Trabajo de Grado
Carrera: Ingeniería en Sistemas
Instituto Universitario Aeronáutico
Proyecto: Estimación del Retorno de la Inversión en Seguridad Informática
Año: 2010
Asesor: Ing. Casanovas, Eduardo
Equipo de Proyecto
Alumno E-mail
Mage, Mariel Magali [email protected]
Crivellini, Gonzalo [email protected]
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
2
FECHA: ...../..../........
FACULTAD: ...........................
DEPARTAMENTO: .......................
PRESENTACIÓN DEL INFORME FINAL DEL TRABAJO FINAL DE GRADO
Sr. Director Departamento
De mi consideración:
Habiendo finalizado la confección del Informe Final de mi TFG, me dirijo a Ud. a fin de
solicitar la evaluación del mismo, de acuerdo al Art. 10.2 del “REGLAMENTO GENERAL
DE TRABAJO FINAL DE GRADO O TRABAJO FINAL DE PREGRADO”.
Córdoba, ...../....../........
Firma del Alumno: .......................
Visto Bueno:
Firma del Tutor: ........................
APÉNDICE VII
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
3
Declaración de derechos de autor
Esta obra es propiedad intelectual de los autores, y los derechos de publicación han sido
transferidos al Instituto Universitario Aeronáutico. Se prohíbe su reproducción total o parcial,
por cualquier medio sin permiso, por escrito a los autores originales del mismo.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
4
Agradecimientos
Agradecemos a nuestras familias que nos apoyaron, que fueron nuestro soporte y nos
brindaron su colaboración desinteresada; alentándonos en cada paso.
También queremos agradecer a los profesores, que con mucha dedicación nos acompañaron
estos años, guiándonos y preparándonos para esta profesión, la que elegimos y disfrutamos.
Y a todos nuestros amigos que estuvieron siempre a nuestro lado.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
5
Resumen o Abstracto
En el presente documento se describe una estimación del retorno de la inversión de la
seguridad, aplicable en cualquier organización.
Se investigó las ofertas del mercado de fórmulas que pudieran dar solución al problema
planteado, teniendo en cuenta que todas las fórmulas existentes pertenecen a empresas
privadas y tienen un costo alto.
Se hicieron pruebas de la metodología planteada sobre una empresa (caso de estudio), que ha
permitido detectar errores y mejorar la fórmula, y ha brindado la posibilidad de demostrar la
hipótesis planteada.
Por último se analizó si la solución presentada, tiene la utilización prevista por los tesistas.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
6
Índice
APÉNDICE VII ....................................................................................................................... 2
Declaración de derechos de autor .......................................................................................... 3
Agradecimientos ...................................................................................................................... 4
Resumen o Abstracto .............................................................................................................. 5
Índice ........................................................................................................................................ 6
Índice de Tablas ...................................................................................................................... 7
Índice de Figuras ..................................................................................................................... 9
1. INTRODUCCION .................................................................................................... 10
1.1 Antecedentes ............................................................................................................... 10
1.2 Situación Problemática ............................................................................................... 11
1.3 Problema ..................................................................................................................... 12
1.4 Objeto de estudio ........................................................................................................ 13
1.5 Campo de acción ......................................................................................................... 14
1.6 Objetivos ..................................................................................................................... 14
1.7 Idea a defender/Propuesta a justificar/Solución a comprobar..................................... 15
1.8 Delimitaciones del proyecto ....................................................................................... 15
1.9 Aporte Teórico ............................................................................................................ 15
1.10 Aporte Práctico ........................................................................................................... 16
1.11 Factibilidad ................................................................................................................. 17
1.12 Métodos y Medios de Investigación ........................................................................... 17
2. PRIMERA PARTE: MARCO CONTEXTUAL .................................................... 19
2.1 Entorno del objeto de estudio ..................................................................................... 19
2.2 Relación tesista y objeto de estudio ............................................................................ 23
2.3 Análisis de los problemas observados ........................................................................ 24
2.4 Antecedentes de Proyectos similares .......................................................................... 29
3. SEGUNDA PARTE: MARCO TEORICO ............................................................. 38
3.1 Marco Teórico del campo de acción ........................................................................... 38
3.2 Diagnóstico ................................................................................................................. 65
4. TERCERA PARTE: MODELO TEORICO .......................................................... 70
4.1 Descripción del Modelo .............................................................................................. 72
4.2 Introducción a la Guía Metodológica ......................................................................... 76
4.3 Ejemplo a desarrollar .................................................................................................. 77
4.4 Guía metodológica para la estimación del ROSI ........................................................ 79
5. CUARTA PARTE: CONCRECION DEL MODELO ........................................ 108
5.1 Aplicación de la Guía Metodológica a un Caso de Estudio...................................... 108
5.2 Resultados de la aplicación de la Guía Metodológica .............................................. 109
5.3 Análisis de Resultados .............................................................................................. 148
6. CONCLUSIONES................................................................................................... 161
7. GLOSARIO DE TERMINOS ................................................................................ 162
8. REFERENCIA BIBLIOGRAFICA ...................................................................... 163
9. ANEXO A ................................................................................................................ 166
10. ANEXO B ................................................................................................................ 170
11. ANEXO C ................................................................................................................ 171
12. ANEXO D ................................................................................................................ 184
13. ANEXO E ................................................................................................................ 188
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
7
Índice de Tablas
TABLA 3-1 EJEMPLO NIST 800-30 ..................................................................................................................... 56 TABLA 4-1 MODELO – ESTIMACIÓN AÑO 1, IMPACTO MENOR QUE LA INVERSIÓN INICIAL .............................. 74 TABLA 4-2 MODELO – ESTIMACIÓN AÑO 1, IMPACTO MAYOR QUE LA INVERSIÓN INICIAL .............................. 75 TABLA 4-3 MODELO - ESTIMACIÓN AÑO 2 ....................................................................................................... 76 TABLA 4-4 EJEMPLO - TABLA DE RIESGOS IDENTIFICADOS ................................................................................ 86 TABLA 4-5 EJEMPLO - FAO ................................................................................................................................ 87 TABLA 4-6 EJEMPLO – FAO R1 .......................................................................................................................... 88 TABLA 4-7 EJEMPLO – FAO R2 .......................................................................................................................... 88 TABLA 4-8 EJEMPLO – FAO R3 .......................................................................................................................... 88 TABLA 4-9 EJEMPLO – FAO R4 .......................................................................................................................... 89 TABLA 4-10 EJEMPLO – CRITICIDAD FAO .......................................................................................................... 89 TABLA 4-11 NIVEL CRITICIDAD CI ...................................................................................................................... 91 TABLA 4-12 EJEMPLO –CI R1 ............................................................................................................................ 91 TABLA 4-13 EJEMPLO –CI R2 ............................................................................................................................ 92 TABLA 4-14 EJEMPLO –CI R3 ............................................................................................................................ 92 TABLA 4-15 EJEMPLO –CI R4 ............................................................................................................................ 93 TABLA 4-16 EJEMPLO –RANGO CI ..................................................................................................................... 93 TABLA 4-17 EJEMPLO – CRITICIDAD CI .............................................................................................................. 93 TABLA 4-18 EJEMPLO – CRITICIDAD FAO Y CRITICIDAD CI ................................................................................. 94 TABLA 4-19 RELACIÓN CRITICIDAD FAO - CI ...................................................................................................... 94 TABLA 4-20 CRITICIDAD DE RIESGO .................................................................................................................. 95 TABLA 4-21 EJEMPLO - CRITICIDAD DE RIESGO ................................................................................................. 95 TABLA 4-22 VALOR RAI ..................................................................................................................................... 95 TABLA 4-23 EJEMPLO - RAI ............................................................................................................................... 96 TABLA 4-24 EJEMPLO – RECOMENDACIÓN CONTROL R1 .................................................................................. 97 TABLA 4-25 EJEMPLO – RECOMENDACIÓN CONTROL R2 .................................................................................. 97 TABLA 4-26 ESTIMACIÓN PRIMER AÑO .......................................................................................................... 100 TABLA 4-27 EJEMPLO- ESTIMACIÓN AÑO 1 R2 ............................................................................................... 101 TABLA 4-28 EJEMPLO- ESTIMACIÓN AÑO 1 R1 ............................................................................................... 101 TABLA 4-29 ESTIMACIÓN PARA EL AÑO 2 EN ADELANTE ............................................................................... 102 TABLA 4-30 EJEMPLO - ESTIMACIÓN AÑO 2 R2 .............................................................................................. 103 TABLA 4-31 ESTIMACIÓN EN EL AÑO 0, CONDICIONES IDEALES ..................................................................... 106 TABLA 4-32 EJEMPLO – ESTIMACIÓN EN EL AÑO 0, CONDICIONES IDEALES ................................................... 107 TABLA 5-1 CASO DE ESTUDIO – TABLA DE RIESGOS IDENTIFICADOS ............................................................... 128 TABLA 5-2 CASO DE ESTUDIO – FRECUENCIA ANUAL DE OCURRENCIAS ......................................................... 129 TABLA 5-3 CASO DE ESTUDIO – RANGO FAO R1 ............................................................................................. 130 TABLA 5-4 CASO DE ESTUDIO – RANGO FAO R2 ............................................................................................. 130 TABLA 5-5 CASO DE ESTUDIO – RANGO FAO R3 ............................................................................................. 131 TABLA 5-6 CASO DE ESTUDIO – RANGO FAO R4 ............................................................................................. 131 TABLA 5-7 CASO DE ESTUDIO – RANGO FAO R5 ............................................................................................. 131 TABLA 5-8 CASO DE ESTUDIO – RANGO FAO R6 ............................................................................................. 131 TABLA 5-9 CASO DE ESTUDIO – RANGO FAO R7 ............................................................................................. 132 TABLA 5-10 CASO DE ESTUDIO – RANGO FAO R8 ........................................................................................... 132 TABLA 5-11 CASO DE ESTUDIO – RANGO FAO R9 ........................................................................................... 132 TABLA 5-12 CASO DE ESTUDIO – RANGO FAO R10 ......................................................................................... 132 TABLA 5-13 CASO DE ESTUDIO – RANGO FAO R11 ......................................................................................... 132 TABLA 5-14 CASO DE ESTUDIO – RANGO FAO R12 ......................................................................................... 133 TABLA 5-15 CASO DE ESTUDIO – RANGO FAO R13 ......................................................................................... 133 TABLA 5-16 CASO DE ESTUDIO – CRITICIDAD FAO .......................................................................................... 133
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
8
TABLA 5-17 CASO DE ESTUDIO – CI R1............................................................................................................ 134 TABLA 5-18 CASO DE ESTUDIO – CI R2............................................................................................................ 134 TABLA 5-19 CASO DE ESTUDIO – CI R3............................................................................................................ 135 TABLA 5-20 CASO DE ESTUDIO – CI R4............................................................................................................ 135 TABLA 5-21 CASO DE ESTUDIO – CI R5............................................................................................................ 135 TABLA 5-22 CASO DE ESTUDIO – CI R6............................................................................................................ 136 TABLA 5-23 CASO DE ESTUDIO – CI R7............................................................................................................ 136 TABLA 5-24 CASO DE ESTUDIO – CI R8............................................................................................................ 136 TABLA 5-25 CASO DE ESTUDIO – CI R9............................................................................................................ 136 TABLA 5-26 CASO DE ESTUDIO – CI R10 .......................................................................................................... 137 TABLA 5-27 CASO DE ESTUDIO – CI R11 .......................................................................................................... 137 TABLA 5-28 CASO DE ESTUDIO – CI R12 .......................................................................................................... 137 TABLA 5-29 CASO DE ESTUDIO – CI R13 .......................................................................................................... 138 TABLA 5-30 CASO DE ESTUDIO – RANGO CI .................................................................................................... 138 TABLA 5-31 CASO DE ESTUDIO – CRITICIDAD CI .............................................................................................. 138 TABLA 5-32 CASO DE ESTUDIO – CRITICIDAD FAO Y CRITICIDAD CI ................................................................. 139 TABLA 5-33 CASO DE ESTUDIO – CRITICIDAD DE CADA RIESGO ...................................................................... 139 TABLA 5-34 CASO DE ESTUDIO – RAI DE CADA RIESGO ................................................................................... 140 TABLA 5-35 CASO DE ESTUDIO – RECOMENDACIONES DE CONTROL .............................................................. 141 TABLA 5-36 CASO DE ESTUDIO – ESTIMACIÓN AÑO 1 R1................................................................................ 142 TABLA 5-37 CASO DE ESTUDIO – ESTIMACIÓN AÑO 1 R2................................................................................ 143 TABLA 5-38 CASO DE ESTUDIO – ESTIMACIÓN AÑO 1 R3................................................................................ 143 TABLA 5-39 CASO DE ESTUDIO – ESTIMACIÓN AÑO 1 R4................................................................................ 143 TABLA 5-40 CASO DE ESTUDIO – ESTIMACIÓN AÑO 1 R5................................................................................ 143 TABLA 5-41 CASO DE ESTUDIO – ESTIMACIÓN AÑO 1 R7................................................................................ 143 TABLA 5-42 CASO DE ESTUDIO – ESTIMACIÓN AÑO 1 R8................................................................................ 144 TABLA 5-43 CASO DE ESTUDIO – ESTIMACIÓN AÑO 1 R9................................................................................ 144 TABLA 5-44 CASO DE ESTUDIO – ESTIMACIÓN AÑO 1 R10 .............................................................................. 144 TABLA 5-45 CASO DE ESTUDIO – ESTIMACIÓN AÑO 1 R11 .............................................................................. 144 TABLA 5-46 CASO DE ESTUDIO – ESTIMACIÓN AÑO 0 R1................................................................................ 145 TABLA 5-47 CASO DE ESTUDIO – ESTIMACIÓN AÑO 0 R2................................................................................ 146 TABLA 5-48 CASO DE ESTUDIO – ESTIMACIÓN AÑO 0 R3................................................................................ 146 TABLA 5-49 CASO DE ESTUDIO – ESTIMACIÓN AÑO 0 R4................................................................................ 146 TABLA 5-50 CASO DE ESTUDIO – ESTIMACIÓN AÑO 0 R5................................................................................ 146 TABLA 5-51 CASO DE ESTUDIO – ESTIMACIÓN AÑO 0 R7................................................................................ 147 TABLA 5-52 CASO DE ESTUDIO – ESTIMACIÓN AÑO 0 R8................................................................................ 147 TABLA 5-53 CASO DE ESTUDIO – ESTIMACIÓN AÑO 0 R9................................................................................ 147 TABLA 5-54 CASO DE ESTUDIO – ESTIMACIÓN AÑO 0 R10 .............................................................................. 147 TABLA 5-55 CASO DE ESTUDIO – ESTIMACIÓN AÑO 0 R11 .............................................................................. 148 TABLA 5-56 RESUMEN DE RESULTADOS CASO DE ESTUDIO ............................................................................ 156 TABLA 5-57 RECOMENDACIONES DE CONTROL PARA RIESGOS NO TRATADOS .............................................. 156
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
9
Índice de Figuras
ILUSTRACIÓN 1 PORCENTAJE DE CAUSAS DE PÉRDIDA DE INFORMACIÓN 21 ILUSTRACIÓN 2 BENEFICIOS DE ISO 27001 32 ILUSTRACIÓN 3 RESUMEN DE RESULTADOS 33 ILUSTRACIÓN 4 COMPONENTES DE ANÁLISIS Y VALORACIÓN DE RIESGOS 53 ILUSTRACIÓN 5 DIAGRAMA ANÁLISIS DE RIESGOS 57 ILUSTRACIÓN 6 MODELO PROPUESTO 71 ILUSTRACIÓN 7 EJEMPLO - ARQUITECTURA DE RED 78 ILUSTRACIÓN 8 IDENTIFICACIÓN DE RIESGOS 80 ILUSTRACIÓN 9 ESTIMACIÓN DE ROSI POR AÑOS 99 ILUSTRACIÓN 10 ESTIMACIÓN DE ROSI EN CONDICIONES IDEALES 105 ILUSTRACIÓN 11 ESTRUCTURA ORGANIZACIONAL 110 ILUSTRACIÓN 12 CASO DE ESTUDIO - DIAGRAMA DE RED 112 ILUSTRACIÓN 13 CASO DE ESTUDIO - DIAGRAMA DE SEGURIDAD 120
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
10
1. INTRODUCCION
1.1 Antecedentes
En la actualidad existe un entorno cambiante de la seguridad de la información, donde
cada día surgen nuevas amenazas, se publican decenas de vulnerabilidades y se construyen
innovadoras soluciones tecnológicas; implementar un nivel de seguridad acorde a las
necesidades de una organización se convierte en una tarea, cuando menos, compleja. Si
dejamos que la estrategia de seguridad sea dirigida por las necesidades tecnológicas,
corremos el riesgo de perder de vista el verdadero objetivo, y a menudo nos encontramos
inmersos en una frenética carrera entre amenazas y contramedidas que se aleja cada vez más
de la realidad empresarial.
