una cantidad de dinero.
� Un ROI de 100% significa que por cada dólar invertido se gana 1 dólar.
� Un ROI de 1000% quiere decir que por cada dólar invertido se obtienen 10.
� ROI es la cantidad de dinero que se obtiene después de gastar una cantidad de dinero.
� Un ROI de 100% significa que por cada dólar invertido se gana 1 dólar.
� Un ROI de 1000% quiere decir que por cada dólar invertido se obtienen 10.
ROI =Beneficio - Costos
Costos* 100%
Tasa Interna de RetornoTasa Interna de Retorno
� La taza de descuento que iguala el valor presente de los flujos positivos de dinero y el costo de la inversión. En otras palabras es la taza de interés a la cual el VPN del proyecto es igual a 0.
� La taza de descuento que iguala el valor presente de los flujos positivos de dinero y el costo de la inversión. En otras palabras es la taza de interés a la cual el VPN del proyecto es igual a 0.
NPV(C, t, IRR) = 0
No hay una formula precisa para llegar a la IRRgeneralmente se hace a través de iteraciones que se aproximen al valor de VPN=0
Estándares/Metodologías de Riesgo y Seguridad InformáticaEstándares/Metodologías de
Riesgo y Seguridad Informática
� AS/NZ 4360 Risk Management
� Octave – CERT Information Security Risk Evaluation
� ISO 17999 – Code of practice for information security management
� ISO 27001 – Information Security Management Systems
� CISSP Common Body of Knowledge
� AS/NZ 4360 Risk Management
� Octave – CERT Information Security Risk Evaluation
� ISO 17999 – Code of practice for information security management
� ISO 27001 – Information Security Management Systems
� CISSP Common Body of Knowledge
AS/NZ 4360AS/NZ 4360
AS/NZ 4360
Ejemplo Matriz de RiesgosEjemplo Matriz de Riesgos
Criticidad
Probabilidad de Ocurrencia
Severidad
+-
-
+
3 6 9
2 46
1 2 3
Ocasional (1) Moderado (2) Frecuente (3)
Moderado (1)
Grave(2)
Crítico (3)
40 Riesgos de Nivel MEDIO
R
R
R
RR
R
R
R R
R
R
R
48 Riesgos de Nivel ALTO
R
R
R
R R
R
R
R
RR
R
R
R R
R
RR
R RR
R
22 Riesgos de Nivel BAJO
R R
R
OCTAVEOCTAVE
“OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation) es una aproximación a evaluación de riesgos de seguridad informática que es completa, sistemática, guiada por contexto y autodirigida. Esta aproximación es un conjunto de criterios que definen los elementos esenciales para evaluación de seguridad información dirigida de activos.”[Alberts 2001a].
“OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation) es una aproximación a evaluación de riesgos de seguridad informática que es completa, sistemática, guiada por contexto y autodirigida. Esta aproximación es un conjunto de criterios que definen los elementos esenciales para evaluación de seguridad información dirigida de activos.”[Alberts 2001a].
