Primera de tres partes
El Retorno de la Inversión en Seguridad Informática (ROSI, como le diremos para efecto del artículo) es un tema bastante hablado, muy complejo y con muchas formas de verlo. Más aún desde mi punto de vista y experiencia es poco práctico en la actualidad.
En un mundo donde los hackers (crackers), virus de computadoras, malware, ciberterroristas o ciber activistas son términos cotidianos de todos los días, no es de extrañar que la seguridad se haya convertido en prioridad para muchas organizaciones. ¿Pero, cómo es que una organización llega a ser segura? ¿Cuánta seguridad es suficiente? ¿Cómo una organización puede saber si su nivel de seguridad es adecuado? Y lo más importante, ¿cuál es la inversión y tiempo necesario para invertir en seguridad?
Los ejecutivos responsables que toman las decisiones realmente no les interesan si los firewalls, sistemas de detección y prevención de intrusos y los programas de seguridad están activos y dedicados a proteger la red y los servidores de su organización. Preferiblemente, ellos quieren saber a fondo el impacto que la seguridad está teniendo. Para poder saber cuánto deben gastar en seguridad primero necesita saber:
1. ¿Qué tanta es la falta de seguridad (vulnerabilidades) y cuánto le cuesta a la organización?
2. ¿Qué impacto está teniendo la falta de seguridad en la productividad?
3. ¿Qué impacto tendría un incidente catastrófico de seguridad?
4. ¿Cuáles son las soluciones más rentables?
5. ¿Qué impacto tendrán las soluciones en la productividad?
No es el hilo negro ni el descubrimiento del siglo decir que cualquier director de finanzas o presidente ejecutivo antes de gastar dinero en productos, herramientas, dispositivos o en una solución quieren comprobar que la inversión está financieramente justificada. En ese sentido la seguridad no es diferente y tiene que estar alineada a las necesidades de la organización. Lo que necesitan quienes toman las decisiones son métricas de seguridad que muestren cómo los gastos de seguridad impactan realmente a la organización. No hay razón ni justificación en implementar una solución si su costo verdadero es mayor que la exposición del riesgo. Este artículo presentará un modelo para el cálculo del valor financiero de los gastos de seguridad y buscará las técnicas más importante con el fin de obtener los datos necesarios para completar un modelo, pero como pronto iremos viendo (leyendo mejor dicho) aplicar este modelo a la realidad no es complejo, es complejísimo.
Una ganancia en el modelo de inversión para la seguridad
“¿Cuál de estas opciones me dan el mayor valor por mi dinero?”
Esa es la pregunta fundamental que el retorno en la Inversión (ROI) debe estar preparado para responder. El ROI es frecuentemente usado para comparar estrategias alternativas de inversión. Por ejemplo, una compañía puede usar el ROI como factor al momento de decidir si invertir en el desarrollo de una nueva tecnología o ampliar las capacidades de su tecnología existente.
ROI = Ganancias Esperadas – Costo de la Inversión
Costo de la Inversión(1)
Para calcular el ROI, el costo de una compra se compara contra las ganancias previstas sobre la vida del artículo (1). Un ejemplo excesivamente simple: si una nueva facilidad de producción costara $1 millón de dólares y se espera que retorne $5 millones en el curso de tres años, el ROI para el periodo de tres años es 400% (4x es la inversión inicial de las ganancias netas).
Una simple ecuación para calcular el retorno de la Inversión de seguridad (ROSI) es como sigue:
ROSI= (Exposición del Riesgo, % Riesgo mitigado) – Costo de la Solución
Costo de la Solución(2)
Veamos como esta ecuación trabaja en el perfil del ROI de un producto de escáner de virus. La organización Patito S.A. de C.V. ha obtenido infecciones de virus anteriormente. Se estima que el costo promedio en daños y perdida de productividad debidos a una infección de virus es de $25,000 dólares. Actualmente, Patito obtiene cuatro de estas infecciones de virus por año. Patito espera contener por lo menos 3 de las 4 infecciones de virus por año implementando un scanner de virus de $25,000 dólares.