Si preguntamos a diez directivos de una organización, cuáles son las necesidades de la
empresa respecto a la seguridad, probablemente obtengamos respuestas diferentes.
Cualquier estrategia de gestión de la seguridad por la que se opte requiere una
inversión económica o humana y, al igual que cualquier otra, la inversión en seguridad debe
ser rentable.
La inversión en seguridad debe de servir para que la organización obtenga un
beneficio, al menos, superior al costo. El problema, muchas veces, radica en la dificultad de
medir el costo y, sobre todo, el beneficio obtenido.
La complejidad del asunto queda claramente reflejada cuando se plantea el ejemplo
de un extintor de incendios: ¿es rentable un extintor?, ¿cómo evaluar la rentabilidad de algo
que raramente se usa?, ¿cómo evaluar la rentabilidad de un componente que nunca se debería
utilizar si todo está bien planificado?
Es necesario deshacerse de la visión tan habitual: “si no hubo un incendio el año
pasado, entonces no fue rentable el extintor”. Se debe entrar de lleno en el incierto mundo de
la probabilidad y la gestión de riesgos, en el cual, las amenazas no se eliminan, se mitigan.
Invertir bien en seguridad significa conseguir el mayor beneficio posible dentro de la
ecuación formada por el impacto (o costo) de los incidentes, amenazas existentes,
probabilidades de materialización de las amenazas, contramedidas de seguridad y coste de las
mismas.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
11
Hay que seleccionar los indicadores económicos que queremos evaluar, buscar el
método de análisis de riesgos que más se ajuste a nuestras necesidades y adaptar ambos a la
organización.
No existe un método falible, pero un buen punto de partida es comenzar por el
famoso retorno de la inversión (ROI), que se define como la diferencia entre el ahorro y el
coste de la inversión. Si se traslada a la seguridad, el retorno de la inversión en seguridad
(ROSI) sería el ahorro en incidentes de seguridad menos el costo de las contramedidas.
El objetivo es obtener el mayor ROSI posible, aumentar la inversión o disminuirla no
son las únicas decisiones factibles: en ocasiones se puede conseguir un incremento
significativo simplemente reubicando la inversión, desinvirtiendo en los aspectos de menor
rentabilidad para mejorar en puntos donde el retorno es superior.
El objetivo no es la precisión, sino la obtención de una serie de parámetros y medidas
para que los responsables de seguridad y de negocio puedan tomar buenas decisiones.
No sólo consiste en acertar en los nuevos proyectos y adquisiciones, hay que
optimizar los recursos existentes.
Sin olvidar los escenarios de reducción de gastos, que deben ser tan cuidadosamente
examinados como los de nueva inversión.
Por tanto, evaluar la inversión de seguridad está claramente ligado a la gestión y
estrategia de seguridad. Poner el discurso de seguridad en términos de coste/beneficio facilita
la comunicación con el resto de áreas y desmitifica la función de seguridad, reduciendo el
problema al tipo de decisiones que la Dirección toma cada día.
1.2 Situación Problemática
Los tres recursos económicos fundamentales para una organización son:
La tierra
El capital
El trabajo
Se dice que el cuarto lugar es:
La Información
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
12
Ocupa el cuarto lugar debido a que se ha convertido en un recurso estratégico crítico,
dada su demostrada importancia económica.
Por eso es muy importante mantener seguridad en la información organizacional.
Hoy en día, muchas empresas en el mundo son amenazadas constantemente y deben
prevenir las vulnerabilidades en los sistemas de información, deben defenderse de los
posibles ataques y resguardar la integridad de su información.
Frente a ello las empresas, tienen la necesidad de establecer formas para justificar los
beneficios que se pueden obtener implementando un proyecto de seguridad de la
información, lo cual implica inversiones.
Como sabemos, por lo estudiado en distintas materias, existen diversas formas que
permiten calcular el Retorno de la Inversión (ROI), que es un valor que relaciona la inversión
en un proyecto con los beneficios económicos que este traerá. Es utilizado en las empresas
para evaluar la viabilidad de una inversión.
Es posible hacer una medición del retorno de inversión en seguridad (ROSI),
analizando los beneficios económicos relacionados a dichas inversiones. Se puede llevar a
cabo analizando los incidentes que dicha medida de seguridad prevendrá o evitará, y cuál es
el impacto económico que se evita.
Cada vez que ocurre un incidente de seguridad (una infección de malware, un daño en
una base de datos, un intruso), la empresa pierde dinero; y al cuantificar este dinero es
posible analizar la viabilidad económica de dicha inversión.
Mientras que el ROI evalúa cuánto dinero se ganará por realizar una inversión, el
ROSI evalúa cuánto dinero se dejará de perder.
Si bien existen diversas fórmulas para calcular el ROSI, no existe una metodología
bien definida, y los estándares o métodos utilizados generalmente son de uso privado y se
necesita pagar por ellos para obtenerlos.
1.3 Problema
Considerando la importancia de la seguridad de la información de la organización y la
inversión que genera la misma, no existe una metodología bien definida para calcular ROSI,
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
13
y los estándares o métodos utilizados, generalmente, son de uso privado y se necesita pagar
por ellos para obtenerlos.
1.4 Objeto de estudio
El objeto de estudio contempla diseñar una metodología que permita guiar a las
organizaciones en el cálculo del retorno a la inversión en seguridad informática (ROSI); que
pueda ser accesible y aplicable a cualquier empresa. Teniendo en cuenta la importancia del
resguardo de la información en cuanto a beneficios y la inversión necesaria para llevar a cabo
un proyecto de seguridad.
ROSI puede resultar de gran utilidad como herramienta para que el responsable de
seguridad pueda justificar un proyecto y para que el área de finanzas o administración de una
empresa pueda analizar dicho proyecto.
También puede ser tomado como el componente financiero del caso de negocio que
represente un proyecto de seguridad, que puede ser analizado por los niveles más altos de la
organización (niveles de decisión).
Cuando se habla del retorno a la inversión se hace referencia a la ganancia que una o
más inversiones retorna en un momento dado. Al referirse al retorno a la inversión en
seguridad informática, se está hablando de todas las inversiones que encierra esta área para
una organización; la cual se ha caracterizado por ser una fuente de gastos, debido a todos los
requerimientos de la seguridad de la información y la tecnología. Se necesitan conocer los
principales conceptos de la seguridad informática y la implicancia que tiene en una
organización para entender los aspectos relevantes de la seguridad informática con respecto a
las inversiones y sus requerimientos.
La propuesta de esta investigación busca proponer una guía metodológica para el
cálculo del retorno a la inversión, basada en la administración de la seguridad informática,
incluyendo la administración de riesgos en la organización, en busca del cumplimiento de los
objetivos y principios de la seguridad.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
14
1.5 Campo de acción
Se va a trabajar sobre una organización, lo cual nos va a permitir la demostración del
método propuesto y va a facilitar el entendimiento del mismo.
Se llevará a cabo la aplicación de la guía metodológica presentada, a un caso de
estudio. Se describirán los métodos, técnicas, materiales y documentos que se utilizaron
durante el ejercicio de aplicación, lo cual puede ser útil al lector, como una guía o ayuda para
futuras aplicaciones de los procesos que componen la guía metodológica propuesta.
1.6 Objetivos
El objetivo principal de esta investigación es proponer una metodología que permita a
generar estimación del retorno a la inversión basada en la seguridad informática, evaluando y
aplicando dicha guía a un caso de estudio específico, un caso real.
Los objetivos específicos son los siguientes:
Llevar a cabo una investigación y contextualización de:
Conceptos relevantes de la seguridad informática
Concepto de ROI (Return on Investment)
Situación actual del ROI en seguridad informática
Métricas en seguridad informática
Administración de riesgos
Construir un método de cálculo viable
Construir una guía de procedimientos que permita al usuario llevar adelante el
proceso de ROSI.
Realizar una prueba calculando el ROSI en una empresa (a definir)
Evaluar y analizar los resultados de las pruebas realizadas.
Generar conclusiones pertinentes al caso.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
15
1.7 Idea a defender/Propuesta a justificar/Solución a comprobar
Demostrar que podemos presentar un modelo o metodología para permitir el cálculo o
estimación de ROSI, y que puede ser aplicado en cualquier organización siguiendo la guía
propuesta; y dar una solución importante a las empresas a la hora de evaluar su proyecto de
seguridad informática, de una manera sencilla y sin costos de ejecución.
1.8 Delimitaciones del proyecto
El proyecto se limita sólo al estudio del cálculo de retorno de la inversión de
seguridad informática, y la presentación de un caso real. Además se llevará a cabo el análisis
de riesgos necesario para poder realizar la estimación.
1.9 Aporte Teórico
La novedad de la propuesta presentada consiste en la generación de una metodología
simple de implementar, de fácil acceso, y con explicaciones paso a paso que permita al
usuario utilizarlo como guía.
Los resultados del proyecto son accesibles por cualquier organización, es aplicable a
cualquier proyecto de seguridad informática.
Todos los conceptos definidos en el proyecto serán un aporte para el entendimiento de
las organizaciones y los usuarios en general.
Los aportes teóricos desde el punto de vista de la ingeniería son:
Información sobre la importancia de la seguridad de la información en las
organizaciones.
Establecer un procedimiento de cálculo de ROSI.
Información sobre la creación de proyectos informáticos.
Aplicación de Análisis de Riesgos y Estimación de ROSI en una organización.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
16
1.10 Aporte Práctico
Como dijimos anteriormente el tema que vamos a tratar en el proyecto permitirá a las
organizaciones, quienes son las primeras beneficiadas, tener al alcance de las manos un
método que les permita calcular el retorno de inversión en cuanto a la seguridad.
Hemos encontrado noticias en donde se asegura que más de dos tercios de las
inversiones en seguridad son un desperdicio.
Algunos fragmentos son los siguientes:
“Más del 40% del dinero invertido en seguridad es un desperdicio”, dijo Peter
Tippett.
Muchas organizaciones están aumentando la inversión en la protección contra
amenazas internas, cuando en realidad sólo el 11% de las vulnerabilidades explotadas
exitosamente en los últimos años han sido de este tipo, según el último Business Data Breach
Investigations Report.
La mayoría de las brechas de seguridad involucran múltiples orígenes, pero la
investigación indica que sólo el 20% son de origen interno.
Las organizaciones terminan desperdiciando los presupuestos en seguridad, gastando
mucho donde se percibe que están las amenazas, en lugar de dónde verdaderamente están.
Los beneficios que este proyecto produciría serian:
Ayudar a las empresas a generar un buen proyecto de seguridad.
Establecer los tiempos de recuperación de la inversión de los proyectos de
seguridad.
Permitir a las organizaciones conocer cuáles son los riesgos existentes y
analizar sus vulnerabilidades y amenazas.
Ayudar a las organizaciones a realizar el análisis de riesgos
Permitir realizar la estimación de ROSI
Los beneficiarios son:
Cualquier persona y/o organización que crea necesite generar un proyecto de
seguridad.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
17
Sirve de base para futuras investigaciones en cuanto a los proyectos
informáticos.
Se puede incluir la metodología propuesta en el programa de estudios de
algunas materias dedicadas a la gestión y seguimientos de proyectos.
1.11 Factibilidad
A continuación presentamos la factibilidad del proyecto, evaluando la misma de la
siguiente manera:
Factibilidad Técnica: Para el desarrollo del proyecto no se requieren elementos
tecnológicos, sólo una pc que nos permita la redacción del mismo y llevar a
cabo la investigación para demostrar la propuesta planteada. Además por
medio de internet obtendremos los conocimientos necesarios para llevar a
cabo la investigación mencionada.
Factibilidad Operativa: Con respecto a la factibilidad operativa podemos
afirmar que tenemos una buena relación con la empresa que será nuestro caso
de estudio y que nos permitirá demostrar nuestro modelo, para que nuestro
proyecto sea probado y/o usado.