OctaveOctave
Ejemplo Perfil de amenazasEjemplo Perfil de amenazas
disclosure
modification
loss/destruction
interruption
accidental
deliberate
deliberate
accidental
outside
inside
networkasset
disclosure
modification
loss/destruction
interruption
disclosure
modification
loss/destruction
interruption
disclosure
modification
loss/destruction
interruption
Activo Acceso Actor Motivo Impacto
ISO 17999:2005ISO 17999:2005
� Política de seguridad � Organización de la información de seguridad � Gestión de Activos� Seguridad de los recursos humanos � Seguridad física y del entorno � Administración de las comunicaciones y operaciones � Control de accesos � Adquisición de sistemas de información, desarrollo y
mantenimiento � Administración de los incidentes de seguridad� Administración de la continuidad de negocio � Cumplimiento (legales, de estándares, técnicas y
auditorías)
� Política de seguridad � Organización de la información de seguridad � Gestión de Activos� Seguridad de los recursos humanos � Seguridad física y del entorno � Administración de las comunicaciones y operaciones � Control de accesos � Adquisición de sistemas de información, desarrollo y
mantenimiento � Administración de los incidentes de seguridad� Administración de la continuidad de negocio � Cumplimiento (legales, de estándares, técnicas y
auditorías)
ISO 27001:2005ISO 27001:2005
� Sistema de Gestión de Seguridad de la Información (ISMS)
� Responsabilidad de la dirección
� Auditoria Interna del ISMS
� Administración de las revisiones del ISMS por la dirección
� Mejoras del ISMS
� Sistema de Gestión de Seguridad de la Información (ISMS)
� Responsabilidad de la dirección
� Auditoria Interna del ISMS
� Administración de las revisiones del ISMS por la dirección
� Mejoras del ISMS
CISSP CBKCISSP CBK
� Access Control Systems and Methodology
� Telecommunications and Network Security
� Security Management Practices
� Applications and Systems Development Security
� Cryptography
� Security Architecture and Models
� Operations Security
� Business Continuity Planning (BCP) and Disaster Recovery Planning (DRP)
� Laws, Investigations and Ethics
� Physical Security
� Access Control Systems and Methodology
� Telecommunications and Network Security
� Security Management Practices
� Applications and Systems Development Security
� Cryptography
� Security Architecture and Models
� Operations Security
� Business Continuity Planning (BCP) and Disaster Recovery Planning (DRP)
� Laws, Investigations and Ethics
� Physical Security
¿Qué pasa si usamos métodos de retorno de inversión y modelos de seguridad de forma integrada?
¿Qué pasa si usamos métodos de retorno de inversión y modelos de seguridad de forma integrada?
Proceso de Gestión de RiesgoProceso de Gestión de Riesgo
� Paso 1. Identificar los activos, valor y sus elementos de riesgo
� Amenazas, frecuencia de eventos, valor de perdida por eventos, incertidumbre, costo-beneficio o análisis ROI
� Paso 2. Realizar identificación de riesgo y cuantificación
1. ¿Qué puede pasar con potencial de perdida o daño? (Amenaza)
2. Si pasa, ¿Qué tan malo puede ser? (Exposición)3. ¿Cada cuanto puede ocurrir ?(frecuencia)
� Paso 3. Realizar actividades de mitigación de riesgos
4. ¿Que puede hacerse para prevenir/evitar el riesgo, mitigarlo, para detectar/notificar?
5. ¿Cuanto puede costar?6. ¿Que tan eficiente es?
� Paso 1. Identificar los activos, valor y sus elementos de riesgo
� Amenazas, frecuencia de eventos, valor de perdida por eventos, incertidumbre, costo-beneficio o análisis ROI
� Paso 2. Realizar identificación de riesgo y cuantificación
1. ¿Qué puede pasar con potencial de perdida o daño? (Amenaza)
2. Si pasa, ¿Qué tan malo puede ser? (Exposición)3. ¿Cada cuanto puede ocurrir ?(frecuencia)
� Paso 3. Realizar actividades de mitigación de riesgos
4. ¿Que puede hacerse para prevenir/evitar el riesgo, mitigarlo, para detectar/notificar?
5. ¿Cuanto puede costar?6. ¿Que tan eficiente es?
Activos y ValorActivos y Valor
� Que activos esta tratando de proteger?� Físicos: Equipos de TI
� Información: BD Clientes
� Confianza, Imagen de la marca
� Vida
� ¿Cuanto valen?� Valor en Libros (Valor Inicial – Depreciación) o Valor de
Reemplazo (cuanto vale en el mercado incluyendo el valor de propiedad intelectual)
� Valor de mantenimiento
� Impacto para el negocio si no esta.
(Ingresos que deja de generar, costo de oportunidad o intangibles, ej. Goodwill).
� Que activos esta tratando de proteger?� Físicos: Equipos de TI
� Información: BD Clientes
� Confianza, Imagen de la marca
� Vida
� ¿Cuanto valen?� Valor en Libros (Valor Inicial – Depreciación) o Valor de
Reemplazo (cuanto vale en el mercado incluyendo el valor de propiedad intelectual)
� Valor de mantenimiento
� Impacto para el negocio si no esta.
(Ingresos que deja de generar, costo de oportunidad o intangibles, ej. Goodwill).