Exposición del riesgo: $25,000, x 4x por año = $100,000 dólares
Riesgo mitigado: 75%
Costo de la solución: $25,000
ROSI= ($100,000 * 75%) – $25,000 = 200%
$25,000(3)
La inversión del antivirus parece valer la pena, pero sólo porque estamos asumiendo que el costo de un desastre es de $25,000 dólares que el scanner contendrá el 75% de los virus y que el verdadero costo del scanner es de $25,000 dólares. En realidad ninguno de estos números es exacto. ¿Qué pasaría si 3 de los 4 virus costaran $5,000 en daños pero uno costara $85,000? ¿El costo promedio de perdida sería aún de $25,000? Una pregunta interesante sería ¿Cuál de esos cuatro virus lograría pasar o vulnerar el escáner de virus? Si es uno de $5,000, el ROSI incrementaría cerca de 300% pero si es el de $85,000 el ROSI se vuelve totalmente negativo.
El jugar con valores significativos para los factores en la ecuación para calcular el ROSI no es una tarea sencilla, al contrario es una tarea realmente compleja. Uno de los problemas más importantes es el de saber realmente el costo de perdida por no contar con sistemas de seguridad. Esto hay que sumarle que no es del todo posible conocer realmente qué porcentaje de riesgo será mitigado al implementar un sistema de seguridad. Y para rematar hay que tomar en cuenta que la mayoría de las organizaciones no lo llevan a cabo, porque simple tendrían que realizar un análisis de riesgos como dios manda y después manejar el riesgo bajo un modelo efectivo de Risk Management. Pero por lo que hoy se hace en muchas organizaciones es un simple análisis de vulnerabilidades, el cual representa una sola etapa del análisis de riesgos.
Al momento de escribir este artículo, no existe un modelo estándar para determinar el riesgo financiero asociado con incidentes de seguridad. Asimismo, no hay métodos estandarizados para determinar el riesgo mitigando la efectividad de las soluciones de seguridad. Incluso los métodos para calcular el costo de las soluciones pueden variar gradualmente. Algunos incluyen solamente hardware, software y costos de servicio, mientras que otros incluyen factores de costos internos, incluyendo overheads indirectos e impactos a largo plazo en la productividad.
Existen técnicas para medir la cantidad de exposición del riesgo, pero los resultados tienden a variar en exactitud. Para la mayoría de los tipos de riesgo la exposición puede encontrarse en la consulta de tablas actuariales, creadas a partir de décadas de demandas y de estadísticas demográficas. Desafortunadamente en nuestro país y en América Latina no existen.
Además, la variabilidad en costos de la exposición puede conducir a resultados engañosos al predecir basándose en datos actuariales, que son bastante complicados de conseguir. En el ejemplo de Patito S.A de C.V. El costo de la exposición es engañoso porque el promedio en el ejemplo eran de $25,000 dólares, el cual no reflejan el hecho de que la mayoría de los incidentes cuestan muy poco mientras que otros cuestan mucho más.
¿Hay algún punto para calcular ROSI si los datos subyacentes son inexactos? Aparentemente sí. Algunas industrias han utilizado con mucho éxito y durante décadas, métricas inexactas de ROI. La industria de la publicidad es el mejor ejemplo. La publicidad se evalúa con base al número de espectadores potenciales, el cual es continuamente extrapolado de los datos de circulación y demográficos. Los compradores de publicidad asumen que el verdadero número de espectadores de publicidad esta directamente correlacionado al numero de espectadores potenciales.
Si el método para determinar el ROSI produce resultados repetitivos y consistentes, ROSI puede funcionar como una herramienta útil para comparar soluciones de seguridad basadas en valores relativos. En ausencia de una exactitud pura, un acercamiento alterno es encontrar medidas consistentes para los factores de ROSI que devuelvan resultados comparables significativos. Esta tarea es mucho más fácil, y rompe la barrera de la exactitud que ROSI ha mantenido en el ámbito by the book.