Factibilidad Económica: con respecto a la factibilidad económica podemos
decir que el proyecto es totalmente realizable, tomando en cuenta que los
recursos económicos necesarios para llevar a cabo el proyecto son
prácticamente nulos, lo cual es una ventaja frente a otros métodos de cálculos
privados existentes en la actualidad
En base a esto podemos concluir que el proyecto es totalmente factible.
1.12 Métodos y Medios de Investigación
El método de investigación utilizado en el proyecto es el método empírico.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
18
Los métodos empíricos de investigación permiten efectuar el análisis preliminar de la
información, así como verificar y comprobar las concepciones teóricas.
El fundamento radica en la percepción directa del objeto de investigación y del
problema.
El término empírico deriva del griego antiguo de experiencia, έμπειρία, que a su vez
deriva de έυ (en) y πεἳρα (prueba): en pruebas, es decir, llevando a cabo el experimento.
Su aporte al proceso de investigación es resultado fundamentalmente de la experiencia.
Estos métodos posibilitan revelar las relaciones esenciales y las características fundamentales
del objeto de estudio a través de procedimientos prácticos con el objeto y diversos medios de
estudio.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
19
2. PRIMERA PARTE: MARCO CONTEXTUAL
2.1 Entorno del objeto de estudio
El estudio del presente proyecto se sitúa en el siguiente contexto:
En el aspecto social:
El crecimiento exponencial de la digitalización de transacciones y /o de cualquier tipo de
documentación. Por ende el riesgo de pérdida es cada vez más importante debido a la gran
masividad de información en formato digital. Se conoce que el volumen de información
digital que utiliza una empresa, crece a una tasa anual entre el 50 y 60%.
Teniendo en cuenta la creciente digitalización, muchas personas corren el riesgo de perder
todos sus archivos, pese a haber hecho de ellos copia de seguridad. Esta idea se basa en que
la seguridad de los datos no depende tanto de mantener múltiples copias de valiosos archivos,
sino de mantener esos datos irreemplazables en un lugar completamente diferente y seguro.
Muy pocos backups tienen esa seguridad. Basta un robo, un incendio o cualquier otra
catástrofe para perder para siempre años de trabajo en valiosos datos mantenidos todos en el
mismo lugar.
A continuación se detalla las estadísticas recolectadas sobre el dimensionamiento global de la
digitalización de la información, con el objetivo de tomar conciencia de la transformación
digital que transita el mundo actual.
Según un estudio de IDC y de Gartner/Dataquest, nos habla del “mercado del
almacenamiento”, el cual crece por concepto de S.S.P. (Storage Service Providers) llegando a
un 79 % siendo 1.2 millones de Terabytes en el 2003.
Según la empresa Carbonite Online Backup, reconoce que cada año el 43% de los usuarios
de computadoras sufren pérdidas irrecuperables de archivos. Las causas varían entre
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
20
desastres naturales, rupturas de discos rígidos, hasta la eliminación accidental de archivos.
Con el cual demuestra la real importancia de las tareas de backup.
En el aspecto económico:
En lo económico podemos destacar la dependencia hacia la información y hacia los datos
como verdaderos motores económicos y financieros de las empresas. Esta dependencia se
encuentra en un constante aumento teniendo como consecuencia directa que tanto los
propietarios y gestores están sujetos a nuevos riesgos.
Con el fin de poder visualizar la concurrencia y las consecuencias sobre los riesgos de
pérdida de información, se detalla a continuación varios resultados de investigaciones sobre
este tema:
Uno de los estudios realizados en U.S.A. nos informa que una empresa que
experimenta una interrupción duradera en el uso de la información de una
computadora durante más de 10 días nunca se recupera completamente en lo
financiero, y que el 50 por ciento de las empresas que sufren esa situación estarán
fuera del negocio dentro de los siguientes 5 años.
Otro informe más critico aun, proporcionado por la Universidad de Texas, nos
informa que solo el 6% de las empresas que sufren perdida de información
sobreviven, mientras que el 94% restante tarde o temprano desaparecen del mercado.
Gartner Group sostiene que dos de cada cinco empresas, que sufren daños de este
tipo, desaparecen.
Para poder estimar los costos reales que se producen con la perdida de información y calcular
el costo de la perdida en sí, se detalla a continuación las causas y concurrencia de las mismas:
Hardware: representa el 40 % de los incidentes (incluyen pérdidas debidas a
unidades de disco duro dañadas y fallas eléctricas)
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
21
Error humano: representa el 30% de los episodios de pérdida de datos. (incluyen la
eliminación accidental de datos, así como daños accidentales por el hardware, como
los daños causados por caídas de lap tops.)
Software corrupto: representa el 13 % (como por ejemplo los daños causados por un
software de diagnóstico)
Virus: representa el 6 % de la perdida de información
Robo: representa el 9 % (especialmente computadoras portátiles)
Desastres naturales: representa el 3% (que incluye los daños causados por
inundaciones, rayo y fuego, etc)
Ilustración 1 Porcentaje de causas de Pérdida de Información
Porcentajes de Causas de Perdida de Informacion
Hardware
Error Humano
Software corrupto
Virus
Robo
Desastres naturales
Fig. 2.1: Porcentaje de causas de Pérdida de Información
La empresa internacional Verizon, a través de Peter Tippett, vicepresidente de tecnología e
innovación, asegura que más de dos tercios de las inversiones en seguridad son un
desperdicio.
Algunos fragmentos son los siguientes:
“Más del 40% del dinero invertido en seguridad es un desperdicio”, dijo Peter Tippett.
Muchas organizaciones están aumentando la inversión en la protección contra amenazas
internas, cuando en realidad sólo el 11% de las vulnerabilidades explotadas exitosamente en
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
22
los últimos años han sido de este tipo, según el último Business Data Breach Investigations
Report.
La mayoría de las brechas de seguridad involucran múltiples orígenes, pero la investigación
indica que sólo el 20% son de origen interno.
Las organizaciones terminan desperdiciando los presupuestos en seguridad, gastando mucho
donde se percibe que están las amenazas, en lugar de dónde verdaderamente están.
Algunos datos que se mencionan en Information Security Breaches Survey 2010 realizado
por Infosecurity Europe.
Según el reporte, el 90% de las empresas aumentaron su presupuesto asignado a seguridad en
el último año, un valor alto y alentador respecto a la posición del ámbito corporativo respecto
a la relevancia que posee la protección de la información en las organizaciones.
El informe extiende esta información indicando que en promedio el presupuesto de seguridad
para empresas pequeñas es de un 10% (cuando el año pasado era el 7%) y en grandes
empresas ya ocupa el 6%. Este dato se condice con los presentados en el ESET Security
Report Latinoamérica que indicaba según los datos recabados en encuestas realizadas en la
región durante el año 2009, que “más de la mitad de los encuestados (57,86%) afirmaban que
menos del 5% del presupuesto de IT es utilizado para seguridad“.
Comparando estos datos puede observarse que:
Las pequeñas diferencias en los valores entre ambos informes pueden deberse a que
en 2010 las inversiones en seguridad se estiman mayores a las del año anterior.
Además, sabido es que en la región latinoamericana los presupuestos pueden ser
levemente menores a los que se acostumbren en Europa.
A pesar de todo, también puede concluirse que las inversiones en Latinoamérica no
son tan distintas a las brindadas en el informe de los números en otro continente.
Sobre las inversiones de seguridad, recuerden que ya hemos comentado algunos métodos
para analizar, evaluar y decidir sobre estas, con metodologías como TCO o ROSI.
Adicionalmente, el informe también posee muchos datos sobre la cantidad de incidentes que
sufrieron las empresas, indicando que el 92% tuvieron un incidente de seguridad el último
año. Respecto al malware, 62% de las empresas sufrieron alguna infección durante el año.
Extendiendo algunos datos sobre los tipos de incidentes, analizando las respuestas sólo para
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
23
“grandes empresas” (para ver las respuestas para otros tamaños de organizaciones pueden ver
el informe completo) se desprende que:
70% tuvieron un incidente de seguridad accidental
90% un incidente malicioso
62% un incidente serio
Resumiendo, podemos apreciar en lo citado anteriormente, que la seguridad es un tema de
nivel crítico teniendo en cuenta la inmensa cantidad de datos digitalizados y el continuo
crecimiento de la misma, como así también los inmensos efectos negativos que traen
aparejado la perdida de esta información en cuanto a lo económico y social, y más aún
cuando es sensible y de alto valor.
2.2 Relación tesista y objeto de estudio
En la materia Auditoría y Evaluación de Sistemas, de la carrera de Ingeniería de Sistemas;
los tesistas presentaron un trabajo de campo llevado a cabo en la empresa Ladrillos Merlino
SRL, donde se realizó un relevamiento para generar una auditoría, principalmente en el
aspecto de seguridad de una organización.
Por este motivo, se decidió, llevar a cabo el proyecto tomando como herramienta de
relevamiento las vistas anteriormente la materia nombrada.
La idea principal del proyecto surgió luego de leer artículos sobre la importancia de la
información y de la seguridad informática; y la inversión que la misma requiere para las
empresas, teniendo en cuenta y utilizando para ello, otros trabajos llevados a cabo en otros
países.
Los factores condicionantes:
1.1. Generar una guía de fácil entendimiento para el lector.
1.2. Armar un relevamiento de información óptimo y oportuno.
1.3. La necesidad de poder contar con el apoyo de la organización para que nos facilite la
información necesaria.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
24
1.4. Identificar los riesgos para poder llevar a cabo la metodología.
1.5. Ponderar los riesgos, agregar un grado de criticidad a los mismos.
1.6. Generar conclusiones respecto a la evaluación generada con respecto al objeto de
estudio que permita llegar al objetivo propuesto.
2.3 Análisis de los problemas observados
¿Qué eso de lo que todo el mundo habla, pero tan poco se ha visto en concreto? ¿Es posible
justificar económicamente las inversiones en seguridad de la información?
Es un hecho que cada vez se encuentran más perfiles asociados a Seguridad de la
Información en las organizaciones, tanto en América Latina como en el mundo.
La creación de la figura del “CISO” (Chief Information Security Officer) está dando lugar a
la aparición de ciertas necesidades no cubiertas respecto a la Seguridad de la Información en
las empresas, llevando al CISO a responder una serie de preguntas que pueden definir el
éxito o fracaso de su gestión: ¿estamos invirtiendo lo suficiente?, ¿cuánto deberíamos invertir
de acuerdo a nuestros objetivos de negocio?, ¿cómo distribuir las inversiones de la mejor
forma?
Gracias al surgimiento de estas (y muchas otras) preguntas, es que suena cada vez más fuerte
la necesidad de contar con un adecuado cálculo de ROSI (Return On Security Investments),
que permita justificar inversiones y proyectos frente a la Alta Dirección y el departamento de
Finanzas.
Es un hecho que a medida que en las organizaciones crece la conciencia respecto a la
relación entre la Seguridad de la Información y el cumplimiento de los objetivos del
Negocio, las inversiones en recursos asociados a Seguridad se posicionan para competir por
el presupuesto con los proyectos más significativos en cuanto costos y recursos.
Muchas organizaciones, son amenazadas constantemente en sus activos, lo que se representa
en pérdida. Las vulnerabilidades en los sistemas de información pueden representar
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
25
problemas graves, por ello es muy importante que las empresas comprendan los conceptos
necesarios para combatir y defenderse de los posibles ataques a su información.
En la actualidad, la información es el bien de mayor valor para las empresas. El progreso de
la informática y de las redes de comunicación no sólo ha sido un beneficio para las mismas
sino que generan un mayor nivel de prevención y responsabilidad frente a las amenazas sobre
dicha información.
La información puede estar en diferentes medios como por ejemplo en papel impreso, en los
discos duros o incluso en la memoria de las personas que la conocen, al seguridad de la
información tiene como propósito proteger la misma, independientemente del lugar en donde
se encuentre.
Las empresas buscan la mejor forma de asegurar la organización y los recursos de la misma.
En consecuencia surgen, las empresas dedicadas a la seguridad informática y a los servicios
de consultoría para el aseguramiento de los recursos tecnológicos y humanos que se ven
involucrados en la organización y los departamentos encargados de la seguridad de
tecnología de información de las organizaciones.
Existe la necesidad de establecer formas para justificar frente a los clientes, o a la alta
gerencia, las ganancias o beneficios que se pueden llegar a obtener al implementar un
proyecto de seguridad de la información realizando las respectivas inversiones en ellos.
En la actualidad existen algunas iniciativas de guías, modelos, estándares, definidas que
permiten calcular los beneficios que la organización podría percibir por concepto de una
inversión realizada en seguridad informática, pero generalmente son de uso privado y es
necesario pagar por ellas. Considerando lo mencionado se plantea esta investigación para
proponer una guía metodológica para sugerir una manera básica de calcular el retorno a la
inversión en seguridad informática.
Algunas personas sostienen que el ROI en seguridad informática es una pérdida de tiempo,
por la dificultad que representa medir algunos aspectos intangibles que contiene el área de
seguridad.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
26
Esta investigación hace un aporte al tema, sintetizando algunas de las propuestas realizadas,
generando una propuesta de una guía metodológica para realizar dichos cálculos, con su
respectiva evaluación y análisis, que puede ser base para futuras investigaciones.
Los costos asociados a servicios de seguridad representan habitualmente un pequeño
porcentaje del costo que nuestra compañía habría tenido que soportar en caso de haberse
materializado la amenaza que mitigan.
Cuando un servidor es hackeado, el hacker no suele detener ahí su avance, sino que continua
con las máquinas de la red interna que ahora son accesibles desde el servidor hackeado. Una
vez en la red interna, donde las medidas son más laxas, es más sencillo para el hacker
apoderarse de los sistemas que allí se encuentran.
¿Cuáles son las pérdidas en este escenario? Es difícil determinar porque será casi imposible
hacerse una imagen exacta de hasta qué punto se ha adentrado el intruso. Sin embargo, estos
son algunos puntos a tener en cuenta para calcular los daños tras una intrusión:
Horas de trabajo para determinar todas las máquinas comprometidas.
Horas de trabajo para reinstalar y configurar cada dispositivo.
Horas de trabajo para revisar el código fuente en busca de cambios por el intruso.
Horas de trabajo para monitorizar la red en busca de actividades de intrusos.