Se puede utilizar la Guia de NIST SP 800-60 “Guide for Mapping Types of Information and Information
Systems to Security Categories”,June 2004
Valoración Activos – Clave ROIValoración Activos – Clave ROI
1. Identificar los activos de información: Los activos pueden ser un recurso, un producto, la infraestructura de computo en red, información protegida por ley, o datos de clientes, empleados. Las perdidas en los principios de confidencialidad, integridad y disponibilidad pueden tener un impacto monetario o ser intangible, como la perdida de reputación.
2. Identificar las amenazas y vulnerabilidades: Cualquier cosa que ocasiones un efecto no deseado. Las amenazas tienen varias formas y tienen efectos variados. Terremotos son amenazas, Demandas son amenazas. Vulnerabilidades son debilidades o la ausencia de controles adecuados.
3. Hacer valoración de activos: Una vez se haya identificado los activos y las vulnerabilidades que los afectan, es importante realizar un proceso de valoración de activos. ¿Para que pasar por un proyecto de aseguramiento para un activo que no tiene alto valor para la compañía? Se puede crear una matriz y valorar los activos con una simple matriz en términos de Alto, Medio y Bajo basado en la definición de cada organización. Para cada activo considere el costo total, inicial y de mantenimiento para el ciclo de vida completo del activo. Determinar el valor del activo en terminos de productividad, Investigación y Desarrollo y criticidad para el modelo de negocio (tangiblee intangible. Responsa la pregunta de cuanto vale el activo en el mercado incluyendo los derechos de propiedad intelectual.
1. Identificar los activos de información: Los activos pueden ser un recurso, un producto, la infraestructura de computo en red, información protegida por ley, o datos de clientes, empleados. Las perdidas en los principios de confidencialidad, integridad y disponibilidad pueden tener un impacto monetario o ser intangible, como la perdida de reputación.
2. Identificar las amenazas y vulnerabilidades: Cualquier cosa que ocasiones un efecto no deseado. Las amenazas tienen varias formas y tienen efectos variados. Terremotos son amenazas, Demandas son amenazas. Vulnerabilidades son debilidades o la ausencia de controles adecuados.
3. Hacer valoración de activos: Una vez se haya identificado los activos y las vulnerabilidades que los afectan, es importante realizar un proceso de valoración de activos. ¿Para que pasar por un proyecto de aseguramiento para un activo que no tiene alto valor para la compañía? Se puede crear una matriz y valorar los activos con una simple matriz en términos de Alto, Medio y Bajo basado en la definición de cada organización. Para cada activo considere el costo total, inicial y de mantenimiento para el ciclo de vida completo del activo. Determinar el valor del activo en terminos de productividad, Investigación y Desarrollo y criticidad para el modelo de negocio (tangiblee intangible. Responsa la pregunta de cuanto vale el activo en el mercado incluyendo los derechos de propiedad intelectual.
ROSI – Modelo SageSecureROSI – Modelo SageSecure
ROSI =
(Risk Exposure*%Risk Mitigated) – Solution Cost
Solution Cost
Ejemplo: Un Antivirus que captura 3 de cada 4 virus (75%). El Antivirus cuesta 25.000 USD y es lo mismo que cuestan las intrusiones al año
ROSI =
(25.000*75%) – 25.000
25.000
= 200%
Tomado de “Return On Security Investment (ROSI): A Practical Quantitative Model”, SageSecure
ALE – Annual Loss ExpectancyALE – Annual Loss Expectancy
Asset Value (AV) = Valor del Activo Single Loss Expectancy (SLE) = Expectativa de perdida x EventoExposure Factor (EF) = Factor de ExposiciónSLE = AV * EFAnnual Rate of Occurrence (ARO) = Taza anual de eventosAnnual Loss Expectancy (ALE) = SLE * ARO
Ejemplo:
Un sitio de comercio electrónico genera 100 Millones al año, el costo de
un evento que interrumpa el servicio por una hora es de 42372 US (SLE)
que se incrementa a media que aumenta la indisponibilidad. El año
anterior sufrió al menos 1 ataque mensual.