Cuantificando la exposición del riesgo
Un método simple analítico para calcular la exposición del riesgo es multiplicar el costo proyectado de un incidente de seguridad ( Single Loss Exposure o SLE) con su estimado valor anual de ocurrencia (Annual Rate Occurrency o ARO). La figura resultante es llamada Exposición Anual de Perdida (ALE).
Mientras no existan métodos reales para estimar SLE o ARO, hay tablas actuariales que dan valores estadísticos promedio basados en reportes de daño del “mundo real”. Estas tablas se crean de los datos de demandas de seguros, investigaciones académicas o encuestas independientes.
Exposición del Riesgo= ALE=SLE*ARO
Es muy difícil obtener datos acerca del verdadero costo de un incidente de seguridad (SLE). Esto se debe a que muy pocas organizaciones averiguan con éxito sus incidentes de seguridad (Amén de algunas más que no saben ni si quiera si han sufrido incidentes). Los brechas de seguridad que no tienen un impacto inmediato en una organización día a día, ocurren sin que nadie se de cuenta. Cuando una brecha llega a ser notificada, la organización esta usualmente ocupada arreglando el problema y no está preocupada por saber cuánto le costó reparar ese problema. Después del desastre, el apuro interno y las preocupaciones sobre la perdida de imagen pública, estas brechas son totalmente ignoradas durante todo el incidente. Como resultado de esta “respuesta avestruz” a los incidentes de seguridad, el volumen de datos para las tablas actuariales existentes es totalmente deficiente.
Actualmente, el mejor dato actuarial viene de esfuerzos tales como el estudio del Instituto de Seguridad en Computo (CSI) . A las organizaciones se les pide estimar el costo de incidentes seguros para varias categorías durante el curso del año. Desafortunadamente, los métodos usados para calcular estos costos varían de organización en organización. Por ejemplo, una organización puede valuar una notebook robada sobre su costo de reemplazo. Otra puede valorarla conforme a la perdida de productividad y el tiempo de soporte de IT. Y otra más puede factorizar en los costos basados en el valor de la información contenida en la notebook. Como resultado, algunos negocios pueden valuar el robo de una notebook en cerca o por debajo de los $3000 dólares y otros tan alto como $100,000 dólares o incluso superior. El número final tiende a esta más influenciado por los factores de negocio (cuánto reembolsará el seguro, las implicaciones sobre impuestos, etcétera) que por la realidad financiera para la organización. Lamentablemente en nuestro país no existen este tipo de estudios y siempre tenemos que tomar en cuenta estos resultados de análisis internacionales, que la mayoría de las veces no son aplicables para nosotros.
Para el propósito del ROSI, la exactitud del costo del incidente no es tan importante como una metodología consistente para calcular y reportar el costo, como se discutió anteriormente. Sería bastante complejo lograr que las compañías estuvieran de acuerdo sobre una técnica estándar para tabular el costo interno de un incidente de seguridad. Además el foco debe estar en los factores de costo que son medibles independientemente y correlacionados directamente a la criticidad del incidente de seguridad.
Un costo significativamente potencial es la pérdida de información sensitiva. En las organizaciones valuadas por su información sensitiva y propiedad intelectual, una violación de la seguridad (resultado del robo de información sensitiva) puede crear una pérdida significativa para la organización aún sin impactar la productividad.
En este caso, el costo de un incidente de seguridad es el valor estimado de la información sensitiva y de la propiedad intelectual que está en riesgo. Para ello se utilizan estándares contables y modelos de valuación de la información los cuales son extremadamente complejos y no prácticos, aunado a que esto realmente no es utilizado por las organizaciones.
Otro costo significativo es la pérdida de la productividad asociada con un incidente de seguridad. Para muchas organizaciones el costo de la pérdida de productividad es mucho más grande que el costo de recuperación de datos o reparación del sistema. La seguridad puede estar directamente alineada a la salud financiera de una organización por medio de la inclusión de la puerto de un servidor a las 3:00 AM ido incidentes)a o) aplicar este modelo a la de finanzas o presidente ejecutivo apertura. Esérdida de productividad en el costo de un incidente de seguridad o un desastre. Esta inclusión forzará automáticamente a que los proyectos de seguridad mejoren la eficiencia de la organización y se eliminen aquellos que son justificados por miedo o terror.