Horas de trabajo de educación a la plantilla y clientes.
Multas e indemnizaciones.
El coste de la inactividad.
El coste de la pérdida de clientes.
El coste de la pérdida de reputación.
Etc.
Sin embargo, si contratamos un proveedor que estudia los sistemas y las redes con el
determinado detenimiento nos estaremos asegurando que se detectan aquellas
vulnerabilidades que podrían acarrear costos mayores en el futuro mientras que al mismo
tiempo también estaremos adecuándonos a la norma objetivo.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
27
El siguiente apartado permitirá aclarar y justificar el cálculo de ROSI, y la importancia de su
estimación para las empresas. Estos conceptos ayudarán a entender los ahorros y riesgos
económicos relacionados con la seguridad informática.
Fuente: B:Secure
“Hace un par de días llegó a mis manos una presentación acerca del Retorno de inversión
en seguridad, llamado “ROSI” por sus siglas en inglés: Return of Security Investment. Dicho
documento define el ROSI como “el gasto directo que una compañía realiza para poder
implementar una seguridad deseable contra el costo de una falla de seguridad”.
Los conceptos “deseable” y “costo de una falla de seguridad” llamaron mi atención
inmediatamente, y les voy a explicar por qué. Algunas empresas siempre se preguntan
entonces: ¿Qué tan seguro estoy?, ¿Sé si estoy seguro?, ¿Estoy mejor o peor que el año
pasado?, ¿Estoy invirtiendo poco/suficiente/mucho en seguridad informática?, ¿Cómo
administraré la seguridad, si no la puedo medir?, ¿Cómo puedo estimar el daño resultante
de un incidente de seguridad?
Creo que, por lo menos, si usted está dedicado a telecomunicaciones, se habrá planteado
más de una de estas preguntas.
La razón de que la palabra “deseable” saltara a mi vista es que a veces no sabemos qué es
una seguridad deseable. Yo cambiaría ese vocablo por “necesaria”, pero entonces tenemos
que buscar la justificación de esa seguridad. Esta justificación tendríamos que hacerla con
respecto a un análisis de riesgos, y este análisis con respecto a la valuación de los bienes, y
esta valuación nos va a dar como resultado los controles que requerimos para estar más
“seguros”.
Si se da cuenta, es una cadena que normalmente no seguimos. Las empresas implementan
miles de controles para que los usuarios no hagan o limiten su acceso, pero no tienen una
política corporativa que los sustente. Por otro lado, las compañías tienen excelentes
controles para que los virus no entren a su servidor de correo, pero los empleados tienen
acceso a cuentas de correo vía web, donde bajan el virus y lo ejecutan en sus máquinas.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
28
Entonces, ¿por qué es tan difícil justificar la inversión en seguridad? Muy sencillo, porque
es similar a justificar el costo de un arma de fuego. Imagine que tiene que justificar el costo
de un arma de fuego: hay tantas posibilidades o escenarios que podrían pasarle, que en este
caso tiene usted que pensar en un “evento” para poder justificarlo. Muchas veces hasta que
no sucede, ¡no podemos justificarlo!
Y ahí viene la segunda palabra, que ya la convertí en frase: “costo de una falla de
seguridad”.
Al final del día, usted puede hacer un ROSI sin problema. Va a ser un trabajo muy duro, mas
no imposible.
Esto suena incluso hasta desafiante, pero lo que podemos considerar es el hecho de que un
análisis de riesgo de la empresa, realizado conscientemente, por una persona que trabaje
dentro de la organización, quien conozca perfectamente los flujos de trabajo de la empresa y
los sistemas y procesos críticos, puede llegar a ayudarle y con esta información ya tiene
suficiente para poder justificarlo.
Es muy sencillo, imagine (realmente imagine) que en su empresa tiene un sistema donde hay
una base de datos con información de clientes (desde los datos, como el seguimiento,
facturación, etc.) y el equipo no tiene un antivirus. ¿Como va a justificarlo? Es sencillo, si un
virus afecta una máquina, que lamentablemente es la máquina con la base de datos de
clientes, tenemos que el valor de la información debe ser valuado y un modo de valuarlo es
preguntarse: ¿Cuánto pagaría yo por esa información? A este valor hay que aumentarle el
del tiempo en recuperarla, el número de personas que van a tener que desarrollarla, los
sistemas afectados, etc.
Ya tiene el valor del activo; ahora quedan varias opciones: aceptar el riesgo, implementar
un control o transferir ese riesgo. Lleve este valor a la alta dirección y justifique lo que
puede pasar y cómo esta pérdida va a afectar a la organización. Si le piden que instale un
antivirus, la administración decidió disminuir el riesgo por medio de un control; si la
administración le dice que no hay presupuesto, acaba de aceptar el riesgo y, por
consiguiente, quien tiene la responsabilidad sobre ello es la administración. Si le piden
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
29
llamar a un outsourcing o a una compañía de seguros para comprar una póliza de
protección de la información, entonces la empresa ha transferido el riesgo a un tercero.
Es importante que tenga clara la postura en materia de seguridad que adoptará su
organización; esto es, ¿qué tanto riesgo va usted a tolerar? Determinar también el impacto
del riesgo en su compañía y, lo más importante, invierta dinero en aquello que sabe que va a
ayudar a la empresa.”
2.4 Antecedentes de Proyectos similares
La problemática planteada es muy amplia, y en el mercado existen soluciones muy similares
entre sí.
El antecedente que se presenta a continuación es un documento que habla sobre el retorno de
inversión en proyectos ISO 27001.
“El cálculo de retorno de inversión (ROI) siempre ha sido una herramienta muy adecuada
para justificar inversiones de cara a la gerencia de una organización. Ver beneficios no
siempre es fácil, por eso este tipo de cálculos han ido ganando protagonismo en los últimos
tiempos.
En el caso particular de inversiones en seguridad, el término a utilizar se denomina ROSI
(Return Of Security Investment) y al igual que ROI mide la relación entre el retorno que
produce una inversión y la inversión propiamente dicha.
Centrándonos en ROSI, la esencia del cálculo se basa en calcular los costes ahorrados como
consecuencia de evitar incidentes de seguridad o de mitigar los efectos de los mismos en caso
de ocurrencia. Es por esto que en ROSI el beneficio es en realidad el ahorro conseguido
(además de otro tipo de beneficios como pueden ser mejorar la imagen de la empresa
consiguiendo así nuevos clientes).
ISO 27001 aporta confianza en este sentido, ya que habiendo implantado un sistema de
gestión en seguridad de la información (SGSI) como se define en dicho estándar se está
asegurando una importante reducción y eliminación de incidentes de seguridad.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
30
Además, al estar dentro de un ciclo de mejora continua, se consigue que el sistema de gestión
responda a las nuevas necesidades de seguridad de la organización que vayan apareciendo.
A través de los diferentes controles de seguridad que plantea ISO 27001 se puede reducir de
forma considerable la gran mayoría de incidentes que en caso de no implantar ningún sistema
de seguridad podrían amenazar nuestra organización.
Otro factor clave a la hora de calcular el retorno de inversión en proyectos de implantación
ISO 27001 es el hecho de tener que contar con un Plan de Continuidad de Negocio (BCP,
Business Continuity Plan). Gracias a un BCP tendremos asegurada –en un alto porcentaje- la
continuidad de nuestro negocio en caso de desastre, como por ejemplo un incendio o un
terremoto. Si bien en estos casos vamos a sufrir un importante daño en cuanto a costos, el
hecho de poder seguir prestando servicios a los clientes reporta unos beneficios que están
muy por encima de los costos en implantar el plan (y evita las pérdidas de no poder prestar
servicio, además de evitar daño hacia la imagen de la marca y la percepción negativa que se
llevaría el cliente).
La norma ISO 27001 contempla en todas sus fases elementos que son perfectamente
integrables dentro de un estudio de retorno de inversión en seguridad.
- Inventario y valoración de activos: en esta etapa se evalúa el valor que para la
organización tiene cada uno de los activos que vamos a incluir dentro del alcance del
SGSI a implantar. La pérdida de confidencialidad, integridad o disponibilidad de
alguno de los activos puede ocasionarnos pérdidas tanto tangibles (reemplazo de
activos o restauración de los daños causados) como intangibles (pérdida de imagen,
reducción de la confianza de los clientes, problemas para conseguir nuevos clientes).
- Análisis de riesgos sobre los activos: estudiamos las amenazas que podrían
materializarse sobre los activos y los procesos de negocio. Se calcula también la
frecuencia de ocurrencia de esas amenazas y el impacto que tendría sobre el negocio.
Estas amenazas, a través de sus impactos, causan un daño al negocio que puede
cuantificarse desde dos puntos de vista: desde el ahorro que supone no sufrir esos
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
31
incidentes o desde el daño que supondría sufrirlas. La propia ausencia de controles es
una amenaza que se materializa en sufrir incidentes de seguridad.
- Tratamiento de esos riesgos (reducción de incidentes): en esta fase es donde se
implanta los controles de seguridad que harán reducir o eliminar los incidentes de
seguridad. Posteriormente se medirá la eficacia de esos controles para comprobar que
realmente están siendo útiles para proteger nuestra organización. El gasto de
implantar estos controles es uno de los costos a tener en cuenta a la hora de calcular el
ROSI.
- Plan de continuidad (BCP): un plan de continuidad de negocio, como su propio
nombre indica, nos asegura poder seguir dando servicio a los clientes en caso de
catástrofes de origen natural (terremotos, inundaciones, etc.), industrial (incendios,
explosiones, averías, etc.) o humano (errores no intencionados, ataques deliberados).
Si bien implantar un BCP es costoso en tiempo y dinero, los beneficios obtenidos en
caso de ocurrir un incidente grave pueden ser incalculables. Por dar algunos ejemplos,
se puede pensar en la pérdida de productividad ocasionada al no poder prestar
servicio (pérdidas diarias), la pérdida de imagen, las pérdidas por no cumplir con
acuerdos de nivel de servicio, sanciones económicas al infringir regulaciones legales,
etc. Es por esto que un BCP por si solo aporta suficiente retorno de inversión; más
aún si lo enmarcamos dentro de un plan de implantación de un SGSI.
- Mejora continua: ISO 27001 contempla en su cláusula 8 la mejora continua del
sistema, basada en mejorar la eficacia del SGSI implantado y responder a las nuevas
necesidades en seguridad de la información que tiene la empresa. Para enlazar este
punto con el cálculo del ROSI se puede pensar que un sistema de seguridad que no se
mantenga “vivo” en el tiempo no podrá responder con las garantías oportunas ante las
nuevas incidencias de seguridad que podrían afectar a nuestro negocio.
Entre los principales beneficios de implantar ISO 27001 se pueden destacar los siguientes de
forma esquemática:
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
32
Ilustración 2 Beneficios de ISO 27001
Fig. 2.2: Beneficios de ISO 27001
Para calcular el ROSI de implantar ISO 27001 en una organización es importante tener en
cuenta tres factores:
- Coste de la implantación de la norma.
- Ahorro al reducir o eliminar incidentes.
- Beneficios directos al mejorar nuestra imagen de marca y conseguir así nuevos
clientes.
Estos tres factores son los que deben hacernos decantarnos de forma positiva para implantar
un SGSI en nuestra organización.
Una fórmula sencilla para el cálculo del ROSI podría ser la siguiente:
ROSI = [ (BENEFICIO – COSTOS) / COSTOS ] * 100%
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
33
Sin embargo, para un correcto cálculo del retorno de inversión deberían conocerse todos los
posibles incidentes que afectan a la organización en cuestión y llevar a cabo el proceso
indicado a lo largo de este documento.
Ilustración 3 Resumen de resultados
Fig. 2.3: Resumen de resultados: “ROSI, EL ROI DE LA SEGURIDAD DE LA
INFORMACIÓN” por Carlos Ormella Meyer. Abril de 2006.
CASO PRÁCTICO OBTENIDO EN “Calculating Security Return on Investment”. Don
O’Neill, Software Engineering Institute. Carnegie Mellon University. 2007-02-06.
Savings: = (Resistance Savings + Recognition Savings + Reconstitution Savings)
Cost: = (Total Preparation + Total Cleanup + Total Lost Opportunity + Total Critical
Infrastructure Impact)
Where:
Incidents: = 100 [Expected number of incidents]
IR1: Number of expected incidents successfully resisted = 60
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
34
IR2: Number of expected incidents successfully recognized = 30
IR3: Number of expected incidents successfully survived = 5
IR4: Number of expected incidents undetected (duds) except for a forensic trace = 5
Resistance Savings
SR1: = IR1 * (Cleanup1 + Lost Opportunity1 + Critical Infrastructure Impact1)
SR1: = 60 * (2,500 + 10,000 + 0) = 750,000
Recognition Savings
SR2: = IR2 * (Cleanup2 + Lost Opportunity2 + Critical Infrastructure Impact2)
SR2: = 30 * (25,000 + 20,000 + 0) = 1,350,000
Reconstitution Savings
SR3: = IR3 * (Cleanup3 + Lost Opportunity3 + Critical Infrastructure Impact3)
SR3: = 5 * (250,000 + 500,000 +5,000,000) = 28,750,000
Dud Costs
SR4: = IR4 * (Cleanup4)
SR4: = 5 * (250) = 1,250
Preparation
Step 1: = 75,000 [3 days * 50 participants * $500/day]
Step 2: = 75,000 [5 days * 25 participants * $600/day]
Step 3: = 250,000 [Resistance and Recognition implementation costs]
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
35
Step 4: = 500,000 [Reconstitution implementation costs]
Step 5: = 50,000 [Information disclosure control costs]
Total Preparation: = (Step1 + Step2 + Step3 + Step4 + Step5)
Total Preparation: = (75,000 + 75,000+ 250,000 + 500,000 + 50,000)
Total Preparation: = 950,000
Cleanup Per Incident
Cleanup1: = [2,500/incident]
Cleanup2: = [25,000/incident]
Cleanup3: = [250,000/incident]
Cleanup4: = [250/incident]
Total Cleanup: = (IR1 * Cleanup1) + (IR2 * Cleanup2) + (IR3 * Cleanup3) + (IR4 *
Cleanup4)
Total Cleanup: = (60 * 2,500) + (30 * 25,000) + (5* 250,000) + (5 * 250) = 150,000 +
750,000 + 1,250,000 + 1,250
Total Cleanup: = 2,151,250
Lost Opportunity Per Incident
Lost Opportunity1:= 0.1 day * 10,000/day: = 10,000
Lost Opportunity2:= 0.2 days * 10,000/day: = 20,000
Lost Opportunity3:= 5 days * 100,000/day:= 500,000
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
36
Total Lost Opportunity: = (IR1 * Lost Opportunity1) + (IR2 * Lost Opportunity2) + (IR3 *
Lost Opportunity3)
Total Lost Opportunity: = (60 * 10,000) + (30 * 20,000) + (5 *500,000)
Total Opportunity: = 600,000 + 600,000 + 2,500,000
Total Lost Opportunity: = 3,700,000
Critical Infrastructure Impact Per Incident
Critical Infrastructure Impact1:= 0 * 1,000,000:= 0
Critical Infrastructure Impact2:= 0 * 1,000,000:= 0
Critical Infrastructure Impact3:= 5 * 1,000,000:= 5,000,000
Total Critical Infrastructure Impact: = (60 * 0) + (30 * 0) + (5* 5,000,000): = 25,000,000
Savings: = (Resistance Savings + Recognition Savings + Reconstitution Savings)
Cost: = (Total Preparation + Total Cleanup + Total Lost Opportunity + Total Critical
Infrastructure Impact)
Savings: = 750,000 + 1,350,000 + 28,750,000) = 30,850,000
Cost: = (950,000 + 2,151,250 + 3,700,000 + 25,000,000) = 31,801,250
ROI: = Savings/Cost
ROI: = 30,850,000/31,801,250
ROI: = 0.97008765379
Como se ha dicho antes, este tipo de estudios no es posible realizarlo sin conocer de forma
exhaustiva las amenazas que afectan a una organización. Para realizarlo de la forma más
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
37
precisa posible (siempre son estimaciones probabilísticas) se debe remontar a la historia
reciente de la organización y ver qué incidentes se han sufrido, para así poder prever los
posibles incidentes futuros.