ALE = 42372 (SLE) * 12 (ARO) = USD 508.474
Idaho University – ROSI Model
Idaho University – ROSI Model
� T = Costo herramienta (ej. Firewall)
� E = Ahorros de intrusiones prevenidas
� R = Costo anual de recuperarse de las intrusiones
� ROSI = R - (ALE)
� T = Costo herramienta (ej. Firewall)
� E = Ahorros de intrusiones prevenidas
� R = Costo anual de recuperarse de las intrusiones
� ROSI = R - (ALE)
(R – E) + T = ALE
ROSI – Vulnerability Reduction Model
ROSI – Vulnerability Reduction Model
Ejemplo: Anualmente hay al menos 2 robos de portátiles de los 50 empresa. El reemplazo del laptop cuesta 1800 USD. El siguiente año hay 50 laptops en la compañía y cuesta 60 USD el cable de seguridad para cada equipo.. EL siguiente año se van a tener 75 portátiles. La probabilidad de robo se planea que disminuya a 1 por año después de instalado el mecanismo
ROSI = ((1800+IV)*2 – ((1800+IV)*1 +75*60))/(75*60)
IV = Valor de la Información, Ej. IV=0ROSI = -60%
Aquí es cuando se debe tomar decisiones de proteger únicamente los equipos con mayor riesgo e información critica para que la inversión se justifique.
Ejemplo: Anualmente hay al menos 2 robos de portátiles de los 50 empresa. El reemplazo del laptop cuesta 1800 USD. El siguiente año hay 50 laptops en la compañía y cuesta 60 USD el cable de seguridad para cada equipo.. EL siguiente año se van a tener 75 portátiles. La probabilidad de robo se planea que disminuya a 1 por año después de instalado el mecanismo
ROSI = ((1800+IV)*2 – ((1800+IV)*1 +75*60))/(75*60)
IV = Valor de la Información, Ej. IV=0ROSI = -60%
Aquí es cuando se debe tomar decisiones de proteger únicamente los equipos con mayor riesgo e información critica para que la inversión se justifique.
ROSI = (RCbefore – RCafter)/SMcost
¿Y en la practica como lo hacemos?¿Y en la practica como lo hacemos?
Directrices de nivel ejecutivo para seguridad de la información
No-técnicos. Puede o no puede requerir justificación económica
Directrices de nivel ejecutivo para seguridad de la información
No-técnicos. Puede o no puede requerir justificación económica
Iniciativas de la
Compañía
Aumento de ingresos
Reducción de costos
Ventaja competitiva
Disminución de riesgos
Amenazas del valor de la marca
Evolución legislativa
Eventos recientes de
Seguridad
Regulación
Contractuales
Comité Auditoria
Mandatos Junta o CEO
Mejorar el
negocio
Reducir
Riesgo
Cumplimiento
Requerimientos
Esquema para proyectar valor financiero
Retorno Sobre la Inversión
Ahorros enCostos de
HW
Mejoras En Productividad
IncrementarOportunidadDe Ingresos
ReducirPerdida AnualEsperada
Disminuye Variabilidad
� Reducción de Costos
� Obtener los costos suaves (Reducir la Expectativa de Perdida Anual)
� Realizar Ahorros de Costos duros (Eficiencia en estructura de IT)
� Mejora en Productividad
� Incrementar productividad de usuario final (Anti-Spam, Filtrad de contenido)
� Optimizar utilización del persnal de seguridad/TI (Patch Management)
� Incrementar Oportunidad de Ingresos
� Habilitar proyectos que de otra manera serian evitados debido a preocupaciones de seguridad
Ejemplo Caso de Negocio –Protección Perímetro
Protección de Perímetro vs Status Quo
ROI 3 Años VPN TIR Punto de Equilibrio 277% $565,563 94% 11.4 Meses
Entregable Caso de NegocioDos mitades del caso de negocio:
Narrativa Financiera
Entregable Caso de NegocioDos mitades del caso de negocio:
Narrativa Financiera
NARRATIVA� Directivas de nivel ejecutivo� Beneficios subjetivos
� Difíciles de cuantificar� Beneficios alternos