La perdida de productividad puede tener un alto impacto económico en la organización. Tan solo 10 minutos de tiempo muerto por día, por empleado, puede agregar una cantidad significativa de pérdida, tal como se muestra en la tabla 1:
Tabla 1: Perdida de Productividad
| Número de empleados afectados | 1,000 |
| Horas al año, por tiempo muerto ocasionado por incidentes de seguridad | 40 horas |
| Impacto por hora por salario promedio | $90 dólares |
| Impacto anual en pérdida de productividad | $3,600,000 dólares |
Si una organización usa la perdida de productividad, el valor de la información sensitiva o la combinación de ambas como una medida de exposición al riesgo depende de la naturaleza de la organización y de cual sea su preocupación mayor: robo, divulgación, modificación o disponibilidad de los datos o una combinación de ellos.
Especialistas en seguridad pueden utilizar técnicas para valuar la información aun con la complejidad y dificultad para llevarlas a cabo, pero una pregunta interesante es: ¿cómo se puede medir la perdida de productividad? Internamente algunas organizaciones miden la productividad usando una combinación de pérdidas y ganancias financieras y la evaluación del performance. El problema con este enfoque es que resulta imposible aislar el impacto de la seguridad de otros factores en la productividad (tales como un rendimiento bajo). Las técnicas para medir el tiempo muerto tampoco son adecuadas desde el punto de vista de que sólo previenen a alguien para que haga su trabajo.
Una hora de tiempo muerto de un servidor a las 3:00 AM usualmente no tiene un impacto significativo en la productividad. Es mucho mas importante medir la percepción de un usuario final con respecto a tiempos muertos que impacten directamente su productividad. Una medida para conocer la percepción del empleado en relación al tiempo muerto se puede lograr con un estudio. Si el estudio es diseñado correctamente habrá una fuerte correlación entre el resultado del estudio y la evaluación financiera. Específicamente, si un departamento muestra una disminución en la percepción de tiempo muerto, deberá mostrar también un incremento en la productividad del departamento.
Un buen estudio hará preguntas donde las respuestas impliquen un valor cuantitativo. Por ejemplo, una pregunta sería “¿Cuánto spam recibe al día?” El empleado tendrá que responder entre cuatro respuestas: menos de 10, 10-30, 30-50 o más de 50. Los minutos promedio de tiempo muerto pueden estar asociados con cada respuesta. Por ejemplo, lidiar con 30-50 mensajes spam por día puede causar hasta 10 minutos de tiempo muerto, especialmente si el usuario desconoce la diferencia entre spam y correos deseados.
La clave para conseguir resultados consistentes de un estudio que mide la percepción del usuario es asegurarse de que las preguntas cuantitativas sean claras y que se puedan contestar sin pensar mucho. Por ejemplo, una mala pregunta sería “Estime la cantidad de tiempo muerto que tuvo este mes”. Lo cierto es que pocas personas podrían responder esto sin llevar un registro de las veces que les ha sucedido. En cambio una mejor pregunta es “¿Qué tan frecuente su servidor de archivos no esta disponible por más de 10 minutos? (diariamente, semanalmente, mensualmente, raramente )”. Una persona que experimenta problemas con el servidor de archivos semanalmente, es muy poco probable que responda “diariamente” a menos de que el problema sea extremadamente frecuente.
Una vez que las respuestas son evaluadas, los resultados serán un indicador del tiempo muerto que ocurre mensualmente. Esto se puede convertir a una cantidad en pesos de pérdida de productividad usando los salarios como cuotas por hora. Por ejemplo, si el salario promedio de un departamento es de $90 dólares por hora y el promedio de tiempo muerto es de 30 horas por mes, entonces la compañía esta perdiendo $2,700 dólares en tiempo de no productividad por empleado, debido a los incidentes de seguridad relacionados.
Una valoración del tiempo muerto puede proporcionar un análisis post-mortem de la pérdida de productividad durante un segundo incidente. El monto de la pérdida puede ser usado al calcular el ROI de las soluciones de seguridad para prevenir problemas similares en un futuro.