Una vez estimadas las posibles incidencias se debe calcular el coste asociado a ellas y ver en
qué grado ISO 27001 permite reducir el impacto económico de las mismas.
Respecto a la posibilidad de sufrir una catástrofe de gran tamaño (incendios, terremotos, etc.)
ISO 27001 cubre la incidencia con la elaboración y puesta en marcha de un plan de
continuidad.”
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
38
3. SEGUNDA PARTE: MARCO TEORICO
3.1 Marco Teórico del campo de acción
En los últimos años, las inversiones en el área de seguridad informática de las
organizaciones, han incrementado de manera notable, y esta tendencia se seguirá dando,
debido al continuo crecimiento de dicha área en las compañías actuales. En las
organizaciones se están incrementando cada vez más los fondos económicos destinados a la
seguridad informática, lo cual es importante, ya que de esta forma están logrando cubrir más
y de mejor manera las brechas y requerimientos de seguridad en la empresa, dando un mayor
nivel de protección dentro de las mismas. Sin embargo, es necesario reflejar el retorno de las
inversiones económicas; es decir poder mostrar a la alta gerencia o a cualquier persona de la
organización, los réditos o beneficios que las inversiones del área están dando.
Los administradores de seguridad necesitan de una forma para medir y poder demostrar
dichos beneficios de las inversiones y la efectividad de la infraestructura de seguridad, con el
objetivo de justificar los proyectos del área. Una de las formas de las que puede valerse el
área de seguridad, es a través de las métricas en seguridad informática.
Las métricas pueden estar inmersas dentro de un proceso conocido como administración de
riesgos, en donde las métricas pueden ayudar y apoyar el proceso de medición del impacto y
la probabilidad de cada uno de los riesgos, y así determinar su nivel, para finalmente, apoyar
y facilitar el proceso de toma de decisiones en la organización con respecto a la situación de
seguridad informática.
La base del marco teórico de esta investigación está sustentada en diversos temas, pero
centrada fundamentalmente en los conceptos principales de la seguridad informática, retorno
a la inversión y algunos modelos de cálculo. Sin embargo, como se verá a lo largo de la
investigación, esta revisión de literatura provee solo un fragmento de la información
necesaria para el desarrollo de la guía metodológica. Se busca construir una base de
conocimiento y una perspectiva sobre los temas concernientes a la investigación.
A continuación se presentarán distintos conceptos teóricos asociados al campo de acción.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
39
HISTORIA DE LA SEGURIDAD INFORMÁTICA
Antes de la interconexión de computadoras surgieron los problemas de seguridad. Se hablaba
de seguridad desde los inicios de la Segunda Guerra Mundial, donde surgieron los problemas
de comunicación segura entre las diferentes tropas en misión; para solucionar estos
problemas se empezó a hablar del cifrado de mensajes.
Pero la seguridad informática tuvo un auge importante cuando se conectaron los
computadores entre sí para compartir información, donde la cantidad de equipos tuvo un
crecimiento exponencial, que presentaban cada vez mayor riesgo para asegurar la
información.
A continuación se describen algunos de los hechos históricos que han marcado los inicios y
evolución de la seguridad informática:
A finales de los años 50 las computadoras trabajaban con registros especiales para
definir particiones en memoria para el uso de programas separados y asegurar que un
programa en ejecución no pueda acceder a particiones de otro programa. Las
particiones y el concepto de memoria virtual proveen una de las primeras medidas de
protección de seguridad en ambientes multiusuarios.
A principios de los años 60, se utilizaron los sistemas de tiempo compartido. Este
sistema fue seguro usando control de acceso, que permitía al dueño de la información,
especificar y autorizar accesos a otros diferentes usuarios. La primera característica
de la seguridad fue la protección de contraseñas de usuarios.
A fines de los 60, el sistema Multics del MIT, se identificó un pequeño kernel en el
sistema operativo, que garantizara que todas las políticas de seguridad del sistema
fueran permitidas. Además, vino la aparición de ARPANET (Advanced Research
Project Agency Network) comenzando con cuatro nodos, hasta convertirse en lo que
es hoy en día Internet. Este continuo aumento de interconexiones, incrementó el
riesgo de acceso a usuarios externos no autorizados y asimismo, el conocimiento
sobre temas de seguridad a los administradores y propietarios de las redes.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
40
En los 70, el Unix-Unix System Mail (UUCP) permitía a usuarios ejecutar comandos
en un sistema Unix secundario. Permitía que, correos electrónicos y archivos fuesen
transferidos automáticamente entre sistemas, lo que también permitía a los atacantes
borrar o sobrescribir los archivos de configuración. En los siguientes años se empezó
a hablar sobre criptografía con llave pública y firmas digitales, debido a la necesidad
de permitir comunicación confidencial entre dos usuarios. Esto ha generado que la
criptografía sea un tema importante en el desarrollo de la seguridad informática.
En 1978 (Morris y Thompson) se realizó un estudio que demostraba que adivinar
contraseñas a partir de datos personales de los usuarios, como son el nombre,
teléfono, fecha de nacimiento, era más eficiente que decodificar las imágenes de
dichas contraseñas. En el mismo año nace una nueva preocupación de la seguridad
informática, que consiste en la protección de los pagos electrónicos a través de la red
que comenzaron a hacerse disponibles a los clientes. Este tipo de transacciones se
tradujo en la necesidad de un alto nivel de seguridad, evolucionando así los conceptos
de confidencialidad e integridad.
El crecimiento exponencial de la red, comenzó a requerir un DNS (Directory Name
Server) dinámico, que actualizara la base de datos de asociación de nombres y
direcciones. Estos nuevos servidores se convierten en otro blanco para los atacantes y
suplantadores. Los virus informáticos tienen un crecimiento notable y se convierten
en una seria amenaza para los administradores de seguridad informática y para los
usuarios.
A fines de los 80, se destaca el primer ataque a gran escala, a través de gusanos
cibernéticos, que podrían llegar a infectar en horas un porcentaje significativo de la
red.
En los 90, la seguridad encuentra otro interés, donde los atacantes utilizan métodos de
sniffing (rastreo) para detectar contraseñas, y spoofing (suplantación) o usan los
mismos computadores con identificadores falsos para transmitir sus propios paquetes
al ganar accesos al sistema.
Se comenzaron a presentar abusos computacionales causados por los mismos usuarios. Estos
abusos se pueden clasificar en: robo de recursos computacionales, interrupción de servicio,
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
41
divulgación no autorizada de información y modificación no autorizada de información. Hoy
en día se tiene un modelo actual basado en dichos principios de confidencialidad, integridad
y disponibilidad, que buscan proteger la información, recursos y personas que hacen uso de
esta, tratando así de evitar el continuo crecimiento a dichos abusos. Dichos principios han ido
evolucionando a través del tiempo, lo que no significa que hayan surgido solo hasta esta
época.
Se pueden definir además seis clases de abusos técnicos por los que debe preocuparse la
seguridad informática:
Errores humanos: son simples errores cometidos por los usuarios que pueden llegar a
representar grandes daños al sistema.
Abuso de usuarios autorizados: se refiere a los abusos que hacen los usuarios al
entregarles demasiada confianza o privilegios sobre algún sistema.
Exploración directa: se presenta cuando el usuario ingresa teniendo autorización, pero
sin ser previsto por los operadores del sistema.
Exploración con software especializado: consiste en exploraciones en donde se hace
uso de herramientas especializadas para acceder a recursos no autorizados o generar
irregularidades en los sistemas. Algunos de estos software empleados son: los
troyanos que son ocultados en aplicaciones comunes y comerciales, los virus que
tienen la capacidad de reproducirse, las bombas de tiempo, entre otros.
Penetración directa: a diferencia de la exploración directa, no se tiene autorización,
pero los intrusos encuentran alguna falla o vulnerabilidad, y generan algún tipo de
código malicioso para explotarla y obtener el control del sistema.
Mecanismos de subversión de seguridad: se ataca el control interno para entrar sin
autorización a un sistema, sin ser detectado.
CONCEPTOS DE LA SEGURIDAD INFORMÁTICA
Todo sistema es desarrollado y cambiado varias veces a lo largo de su ciclo de vida, debido a
nuevas funcionalidades que son adicionadas. Estos cambios y nuevas funcionalidades alteran
los requerimientos de seguridad de los sistemas, y obligan descubrir las nuevas
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
42
vulnerabilidades y debilidades del sistema, y así implementar soluciones ante estos nuevos
requerimientos.
Objetivo de la Seguridad Informática
La Seguridad Informática busca dar apoyo a los objetivos y misión de las organizaciones, a
través de la protección de sus principales recursos y activos como son: la información, la
tecnología que la soporta (hardware y software) y las personas que la utilizan o conocen, a
través de la selección y aplicación de protecciones adecuadas, cuidando, de esta manera, sus
recursos físicos, financieros, reputación, y otros activos tangibles e intangibles.
La Seguridad Informática ha definido tres principios básicos (confidencialidad, integridad y
disponibilidad) y 4 servicios (autenticación, autorización, no repudio y auditabilidad), para
poder cumplir su objetivo.
Principios de la Seguridad Informática
La correcta Gestión de la Seguridad de la Información busca conservar la confidencialidad,
integridad y disponibilidad de la información, si alguna de estas características falla no
estamos ante nada seguro. Hay que conocer siempre las vulnerabilidades y las amenazas que
se pueden producir sobre cualquier información, teniendo en cuenta las causas de riesgo y la
probabilidad de que ocurran, así como el impacto que puede tener.
Uno de los objetivos principales de la seguridad informática, esto significa mantenerlos
seguros frente a las diversas amenazas a las que se enfrentan y que pueden afectar su
funcionalidad de diferentes maneras: corrupción, acceso indebido e incluso hurto y
eliminación.
La Seguridad Informática se basa en la preservación de unos principios básicos, los cuales
son definidos por diferentes autores, con algunas variantes y algunas constantes. Para el
desarrollo de esta investigación, se definen los siguientes principios básicos:
- Confidencialidad
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
43
La confidencialidad es la propiedad de prevenir la divulgación de información a personas o
sistemas no autorizados.
Este principio tiene como propósito asegurar que sólo la persona o personas autorizadas
tengan acceso a cierta información. La información, dentro y fuera de una organización, no
siempre puede ser conocida por cualquier individuo, si no por el contrario, está destinada
para cierto grupo de personas, y en muchas ocasiones, a una sola persona. Esto significa que
se debe asegurar que las personas no autorizadas, no tengan acceso a la información
restringida para ellos.
La confidencialidad de la información debe prevalecer y permanecer, por espacios de tiempo
determinados, tanto en su lugar de almacenamiento, es decir en los sistemas y dispositivos en
los que reside dentro la red, como durante su procesamiento y tránsito, hasta llegar a su
destino final.
Por ejemplo, una transacción de tarjeta de crédito en Internet requiere que el número de
tarjeta de crédito a ser transmitida desde el comprador al comerciante y el comerciante de a
una red de procesamiento de transacciones. El sistema intenta hacer valer la confidencialidad
mediante el cifrado del número de la tarjeta y los datos que contiene la banda magnética
durante la transmisión de los mismos. Si una parte no autorizada obtiene el número de la
tarjeta en modo alguno, se ha producido una violación de la confidencialidad. La pérdida de
la confidencialidad de la información puede adoptar muchas formas. Cuando alguien mira
por encima de su hombro, mientras usted tiene información confidencial en la pantalla,
cuando se publica información privada, cuando un laptop con información sensible sobre una
empresa es robado, cuando se divulga información confidencial a través del teléfono, etc.
Todos estos casos pueden constituir una violación de la confidencialidad.
- Integridad
Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas.
La integridad tiene como propósito principal, garantizar que la información no sea
modificada o alterada en su contenido por sujetos no autorizados o de forma indebida.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
44
Asimismo, la integridad se aplica a los sistemas, teniendo como propósito garantizar la
exactitud y confiabilidad de los mismos. Debido a esto, la integridad como principio de la
Seguridad Informática, se ha definido en dos partes: integridad de los datos e integridad de
los sistemas.
La integridad de los datos, se refiere a que la información y los programas solo deben ser
modificados de manera autorizada por las personas indicadas para ello. Estas alteraciones
pueden darse por inserciones, sustituciones o eliminaciones de contenido de la información.
La integridad de los sistemas, hace referencia a que todo sistema debe poder cumplir su
función a cabalidad, sin ninguna violación o modificación del mismo, en su estructura física
y/o lógica, sin perder necesariamente su disponibilidad.