NARRATIVA� Directivas de nivel ejecutivo� Beneficios subjetivos
� Difíciles de cuantificar� Beneficios alternos
FINANCIEROS (VALOR)� Cuantificar cuando sea posible� Reducción de costos
� Ahorros de costos de hardware� Reducir Perdida Anual
Esperada
� Mejoras en productividad� Usuarios finales� Personal de IT/Seguridad
� Incrementar oportunidad de ingresos
FINANCIEROS (INVERSION)� Costos por adelantado
� Productos & Servicios
� Costos recurrentes� Subscripciones &
Mantenimientos
� Costos de desarrollo interno
FINANCIEROS (VALOR)� Cuantificar cuando sea posible� Reducción de costos
� Ahorros de costos de hardware� Reducir Perdida Anual
Esperada
� Mejoras en productividad� Usuarios finales� Personal de IT/Seguridad
� Incrementar oportunidad de ingresos
FINANCIEROS (INVERSION)� Costos por adelantado
� Productos & Servicios
� Costos recurrentes� Subscripciones &
Mantenimientos
� Costos de desarrollo interno
Caso de EstudioCaso de Estudio
� Objetivo Proyecto: Implantar la Norma ISO 27001 en una empresa de las siguientes características:
� Objetivo Proyecto: Implantar la Norma ISO 27001 en una empresa de las siguientes características:
Sector Tipo Sector Financiero
Numero de Empleados Numero Total Empleados 1000
Valor/Hora Empleado Nivel 1,
Nivel 2 y 3 $100, $50, $20 Promedio 56
Numero de PCs Servidores y PCs 1200
Numero de Nodos de Red Incluyendo Equipos Seguridad 200
Numero de Incidentes al año 10
Tiempo Promedio por fuera
despues de un incidente Minutos 240
Utilidades Anuales Dolares $100.000.000,00
Valor de Activos Dolares $1.000.000.000,00
CostosCostos
� Utilizamos los cálculos para un proyecto tipo de certificación basado en datos por tipo de empresa de Computer Economics.
� Utilizamos los cálculos para un proyecto tipo de certificación basado en datos por tipo de empresa de Computer Economics.
$4.298.356,00Total
$2.830.500,00Mantenimiento
$667.000,00Pruebas
$442.656,00Implantación
$36.000,00Auditoria
$26.400,00Preparacion
$160.000,00Productos de seguridad de
red
$81.200,00Productos de seguridad de
computadores
$54.600,00Procesos
Obtención de DatosObtención de Datos
� Tablas actuariales propias (incidentes internos o referencias del sector)
� Fuentes: CSI/FBI Survey, Computer Economics, Encuesta Seguridad Informática ACIS.
� Tablas actuariales propias (incidentes internos o referencias del sector)
� Fuentes: CSI/FBI Survey, Computer Economics, Encuesta Seguridad Informática ACIS.
Tablas Computer EconomicsTablas Computer Economics
$33,564,400$53,726,400$20,162,000$10,788,000$6,590,000$2,784,00050,000
$18,137,059$24,587,059$6,450,000$3,725,000$1,625,000$1,100,00020,000
$10,632,998$14,635,498$4,002,500$2,127,500$1,257,800$617,20010,000
$6,747,713$8,751,113$2,003,400$1,065,900$612,700$324,8005,000
$3,909,077$5,104,377$1,195,300$632,800$354,700$207,8003,000
$2,515,220$3,306,870$791,650$416,650$226,500$148,5002,000
$1,281,353$1,729,568$448,215$207,015$160,000$81,2001,000
$719,820$916,200$196,380$102,630$47,850$45,900500
$415,963$509,363$93,400$46,600$23,500$23,300250
$196,020$233,370$37,350$18,600$8,850$9,900100
$112,240$131,040$18,800$9,400$4,200$5,20050
$56,738$66,138$9,400$4,800$2,100$2,50025
ROI for security spending
Economic impact of malicious attacks
Total projected security costs
Associated personnel costs
Projected costs for network security products
Projected costs for computer security products
Number of nodes in the
organization
Source: Computer Economics, “Annual Cost and ROI for security expenditure in a High intensity e-business enviroment”