El problema es que en la vida real tendría que existir un estudio combinando de este tipo de análisis, en una tabla estadística asociando la pérdida de productividad con incidentes particulares de seguridad. Esto significa, que si un incidente en particular ya ha sucedido dentro de una organización no se pueda contar con estadísticas disponibles para estimar la pérdida.
Es posible usar la valoración del tiempo muerto para estimar la pérdida de productividad asociada con un incidente que aún no ha ocurrido. Si una organización quisiera predecir el impacto de un virus, podría realizar una valoración de tiempo muerto para contar con medidas generales de productividad. Por lo que se podría tomar los resultados de la valoración y variar las respuestas de preguntas realizadas con pérdida de datos, no disponibilidad de la red etcétera. El resultado podría ser un rango potencial de pérdida de productividad, la cual podría ser usada para calcular el ROI máximo y mínimo para una solución preventiva de un brote de virus. Una herramienta útil para este tipo de análisis es el Monte Carlo simulation, que automatiza el proceso de variar un número de factores en el mismo tiempo y devuelve un rango de resultados potenciales.
Otra aplicación útil de una valoración de tiempo muerto es el examinar el impacto general de la seguridad en la productividad de la organización. De menor importancia pero cada día las violaciones de seguridad y fallas de tecnología pueden causar significantes pérdidas de productividad cuando hay cierto overtime. La tabla 2 muestra un pequeño número de factores que pueden hacer perder minutos de un lado y de otro. Una organización promedio generalmente tendrá por lo menos cinco de estos problemas que significarán por lo menos una hora de tiempo muerto por día.
El ROSI toma un nuevo significado si cada día de pérdida de productividad es usado como la figura de exposición del riesgo. La implicación es que una organización con un nivel de riesgo aceptable es decir con el nivel de seguridad que requiere tendrá menos violaciones de seguridad y menos fallas tecnológicas, por lo tanto tendrá menos pérdida de productividad. El riesgo que se correrá con este enfoque de pérdida de productividad como exposición al riesgo es que las violaciones severas serán ignoradas. Esto evade completamente el problema del cálculo de ROSI, para un evento que probablemente no ocurra o que pueda ocurrir, al enfocarse en problemas que ocurren constantemente. Si una solución de seguridad puede mejorarse por completo mientras se eliminen algunos de estos problemas se tendrá un ROSI positivo, aún si es que no se calculó para un incidente serio o mayor.
| Tabla 2: Causas Diarias Potenciales de Pérdida de Productividad | |
| Problema | Tiempo muerto promedio en minutos |
| Caídas del sistema y aplicaciones | 10 |
| Filtrado de contenido | 15 |
| Ancho de banda y rendimiento | 10 |
| Políticas de seguridad inadecuadas | 10 |
| Cumplimiento de políticas de seguridad | 10 |
| Implantación y upgrades de sistemas de IT | 10 |
| Parches de seguridad para sistemas operativos y aplicaciones | 10 |
| Topologías de red inadecuadas | 15 |
| Virus, scanner de virus | 10 |
| Gusanos | 10 |
| Trojanos, key logging | 10 |
| Spyware | 10 |
| Popup Ads | 10 |
| Problemas de compatibilidad – hardware y software | 15 |
| Permisos basados en problemas de seguridad | 15 |
| (usuarios/passwords) | 15 |
| Desorganización del sistema de archivos | 10 |
| Datos corruptos | 15 |
| Robo de datos o penetración de sistemas | 15 |
| Respaldos, Recuperación | 15 |
| Problemas de aplicaciones de usuario final | 15 |
| Tiempo total | 240 minutos |
Continuará.
Nota tomada de b:secure
http://www.bsecure.com.mx/featured/adrianpalma/
Adrián Palma es licenciado en Informática cuenta con mas de 23 años de experiencia en TI y Seguridad Informática, tiene las certificaciones CISSP,CISA,CISM,CRISC,BSA, conferencista a nivel internacional y catedrático del diplomado de Seguridad en el ITESM,