La violación de integridad se presenta cuando un empleado, programa o proceso (por
accidente o con mala intención) modifica o borra los datos importantes que son parte de la
información, así mismo hace que su contenido permanezca inalterado a menos que sea
modificado por personal autorizado, y esta modificación sea registrada, asegurando su
precisión y confiabilidad. La integridad de un mensaje se obtiene adjuntándole otro conjunto
de datos de comprobación de la integridad: la huella digital.
- Disponibilidad
Es la característica, cualidad o condición de la información de encontrarse a disposición de
quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. En el caso de los
sistemas informáticos utilizados para almacenar y procesar la información, los controles de
seguridad utilizada para protegerlo, y los canales de comunicación protegidos que se utilizan
para acceder a ella deben estar funcionando correctamente.
Este principio tiene como propósito, asegurar que la información y los sistemas que la
soportan, estén disponibles en el momento en que se necesiten, para los usuarios autorizados
a utilizarlos. Al referirse a los sistemas que soportan la información, se trata de toda la
estructura física y tecnológica que permite el acceso, tránsito y almacenamiento de la
información.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
45
Adicionalmente, la disponibilidad hace referencia a la capacidad que deben tener los sistemas
de recuperarse ante interrupciones del servicio, de una manera segura que garantice el
continuo desarrollo de la productividad de la organización sin mayores inconvenientes.
En conclusión, disponibilidad, integridad y confidencialidad son principios básicos de la
seguridad informática, y su adecuada comprensión es necesaria en esta investigación, para la
correcta identificación de problemas y las soluciones apropiadas a ellos a través de la
administración de la seguridad, con el objetivo de calcular el retorno a la inversión sobre
dichas soluciones.
Servicios de la Seguridad Informática
Para lograr hacer cumplir la preservación y el cumplimiento de los tres principios básicos de
la seguridad informática, se han planteado cuatro servicios principales.
Las definiciones planteadas a continuación, son resultado del compendio de las definiciones
dadas por los siguientes autores.
- Autenticación
Busca asegurar la validez de una identificación proporcionada para acceder cierta
información, proveyendo medios para verificar la identidad de un sujeto, básicamente, de tres
formas: por algo que el sujeto es, por algo que el sujeto tiene o por algo que el sujeto conoce.
- Autorización
Permite la especificación y continua administración de las acciones permitidas por ciertos
sujetos, para el acceso, modificación o inserción de información de un sistema,
principalmente, mediante permisos de acceso sobre los mismos.
- No repudio
Proporciona protección contra la interrupción, por parte de alguna de las entidades
implicadas en la comunicación, de haber participado en toda o parte de la comunicación. El
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
46
servicio de Seguridad de No repudio está estandarizado en la ISO-7498-2. No Repudio de
origen: El emisor no puede negar que envío porque el destinatario tiene pruebas del envío, el
receptor recibe una prueba infalsificable del origen del envío, lo cual evita que el emisor, de
negar tal envío, tenga éxito ante el juicio de terceros. En este caso la prueba la crea el propio
emisor y la recibe el destinatario. No Repudio de destino: El receptor no puede negar que
recibió el mensaje porque el emisor tiene pruebas de la recepción. Este servicio proporciona
al emisor la prueba de que el destinatario legítimo de un envío, realmente lo recibió, evitando
que el receptor lo niegue posteriormente. En este caso la prueba irrefutable la crea el receptor
y la recibe el emisor. Si la autenticidad prueba quién es el autor de un documento y cuál es su
destinatario, el “no repudio” prueba que el autor envió la comunicación (no repudio en
origen) y que el destinatario la recibió (no repudio en destino).
La administración de un sistema de información debe estar en capacidad de asegurar quién o
quiénes son los remitentes y destinatarios de cualquier información. Provee los medios y
mecanismos para poder identificar quien ha llevado a cabo una o varias acciones en un
sistema, para que los usuarios no puedan negar las responsabilidades de las acciones que han
llevado a cabo.
- Auditabilidad
Proporciona los mecanismos para la detección y recuperación ante posibles fallas o
incidentes de seguridad, mediante el registro de todos los eventos y acciones hechas en un
sistema.
Definición de Seguridad Informática
Definición y posterior implementación de protecciones, políticas y procedimientos, en
búsqueda de la preservación de la integridad, disponibilidad y confidencialidad de la
información, los recursos que la soportan (hardware, software, firmware, dispositivos de
comunicación) y los individuos que la utilizan o conocen.
ADMINISTRACIÓN DE LA SEGURIDAD INFORMÁTICA
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
47
Actualmente se escucha en varios medios acerca de incidentes de seguridad informática,
como ataques de virus que causan pérdidas y daños que pueden llegar a representar grandes
sumas de dinero para una organización, ataques remotos de hackers a instituciones
financieras, ataques a los sitios Web de grandes y prestigiosas empresas y corporaciones, etc.
Este tipo de incidentes son los que hacen cada vez más interesante la seguridad informática,
pero así mismo significa tareas y responsabilidades diarias de esta área para prevenir ataques
como los antes mencionados. Es por esto que la administración de la seguridad informática
es uno de los temas más importantes en la estructura de seguridad informática de una
organización.
La tarea de administración, comprende la administración de riesgos, definición, creación e
implementación de políticas de seguridad, procedimientos, estándares, guías, clasificación de
información, organización de la estructura de seguridad de la compañía, y la educación de los
individuos de la organización, entre otras.
Como se mencionó anteriormente, la clave de un programa de seguridad informática, es la
protección de los activos más importantes de la compañía. Los cuales pueden ser
identificados mediante los análisis de riesgos, además de la identificación de las
vulnerabilidades y amenazas que pueden llegar a afectar dichos activos, y estimar los costos
y daños que tendría para la compañía, la materialización de una o más de dichas amenazas.
Como resultado de los análisis de riesgos se puede lograr tener un presupuesto de las
inversiones necesarias para la protección de dichos activos, contra los riesgos anteriormente
identificados.
La administración de seguridad debe tener en cuenta que el desarrollo y crecimiento de un
sistema, las redes, etc., producen cambios constantes en las políticas de seguridad, en la
protección de bienes y las amenazas establecidas, lo cual requiere también de una debida
gestión y administración.
Una de las formas más utilizadas para hacer administración de la seguridad informática, se
basa en la utilización de estándares. No sólo existen estándares reconocidos
internacionalmente, sino también han surgido estándares locales o nacionales, referentes a la
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
48
administración de seguridad informática. La razón principal de la creación de estos
estándares locales, radica en la casuística y especificidad que pueden llegar a tener las
mejores prácticas en el área, en un país o región determinada.
Dentro de la administración de la seguridad de la información, se deberían tener en cuenta las
inversiones requeridas para el desarrollo de los procedimientos, políticas, estándares, etc.,
anteriormente mencionados, y para que dichas inversiones lleguen a retornar los beneficios o
ganancias esperadas, se debería también conocer la forma de estimar las ganancias o posibles
pérdidas de dichas inversiones.
SEGURIDAD DE LA INFORMACION
En la seguridad de la información es importante señalar que su manejo está basado en la
tecnología y debemos de saber que puede ser confidencial: La información está centralizada
y puede tener un alto valor. Puede ser divulgada, mal utilizada, ser robada, borrada o
saboteada: Esto afecta su disponibilidad y la pone en riesgo.
La información es poder y a la información se le conoce como:
- Critica: Es indispensable para la operación de la empresa
- Valiosa: Es un activo de la empresa y muy valioso
- Sensitiva: Debe de ser conocida por las personas autorizadas
La seguridad de la información abarca muchas cosas, pero todas estas giran en torno a la
información como por ejemplo la disponibilidad, comunicación, identificación de problemas,
análisis de riesgos, la integridad, confidencialidad, recuperación de los riesgos.
Seguridad de la Información tiene como fin la protección de la información y de los sistemas
de la información del acceso, uso, divulgación, interrupción o destrucción no autorizada. Se
refiere a la Confidencialidad, Integridad y Disponibilidad de la información y datos,
independientemente de la forma los datos pueden tener: electrónicos, impresos, audio u otras
formas.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
49
Involucra la implementación de estrategias que cubran los procesos en donde la información
es el activo primordial. Estas estrategias deben tener como punto primordial el
establecimiento de políticas, controles de seguridad, tecnologías y procedimientos para
detectar amenazas que puedan explotar vulnerabilidades y que pongan en riesgo dicho activo,
es decir, que ayuden a proteger y salvaguardar tanto información como los sistemas que la
almacenan y administran.
Cabe mencionar que la seguridad es un proceso continuo de mejora por lo que las políticas y
controles establecidos para la protección de la información deberán revisarse y adecuarse, de
ser necesario, ante los nuevos riesgos que surjan, a fin de tomar las acciones que permitan
reducirlos y en el mejor de los casos eliminarlos.
PLANIFICACION DE LA SEGURIDAD
Hoy en día la rápida evolución del entorno técnico requiere que las organizaciones adopten
un conjunto mínimo de controles de seguridad para proteger su información y sistemas de
información. El propósito del plan de seguridad del sistema es proporcionar una visión
general de los requisitos de seguridad del sistema y se describen los controles en el lugar o
los previstos para cumplir esos requisitos. El plan de seguridad del sistema también delinea
las responsabilidades y el comportamiento esperado de todos los individuos que acceden al
sistema. Debe reflejar las aportaciones de distintos gestores con responsabilidades sobre el
sistema, incluidos los propietarios de la información, el propietario de la red, y el alto
funcionario de la agencia de información de seguridad (SAISO).
Los administradores de programas, los propietarios del sistema, y personal de seguridad en la
organización debe entender el sistema de seguridad en el proceso de planificación. Los
responsables de la ejecución y gestión de sistemas de información deben participar en el
tratamiento de los controles de seguridad que deben aplicarse a sus sistemas.
Es importante formular un plan de respuestas a incidentes, soportarlo a lo largo de la
organización y probarlo regularmente. Un buen plan de respuestas a incidentes puede no sólo
minimizar los efectos de una violación sino también, reducir la publicidad negativa.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
50
Desde la perspectiva del equipo de seguridad, no importa si ocurre una violación o abertura
(pues tales eventos son una parte eventual de cuando se hacen negocios usando un método de
poca confianza como lo es Internet), sino más bien cuando ocurre. El aspecto positivo de
entender la inevitabilidad de una violación a los sistemas (cualquier sistema donde se procese
información confidencial, no está limitado a servicios informáticos) es que permite al equipo
de seguridad desarrollar un curso de acciones para minimizar los daños potenciales.
Combinando un curso de acciones con la experiencia le permite al equipo responder a
condiciones adversas de una manera formal y oportuna.
El plan de respuesta a incidentes puede ser dividido en cuatro fases:
- Acción inmediata para detener o minimizar el incidente
- Investigación del incidente
- Restauración de los recursos afectados
- Reporte del incidente a los canales apropiados
Una respuesta a incidentes debe ser decisiva y ejecutarse rápidamente. Debido a que hay muy
poco espacio para errores, es crítico que se efectúen prácticas de emergencias y se midan los
tiempos de respuesta. De esta forma, es posible desarrollar una metodología que fomenta la
velocidad y la precisión, minimizando el impacto de la indisponibilidad de los recursos y el
daño potencial causado por el sistema en peligro.
Un plan de respuesta a incidentes tiene un número de requerimientos, incluyendo:
- Un equipo de expertos locales (un Equipo de respuesta a emergencias de
computación)
- Una estrategia legal revisada y aprobada
- Soporte financiero de la compañía
- Soporte ejecutivo de la gerencia superior
- Un plan de acción factible y probado
- Recursos físicos, tal como almacenamiento redundante, sistemas en stand by y
servicios de respaldo
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
51
La respuesta a incidentes debe ir acompañada con recolección de información siempre que
esto sea posible. Los procesos en ejecución, conexiones de red, archivos, directorios y mucho
más deberían ser auditados activamente en tiempo real. Puede ser muy útil tener una toma
instantánea de los recursos de producción al hacer un seguimiento de servicios o procesos
maliciosos.
ANÁLISIS DE RIESGOS
El activo más importante que se posee es la información y, por lo tanto, deben existir técnicas
que la aseguren, más allá de la seguridad física que se establezca sobre los equipos en los
cuales se almacena. Estas técnicas las brinda la seguridad lógica que consiste en la aplicación
de barreras y procedimientos que resguardan el acceso a los datos y sólo permiten acceder a
ellos a las personas autorizadas para hacerlo.
Existe un viejo dicho en la seguridad informática que dicta: "lo que no está permitido debe
estar prohibido" y ésta debe ser la meta perseguida.
Los medios para conseguirlo son:
- Restringir el acceso (de personas de la organización y de las que no lo son) a los
programas y archivos.
- Asegurar que los operadores puedan trabajar pero que no puedan modificar los
programas ni los archivos que no correspondan (sin una supervisión minuciosa).
- Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el
procedimiento elegido.
- Asegurar que la información transmitida sea la misma que reciba el destinatario al
cual se ha enviado y que no le llegue a otro.
- Asegurar que existan sistemas y pasos de emergencia alternativos de transmisión
entre diferentes puntos.
- Organizar a cada uno de los empleados por jerarquía informática, con claves distintas
y permisos bien establecidos, en todos y cada uno de los sistemas o aplicaciones
empleadas.
- Actualizar constantemente las contraseñas de accesos a los sistemas de cómputo.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
52
Cuando se pretende diseñar una técnica para implementar un análisis de riesgo informático se
pueden tomar los siguientes puntos como referencia a seguir:
- Construir un perfil de las amenazas que esté basado en los activos de la organización.
- Identificación de los activos de la organización.
- Identificar las amenazas de cada uno de los activos listados.
- Conocer las prácticas actuales de seguridad
- Identificar las vulnerabilidades de la organización.
Recursos humanos
Recursos técnicos
Recursos financieros
- Identificar los requerimientos de seguridad de la organización.
- Identificación de las vulnerabilidades dentro de la infraestructura tecnológica.
- Detección de los componentes claves
- Desarrollar planes y estrategias de seguridad que contengan los siguientes puntos:
Riesgo para los activos críticos
Medidas de riesgos
Estrategias de protección
Planes para reducir los riesgos.