Impacto en ProductividadImpacto en Productividad
240 minutesTotal Time
15Application Usage Issues
15Backup / Restoration
15Hacked or stolen system information and data
15Corrupt or inaccessible data
10File System Disorganization
15Permissions based Security Problems (User/Pass)
15Compatibility Issues - Hardware and Software
10Popup Ads
10Spyware, System Trackers
10Trojans, Key logging
10Worms
10Viruses, Virus Scanning
15Insecure and Inefficient Network Topology
10Security patches for OS and applications
10System related rollouts and upgrades from IT
10Enforcement of Security Policies
10Inefficient and ineffective Security Policies
10Bandwidth Efficiency and Throughput
15Email Filtering Sorting and Spam
10Application and System related crashes
Average Downtime
(in minutes)
Problem
Beneficios del ProyectoBeneficios del Proyecto
$1.000.000,00
Proyecto VPN para dar acceso a
clientes corporativos a txt bancarias.$0,00
Ingresos generados por proyecto que no se hacían por temas de
seguridad
$12.000.000,0012% de las utilidades
(12 Millones)$20.000.000,0020% de las utilidades
(20 Millones)Provisiones por siniestros
al año (Regulatorio)
$140.000.000,00
14% del valor de activos (140 Millones)$150.000.000,00
15 % del valor de activos (150 Millones)Costo Seguros por año
$864.784,00
5 Incidentes x Año (130 Minutos por
fuera) -$864.784$1.729.568,00
10 Incidentes x Año (240 Minutos por
fuera, $1'729.568)Costo Incidentes por año
ValorDespues de ISO 27001
ValorDatos Antes de ISO 27001
Flujo de caja e indicadoresFlujo de caja e indicadores
318%TIR
12 MesesBEP
300%ROI
$ 14.154.141,85VPN
$2.964.090,56$1.765.442,92$566.795,28$631.852,36$18.034.264,00$4.298.356,00Beneficio Periodo
$794.590,56$595.942,92$397.295,28$198.647,64$19.864.764,00Incremento/Decremento Opex
$5.000.000,00$4.000.000,00$3.000.000,00$2.000.000,00$1.000.000,00Increment/Decremento Ingresos
$2.830.500,00$2.830.500,00$2.830.500,00$2.830.500,00$2.830.500,00$4.298.356,00Inversion
2010,2009,2008,2007,2006,Inicial
Año 5Año 4Año 3Año 1Año 0Inversion
ConclusionesConclusiones
� La inseguridad cuesta
� Usar calculos para justificar la inversión en seguridad
� Si el costo de seguridad < costo de inseguridad la inversión es justificada
� La inseguridad cuesta
� Usar calculos para justificar la inversión en seguridad
� Si el costo de seguridad < costo de inseguridad la inversión es justificada
BibliografiaBibliografia
[1] Information Security Forum, “Standard of Good Practice,”See: http://www.isfsecuritystandard.com/index_ns.htm[2] ISO 17799[3] NSW Government Office of Information andCommunications Technology, “Information SecurityGuideline,” June 2003. See: http://www.oict.nsw.gov.au/[4] “Security Metrics Guide for Information TechnologySystems Special,” Publication 800-55 US National Instituteof Standards and Technology Computer Security ResearchCentre, 2002. See csrc.nist.gov/publications/nistpubs/800-55/sp800-55.pdf.[5] “The Return on Investment for Information Security” see:http://www.oit.nsw.gov.au/content/7.1.15.ROSI.asp[6] “The Return on Investment for Information Security” See:http://www.cisco.com/en/US/netsol/ns340/ns394/ns171/networking_solutions_audience_business_benefit09186a008010e490.html[7] Calculated Risk Scott Berinato in CSO Magazine, December2002. See www.csoonline.com/read/120902/calculate.html[8] Security Attribute Evaluation Method: A Cost-BenefitApproach Shawn A. Butler, Computer Science Department,Carnegie Mellon University, 2002. Seewww2.cs.cmu.edu/~Compose/ftp/SAEM-(Butler)-ICSE_2002.pdf .
[1] Information Security Forum, “Standard of Good Practice,”See: http://www.isfsecuritystandard.com/index_ns.htm[2] ISO 17799[3] NSW Government Office of Information andCommunications Technology, “Information SecurityGuideline,” June 2003. See: http://www.oict.nsw.gov.au/[4] “Security Metrics Guide for Information TechnologySystems Special,” Publication 800-55 US National Instituteof Standards and Technology Computer Security ResearchCentre, 2002. See csrc.nist.gov/publications/nistpubs/800-55/sp800-55.pdf.[5] “The Return on Investment for Information Security” see:http://www.oit.nsw.gov.au/content/7.1.15.ROSI.asp[6] “The Return on Investment for Information Security” See:http://www.cisco.com/en/US/netsol/ns340/ns394/ns171/networking_solutions_audience_business_benefit09186a008010e490.html[7] Calculated Risk Scott Berinato in CSO Magazine, December2002. See www.csoonline.com/read/120902/calculate.html[8] Security Attribute Evaluation Method: A Cost-BenefitApproach Shawn A. Butler, Computer Science Department,Carnegie Mellon University, 2002. Seewww2.cs.cmu.edu/~Compose/ftp/SAEM-(Butler)-ICSE_2002.pdf .
BibliografiaBibliografia
[9] Cost-Benefit Analysis for Network Intrusion DetectionSystems Huaqiang Wei, Deborah Frinke et al. Centre forSecure and Dependable Software, University of Idaho. InProceedings of the 28th Annual Computer SecurityConference October 2001. Seewwwcsif.cs.ucdavis.edu/~balepin/new_pubs/costbenefit.pdf.[10] A Guide to Security Risk Management for InformationTechnology Systems Published by the Government ofCanada Communications Security Establishment, 1996. Seewww.cse.dnd.ca/en/documents/knowledge_centre/publications/manuals/mg2e.pdf.[11] Executives Need to Know: The Arguments to Include in aBenefits Justification for Increased Cyber Security SpendingTimothy Braithwaite in Information Systems Security,Auerbach Publications, September/October 2001.[12] Seeking Security Scorecards Chris King, Meta Group (File:9377), Dec 2001.[13] Analysis of Return on Investment for Information Security:Steve Foster and Bob Pacl, Getronics.[14] VPN Security and Return on Investment: RSA SolutionWhite Paper[15] Finally, a Real Return on Security Spending CIO Magazine,15 February 2002; seewww.cio.com/archive/021502/security.html.[16] Secure Business Quarterly, Special Issue on Return onSecurity Investment, Quarter 4, 2001. Seewww.sbq.com/sbq/rosi/index.html.
[9] Cost-Benefit Analysis for Network Intrusion DetectionSystems Huaqiang Wei, Deborah Frinke et al. Centre forSecure and Dependable Software, University of Idaho. InProceedings of the 28th Annual Computer SecurityConference October 2001. Seewwwcsif.cs.ucdavis.edu/~balepin/new_pubs/costbenefit.pdf.[10] A Guide to Security Risk Management for InformationTechnology Systems Published by the Government ofCanada Communications Security Establishment, 1996. Seewww.cse.dnd.ca/en/documents/knowledge_centre/publications/manuals/mg2e.pdf.[11] Executives Need to Know: The Arguments to Include in aBenefits Justification for Increased Cyber Security SpendingTimothy Braithwaite in Information Systems Security,Auerbach Publications, September/October 2001.[12] Seeking Security Scorecards Chris King, Meta Group (File:9377), Dec 2001.[13] Analysis of Return on Investment for Information Security:Steve Foster and Bob Pacl, Getronics.[14] VPN Security and Return on Investment: RSA SolutionWhite Paper[15] Finally, a Real Return on Security Spending CIO Magazine,15 February 2002; seewww.cio.com/archive/021502/security.html.[16] Secure Business Quarterly, Special Issue on Return onSecurity Investment, Quarter 4, 2001. Seewww.sbq.com/sbq/rosi/index.html.
BibliografiaBibliografia
[17] ROI of Software Process Improvement, David F. Rico, 2004
[18] CISSP Examination Textbooks, S. Rao Vallabhaneni, 2004
[19] Hack Notes, Network Security, Mike Horton, Clinton Mugge, 2003
[17] ROI of Software Process Improvement, David F. Rico, 2004
[18] CISSP Examination Textbooks, S. Rao Vallabhaneni, 2004
[19] Hack Notes, Network Security, Mike Horton, Clinton Mugge, 2003
GraciasGracias
top related