La administración y evaluación de riesgos conlleva a un proceso de análisis y valoración de
riesgos que están básicamente compuesto por:
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
53
Ilustración 4 Componentes de Análisis y Valoración de Riesgos
Fig. 3.1: Componentes de Análisis y Valoración de Riesgos
La administración de riesgos es el término aplicado a un método lógico y sistemático de
establecer el contexto, identificar, analizar, evaluar, tratar, monitorear y comunicar los
riesgos asociados con una actividad, función o proceso de una forma que permita a las
organizaciones minimizar pérdidas y maximizar oportunidades. Administración de riesgos es
tanto identificar oportunidades como evitar o mitigar pérdidas.
El análisis de riesgos, tiene una estructura bien definida que nos ayuda a identificar los
riesgos a los cuales están sometidos los activos de la organización, para evaluarlos y
analizarlos con el fin de priorizar y clasificar, qué riesgos deben ser administrados.
La seguridad informática busca dicha protección, pero para que ésta cumpla su función,
requiere inversión, lo cual trae costos elevados que no siempre están disponibles en las
organizaciones; por este motivo, es necesario tener una correcta administración de riesgos
que incluya su correspondiente análisis de riesgos, para lograr decidir en qué riesgos invertir
y en cuáles no es necesario, según su prioridad.
Risk Management Guide for Information Technology Systems, define el riesgo en función de
la probabilidad de que se materialice una amenaza debido a una vulnerabilidad existente, y el
impacto resultante que perjudica a la organización a razón de dicho evento. También propone
una metodología para llevar a cabo un análisis de riesgos. Esta propuesta consta de nueve
pasos principales:
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
54
1. Caracterización del sistema
Para identificar los riesgos en un sistema de tecnología de información se requiere tener
conocimiento del ambiente y de los procesos del sistema. Se propone la recolección de
información relacionada con el sistema, por medio de entrevistas, cuestionarios, revisión de
documentos, etc. Este proceso debe ser completo y debe incluir el estudio del contexto
organizacional y del negocio.
Después de realizar este paso podemos tener conocimiento de los límites del sistema,
funciones, sistemas y datos críticos.
2. Identificación de amenazas
Las amenazas son agentes capaces de explotar los fallos de seguridad, que denominamos
puntos débiles y, como consecuencia de ello, causar pérdidas o daños a los activos de una
organización, afectando a sus negocios.
Como se nombró anteriormente, las amenazas se pueden presentar por diferentes causas:
naturales, humanas o del ambiente; y pueden ser ocasionadas voluntarias o intencionalmente.
La identificación de éstas, nos dan a luz algunas de las posibles necesidades de protección
Informática que requiere la organización.
3. Identificación de vulnerabilidades
Las vulnerabilidades son debilidades que son atacadas por las amenazas mediante la
materialización de éstas, y afectan la confidencialidad, disponibilidad e integridad de una
organización, su información o sus individuos.
Las vulnerabilidades pueden ser detectadas a partir de reportes, documentos previos de
valoración de riesgos, requerimientos de seguridad y resultados de pruebas de seguridad.
4. Análisis de controles existentes
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
55
Se deben analizar los controles que han sido implementados o se planean implementar, con
fin de reducir la probabilidad de que una amenaza sea materializada y tomen ventaja de una
vulnerabilidad.
5. Determinación de probabilidad
Este proceso consiste en determinar la probabilidad de que una vulnerabilidad sea explotada,
en un ambiente con amenazas asociadas. Para estimar una probabilidad, se debe tener en
cuenta las amenazas, la naturaleza de la vulnerabilidad y la existencia y eficiencia de
controles actuales.
Para lograr una medición de la probabilidad, debemos definir métricas.
6. Análisis de impacto
Consiste en valorar el impacto causado, como resultado de la materialización de una
amenaza.
Para ello se debe tener en cuenta, en qué medida las amenazas afectan a los sistemas y a los
datos críticos, la misión del sistema, sistemas y datos sensitivos.
Es posible medir el impacto que causa la materialización de una amenaza, calculando el
costo que implica la recuperación del daño causado. Pero esto solo es posible si los daños son
tangibles y pueden ser estimados en dinero. Sin embargo existen otro tipo de impactos que
no pueden ser medidos cuantitativamente, ya que son intangibles, por ejemplo la pérdida de
imagen, reputación, confianza del sistema, etc.
Este tipo de impactos solo pueden ser estimados cualitativamente, ya que no pueden ser
estimados en unidades específicas, sino calificados o descritos en términos de impacto Alto,
Medio o Bajo. Este tipo de medidas cualitativas son relativas, ya que cada persona tiene un
punto de vista diferente, y puede variar la valoración del impacto por cada persona que los
califique.
7. Determinación de riesgo
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
56
Este proceso consiste en la valoración del nivel de riesgo del sistema.
Para determinar el nivel de riesgo, es necesario multiplicar el impacto por la probabilidad de
ocurrencia. Esto puede llevarse a cabo a partir de una matriz con los diferentes niveles de
impacto y probabilidad, y dándole así valores numéricos a cada uno de los niveles definidos.
A partir de esta tabla se puede representar el nivel de riesgo que puede llegar a tener la
materialización de una amenaza frente a una vulnerabilidad, esta matriz realmente muestra el
nivel de riesgo que se tiene, el cual puede llegar a ser significativo para estimar el ROI, ya
que nos presenta y prioriza la necesidad de inversión. Es necesario, al igual que para estimar
el nivel de impacto, el uso de métrica para definir a qué se hace referencia con un nivel
riesgo alto, medio o bajo, y así poder categorizar el nivel de riesgo al que está expuesto el
sistema.
Se muestra un ejemplo de lo que podría ser una matriz de nivel de riesgos.
Tabla 3-1 Ejemplo NIST 800-30
Probabilidad \
Impacto
Bajo (10) Medio (50) Alto (100)
Alto(1.0) Bajo 10 * 1.0 = 10 Medio 50 * 1.0 = 50 Alto 100 * 1.0 = 100
Medio(0.5) Bajo 10 * 0.5 = 5 Medio 50 * 0.5 = 25 Medio100 * 0.5 = 50
Bajo(0.1) Bajo 10 * 0.1 = 1 Bajo 50 * 0.1 = 5 Bajo 100 * 0.1 = 10
Tabla 3-1 Ejemplo NIST 800-30
Tabla 3.1. Ejemplo NIST 800-30
Escala de riesgo: alto (>50 -100); medio (>10-50); bajo (1>10)
8. Recomendaciones de control
El objetivo es reducir el nivel de riesgo del sistema y llevarlo a un nivel aceptable. Debe
tenerse en cuenta los siguientes factores: recomendaciones efectivas, regulación y
legislación, políticas organizacionales, impacto operacional y seguridad y confianza.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
57
9. Documentación de Resultados
Una vez finalizado cada paso del proceso, los resultados deben ser documentados en un
reporte oficial.
Se presenta un diagrama explicativo del Análisis de riesgos:
Fig. 3.2. Diagrama Análisis de Riesgos
Antes de estimar el ROI puede ser útil hacer un análisis de riesgos, para lograr tener
conocimiento de las amenazas a las que está expuesta la organización, las vulnerabilidades
que se tienen, la estimación de la probabilidad de ocurrencia de las amenazas, el riesgo al
cual se está expuesto y el impacto organizacional causado por tener niveles de riesgos
inaceptables. Una vez hecho el análisis, se pueden estimar las pérdidas a las cuales está
expuesta la organización de acuerdo con su nivel de exposición.
Un análisis de riesgos puede ser considerado como una de las opciones que permite priorizar
inversiones de seguridad en la organización, frente a los recursos de inversión que se prevean
para ello. Se puede valorar el nivel de impacto organizacional que se produciría al no invertir
Ilustración 5 Diagrama Análisis de Riesgos Explot
an
Protege
n contra
Increment
an
Incrementa
n
Expon
en
Tienen
Incrementa
n Indican
Definen
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
58
en dichas soluciones de seguridad o al hecho de estar expuestos a amenazas que impacten las
vulnerabilidades del sistema, lo cual perjudica la misión organizacional, y por consiguiente
pérdida del buen funcionamiento del sistema, el cual podría producir mayores costos.
MANEJO DE RIESGOS DENTRO DE LA SEGURIDAD DE INFORMACION
Dentro de la seguridad en la información se lleva a cabo la clasificación de las alternativas
para manejar los posibles riegos que un activo ó bien puede tener dentro de los procesos en
una empresa. Esta clasificación lleva el nombre de manejo de riegos. El manejo de riesgos,
conlleva una estructura bien definida, con un control adecuado y su manejo, habiéndolos
identificado, priorizados y analizados, a través de acciones factibles y efectivas. Para ello se
cuenta con las siguientes técnicas de manejo del riesgo:
- Evitar. El riesgo es evitado cuando la organización rechaza aceptarlo, es decir, no se
permite ningún tipo de exposición. Esto se logra simplemente con no comprometerse
a realizar la acción que origine el riesgo. Esta técnica tiene más desventajas que
ventajas, ya que la empresa podría abstenerse de aprovechar muchas oportunidades.
Ejemplo: No instalar empresas en zonas sísmicas.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
59
- Reducir. Cuando el riesgo no puede evitarse por tener varias dificultades de tipo
operacional, la alternativa puede ser su reducción hasta el nivel más bajo posible. Esta
opción es la más económica y sencilla. Se consigue optimizando los procedimientos,
la implementación controles y su monitoreo constante. Ejemplo: No fumar en ciertas
áreas, instalaciones eléctricas anti flama, planes de contingencia.
- Retener, Asumir o Aceptar el riesgo. Es uno de los métodos más comunes del manejo
de riesgos, es la decisión de aceptar las consecuencias de la ocurrencia del evento.
Ejemplo de Asumir el riesgo: Con recursos propios se financian las pérdidas.
- Transferir. Es buscar un respaldo y compartir el riego con otros controles o entidades.
Esta técnica se usa ya sea para eliminar un riegos de un lugar y transferirlo a otro, ó
para minimizar el mismo, compartiéndolo con otras entidades. Ejemplo: Transferir
los costos a la compañía aseguradora.
MÉTRICAS DE LA SEGURIDAD INFORMÁTICA
Una métrica se puede definir como una herramienta diseñada para facilitar el proceso de
toma de decisiones, a través de la recolección, análisis y reporte de datos relevantes,
relacionados con el desempeño.
En el campo de la seguridad informática, se puede concluir que una métrica confiable, debe
indicar el grado en que los objetivos de la seguridad informática están siendo alcanzados, y
ayudan a llevar a cabo acciones en busca del mejoramiento del programa e infraestructura de
seguridad de la organización.
Las métricas pueden ser una herramienta efectiva para monitorear y medir la efectividad y el
estado de diferentes componentes y sus actividades, que componen su programa e
infraestructura de seguridad. Dichas métricas pueden además ayudar a la identificación de los
niveles de riesgo de ciertos componentes, siendo así parte del proceso de administración de
riesgos que lleva la organización, para poder dar prioridades a dichos riesgos, y llevar a cabo
las acciones necesarias.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
60
Las métricas pueden cambiar de tres formas:
• A través del tiempo: debido a cambios en el entorno y en la tecnología, que obligan a
modificaciones en las medidas tomadas y los mecanismos de seguridad implementados.
• Según la industria: no todas las industrias son iguales, y por lo tanto su definición de
métricas es diferente, dependiendo de sus metas y objetivos de seguridad informática,
basados en la misión y objetivos organizacionales.
• Según las acciones: el estado de la seguridad de la organización cambia dependiendo de las
protecciones implementadas en uno u otro lugar para mitigar riesgos. Cada vez que se
implementa un nuevo control o protección, cambia el estado de la organización y por
consiguiente cambian las medidas de las métricas.
Las métricas pueden encontrarse tipificadas o categorizadas en tres tipos:
• De Implementación, para medir la efectividad de la implementación de políticas de
seguridad.
• De Efectividad y Eficiencia, para medir los resultados de los servicios de seguridad
implementados.
• De Impacto, para medir el impacto de los eventos de seguridad en el negocio o la misión
de la organización.
Para esta investigación se utilizarán en su gran mayoría, las métricas de impacto, ya que éstas
ayudarán a medir el impacto de los riesgos asociados, para luego poder calcular el retorno de
las inversiones que se pueden hacer con el objetivo de mitigar dichos riesgos. Sin embargo,
los otros dos tipos de métricas son útiles en el proceso de medición de probabilidad de
ocurrencia y efectividad de los procesos que actualmente se ejecutan en las organizaciones.
Las métricas de seguridad son algo difícil de crear y comprender, debido a que esta disciplina
es reciente, y se encuentra en un estado de desarrollo, además podemos decir que son activos
intangibles.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
61
Luego de un análisis de los modelos propuestos, se puede deducir la siguiente guía para la
generación de métricas, encaminada al uso de las métricas en la presente investigación:
1. Identificar las metas y objetivos del sistema o programa de seguridad informática de la
organización.
2. Identificar las políticas, procedimientos y controles existentes
3. Definir qué métricas se van a generar: este proceso puede ser iniciando desde los objetivos
previamente identificados, y para cada uno, se pueden identificar métricas específicas que
pueden ayudar a determinar si dichos objetivos se están cumpliendo o no.
4. Desarrollar y planear estrategias para la generación de las métricas.
5. Crear un plan de acción para la generación de las métricas, y ejecutarlo.
Se puede concluir entonces, que las métricas de seguridad pueden ser utilizadas dentro de un
proceso de análisis, administración de riesgos y la justificación de las inversiones, mediante
el cálculo del retorno de las inversiones en dichos proyectos.
SEGURIDAD EN UN SISTEMA DE INFORMACION
Cuando se habla de la función informática generalmente se tiende a hablar de tecnología
nueva, de nuevas aplicaciones, nuevos dispositivos de hardware, nuevas formas de elaborar
información más consistente, etc.
Sin embargo se suele pasar por alto o se tiene muy implícita la base que hace posible la
existencia de los anteriores elementos. Esta base es la información.
Es muy importante conocer su significado dentro la función informática, de forma esencial
cuando su manejo está basado en tecnología moderna, para esto se debe conocer que la
información:
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
62
- esta almacenada y procesada en computadoras
- puede ser confidencial para algunas personas o a escala institucional
- puede ser mal utilizada o divulgada
- puede estar sujeta a robos, sabotaje o fraudes
Los primeros puntos nos muestran que la información está centralizada y que puede tener un
alto valor y los últimos puntos nos muestran que se puede provocar la destrucción total o
parcial de la información, que incurre directamente en su disponibilidad que puede causar
retrasos de alto costo.
Si se piensa por un momento que se sufre un accidente en el centro de cómputo o el lugar
donde se almacena la información. ¿Cuánto tiempo pasaría para que la organización este
nuevamente en operación?
Es necesario tener presente que el lugar donde se centraliza la información con frecuencia el
centro de cómputo puede ser el activo más valioso y al mismo tiempo el más vulnerable.
Delitos accidentales e incidentales:
Los delitos cometidos utilizando la computadora han crecido en tamaño, forma y variedad.
En la actualidad los delitos cometidos tienen la peculiaridad de ser descubiertos en un 95%
de forma casual. Podemos citar a los principales delitos hechos por computadora o por medio
de computadora estos son:
- fraudes
- falsificación
- venta de información
Entre los hechos criminales más famosos en los E.E.U.U. están:
- El caso del banco Wells Fargo donde se evidencio que la protección de
archivos era inadecuada, cuyo error costo USD 21.3 millones.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
63
- El caso de la NASA donde dos alemanes ingresaron en archivos
confidenciales.
- El caso de un muchacho de 15 años que entrando a la computadora de la
Universidad de Berkeley en California destruyo gran cantidad de archivos.
- También se menciona el caso de un estudiante de una escuela que ingreso a
una red canadiense con un procedimiento de admirable sencillez, otorgándose
una identificación como un usuario de alta prioridad, y tomo el control de una
embotelladora de Canadá.
- También el caso del empleado que vendió la lista de clientes de una compañía
de venta de libros, lo que causo una pérdida de USD 3 millones.
RETORNO A LA INVERSION (ROI) EN SEGURIDAD INFORMÁTICA
El cálculo del ROSI deriva de la forma genérica de “Retorno de la Inversión” (ROI), que es
un indicador bien conocido y ampliamente utilizado por las gerencias de Finanzas y
Administración en general:
ROI = (Beneficio – Costo) / Costo
De forma genérica: si el ROI es positivo, estamos frente a una inversión que conviene
considerar; sino, los costos superarán el beneficio, por lo cual no es recomendable.
Cabe aclarar que cuando nos referimos a “Beneficio”, esto significa “Beneficio Económico”:
una de las principales ventajas que presentan este tipo de indicadores, es que no analiza los
detalles técnicos particulares de cada inversión, sino solamente el impacto que éstas tendrán
sobre la rentabilidad de la Organización, tanto en los ingresos como en los costos.
En el caso del ROSI, si bien la fórmula conserva la forma del cálculo del ROI, los
indicadores son diferentes:
ROSI = (Riesgo Disminuido – Costo) / Costo
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
64
Esto es así porque cuando analizamos una inversión en Seguridad, no buscamos un aumento
en los ingresos, sino más bien una disminución del Riesgo al que están expuestos los
principales procesos del Negocio.
Antes de continuar con detalles inherentes al cálculo del ROSI, es fundamental comprender
esta diferencia en cuanto a los indicadores: aun cuando estemos frente a un proyecto que
vaya a aumentar los ingresos de la Organización y que dependa fuertemente de controles
asociados a la Seguridad de la Información (por ejemplo: la implementación de una nueva
plataforma de e-commerce), los análisis de ROI y ROSI se realizan necesariamente por
separado, ya que el “ROI” estaría representando la inversión “imprescindible” para el
desarrollo del Negocio, mientras que el ROSI representa la inversión más adecuada de
acuerdo al “Nivel de Riesgo” que estamos dispuestos a asumir.
Y ésta es la primera clave a considerar en el desarrollo de un cálculo de ROSI representativo
de la Organización y del Negocio: como garantizar un determinado nivel de Seguridad de la
Información es imposible (menos aún, el ideal de “100%”), lo que se busca no es justificar la
implementación de “la mejor solución”, sino encontrar cuál es “la más adecuada” de acuerdo
al Nivel de Riesgo tolerable para el Negocio.
Por supuesto, siempre que tenemos que elegir, necesitamos opciones, y en esto se basa
nuestra metodología para el cálculo de ROSI: una herramienta de decisión, que nos permite
elegir la mejor de las diferentes opciones que tenemos disponibles.
Adicionalmente, si bien todo cálculo de Riesgo siempre tiene asociados componentes
“subjetivos” o no demostrables, nuestra metodología nos permitirá utilizar un modelo de
fórmula aceptado ampliamente en los niveles más altos de la Organización, con un conjunto
de técnicas matemáticas que disminuirán los componentes subjetivos del análisis a los
niveles más bajos posibles.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
65
3.2 Diagnóstico
Para el diagnostico se tomó la información relevada sobre los proyectos o servicios similares
y sobre el marco teórico del estado actual del arte, conjuntamente con el problema base de
este proyecto como así también las limitaciones identificadas en el mismo.
Este diagnóstico lo podemos encuadrar en el modelo: “Que existe una teoría o varias
completamente desarrolladas aplicables al problema o situación”. La selección de este
modelo se basa y justifica en que como se detalló anteriormente, existen actualmente, varias
teorías y técnicas, aplicables a nuestro proyecto, el problema es que todavía no han sido
implementadas conjuntamente para brindar una solución a las empresas.
Además se debe tener en cuenta que las teorías propuestas no tienen el alcance necesario para
implementar en cualquier organización, y que no existe una metodología práctica que
permita llevar a cabo la estimación del ROSI.
Es por todo lo expuesto anteriormente que el diagnóstico es que el problema de la falta de
una metodología específica que permita llevar adelante la estimación del ROI en la
seguridad, teniendo en cuenta el gran crecimiento de la digitalización de la información como
así también el incremento de información altamente sensible y de muy alto valor tanto
económico como social y cultural en cuanto a su gran repercusión si dejase de estar
disponible.
Es por todo esto que la principal diferencia entre el presente proyecto y los servicios actuales
de ROSI es que el presente trabajo tiene por objetivo brindar una solución específica a la
estimación del ROSI válida para cualquier organización y con una guía práctica que facilite
el cálculo definido.
Greg McLean y Jason Brown, afirman que la seguridad no debe ser planeada alrededor del
suministro de un retorno en la inversión en dinero, debe ser planeada con el objetivo de
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
66
proporcionar un nivel de comodidad a la alta gerencia, mantener a los intrusos fuera de la
red, y los errores u omisiones deben mantenerse a un nivel de riesgo aceptable, etc.
Puede suceder que muchas organizaciones tengan la misma infraestructura, pero cada una
puede tener un conjunto único de requerimientos de seguridad, y sus bienes pueden requerir
diferentes niveles de atención. Como ejemplo podemos ver los diferentes daños que puede
causar un mismo tipo de ataque a un servidor de un banco, o a un servidor de hosting. Las
técnicas de ataque pueden ser similares, pero las diferencias de pérdidas a dichos ataques
pueden ser grandes. Los daños causados en el servidor del banco pueden generar un alto
nivel de pérdida de información valiosa, en tanto que la pérdida de información de un
servidor hosting puede no tener mayor costo.
Debido a estas dificultades, se han generado polémicas y varios puntos de vista de diferentes
autores los cuales proponen posibles intentos de calcular el ROI en seguridad informática.
Modelos propuestos para el cálculo del ROI en seguridad informática
La universidad de Carnegie Mellon trabajó para estudiar la supervivencia de un
sistema en red. Su propuesta se basó en recolectar datos empíricos sobre seguridad y
amenazas de seguridad.
Las variables existentes para esta prueba, fueron la inversión en seguridad y la
supervivencia de la infraestructura de tecnología de información. Basados en estas
variables, se realizaron y se documentaron ataques a un sistema, haciendo uso de una
máquina que generaba ataques, los cuales eran configurables para que fueran en
ocasiones más robustos que en otros casos.
También fue necesario tener variación en los niveles de inversión en seguridad para
lograr concluir frente a estas variables, el impacto o supervivencia del sistema en
prueba.
Después de realizar dichas pruebas, variando el nivel de inversión en seguridad y
robustez de los ataques, se evaluó la supervivencia del sistema atacado. Los gráficos
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
67
resultantes presentaron una curva que refleja que a mayor inversión, mayor
supervivencia del sistema, pero se muestra un punto de quiebre, en el cual, para
aumentar la supervivencia a partir de este punto, era necesario tener una mayor
inversión para lograr aumentar en tan solo un poco el nivel de supervivencia del
sistema.
En la Universidad de Idaho, se realizó otra investigación para estimar el ROI.
Consistió en la construcción de un Sistema de Detección de Intrusos (SDI) y asignar
valor a los activos tangibles, los cuales eran medidos en dólares y los intangibles con
valores relativos. Los investigadores lograron calcular resultados teóricos a partir de
lo que llamaron Pérdida Anual Esperada (ALE): que es definido como el costo del
daño causado por un ataque, multiplicado por la frecuencia de ocurrencia durante un
año. Según los estudios de la Universidad de Idaho para estimar el ROI se puede
utilizar: ROI=(ALE x EFICIENCIA DEL IDS) – COSTO DEL IDS
Marcia J. Wilson propone una serie de pasos para tener en cuenta al momento de
tratar de estimar el ROI en seguridad informática, estos son:
• Identificar los activos de información: recursos, productos, infraestructura
computacional de red, la información referente a la organización, los clientes y
empleados. Perder confidencialidad, integridad y disponibilidad puede representar
pérdida tangible en dólares y/o pérdidas intangibles, como puede ser de
reputación o imagen organizacional.
• Identificar amenazas y vulnerabilidades: una amenaza es cualquier evento que
causa un resultado indeseado. Las amenazas pueden ser de diferentes tipos y
causan diferentes efectos.
• Hacer una valoración de los activos: puede ayudar a priorizar la necesidad de
protegerlos. Esta tarea puede llegar ser realizada a partir de una matriz que liste
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
68
cada uno de los activos en riesgo, y ser clasificados en una escala de alto, medio o
bajo según las necesidades del sistema.
Una vez recabada la información, es necesario comprender cuánto le costaría a la
organización la pérdida de estos, versus el costo que tendría protegerlos. A partir de
estos principios se podría llegar a estimar el ROI en seguridad informática de una
organización.
Se presentan algunas fórmulas que pueden ser empleadas para ayudar a calcular el
ROI en seguridad. Entre estas encontramos:
El Factor de exposición (EF): para un activo en particular, es el porcentaje de pérdida
si un evento ocurriese.
Pérdida Esperada (SLE): cantidad de dólares necesarios en caso de que ocurra un
incidente.
Tasa de ocurrencia anual (ARO): estimación de la frecuencia de ocurrencia de un
evento. Puede ser estimado basado en tipos de vulnerabilidades y amenazas que son
conocidas o han sido documentadas.
Pérdida anual Esperada (ALE): SLE * ARO = ALE
La pérdida anual Esperada, puede llegar a ser útil para determinar el impacto causado
por la materialización de una amenaza, a partir de este estimado se lograría
determinar el ahorro que una inversión representa para un determinado riesgo.
Eddie Schwartz en opina que las ecuaciones propuestas, son fórmulas estándar para la
valoración cuantitativa de riesgos; pero hacen falta datos estadísticos en la mayoría de
las organizaciones, para aplicar estas fórmulas. Por ejemplo, es muy escasa la
información de ALE y ARO sobre vulnerabilidades y amenazas de seguridad, lo cual
hace que al aplicar dichas fórmulas, esto se haga de forma incompleta.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
69
El ROI en seguridad informática, no es tangible, ya que el “retorno” no incrementa
tangiblemente la productividad de los empleados, ni disminuye los costos
operacionales.
Greg McLean y Jason Brown proponen uscar estimar el retorno de la inversión,
listando los tipos de exposición y el costo que esto implicaría si llegase a ocurrir. Esta
clasificación se realiza tanto para factores cuantitativos, como cualitativos, los cuales
son clasificados en tres grupos: exposición financiera, procesos ineficientes y costos
intangibles. Su propuesta también incluye una clasificación de inversiones junto con
el costo que sería necesario para su implementación; estos serían agrupados en:
inversiones de instalación e inversiones de mantenimiento.
Este tipo de estimación se propone que debe hacerse cada tres años. A partir de estos
datos la suma del costo de inversiones de instalación se divide en tres años y se
suman a los costos de mantenimiento anual. Por lo tanto se suman las inversiones
anuales y se restan los costos de exposición evitados con la inversión
correspondiente. Esto permitiría, calcular una estimación de lo que se puede llegar a
recibir después de hacer una inversión en seguridad.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
70
4. TERCERA PARTE: MODELO TEORICO
Se presentará el modelo propuesto en esta investigación, acerca de cómo podría hacerse el
cálculo del ROSI (Return On Security Investment), teniendo en cuenta lo visto y analizado
en dichos modelos.
Los modelos propuestos por otros autores, nombrados anteriormente, presentan algunas
limitaciones, una de las limitaciones que existen es la falta de formas de medir los activos o
aspectos intangibles de las organizaciones.
A través del proceso de análisis y administración de riesgos en una organización se puede
llegar a medir el retorno de las inversiones en seguridad informática.
Tomando como soporte los análisis realizados alrededor de los modelos para el cálculo del
ROSI, el proceso de administración de riesgos y la utilidad de las métricas en la seguridad
informática, se planteará el diseño del modelo con miras a la guía metodológica a desarrollar
durante esta investigación.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
71
Modelo general de cálculo del retorno a la inversión:
Fig. 4.1. Modelo propuesto
Ilustración 6 Modelo propuesto
Aproximan
Se clasifican por
Genera lista
Análisis de Riesgos
Riesgo
s
Probabilidad
de Ocurrencia
Magnitud del
Impacto
Costo de
Impacto
Costo de
Mitigación
ROSI
Nivel de
Criticidad
Determinado por
Tienen
ADMINISTRACION DE
RIESGOS
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
72
4.1 Descripción del Modelo
Para comenzar el modelo se utiliza como base el proceso de Administración de Riesgos, el
cual consiste en un proceso iterativo que consta de una secuencia de pasos.
Este proceso incluye la identificación de los riesgos a los que está expuesta la organización
en un momento dado, y que en este caso, se refieren a riesgos de seguridad de la información.
Luego de la identificación de riesgos, permite analizar, evaluar, tratar, monitorear y
comunicar los riesgos asociados a la infraestructura de seguridad de la información.
Durante el proceso Administración de Riesgos se involucra un subproceso llamado Análisis
de Riesgos, detallado anteriormente. Este proceso permite establecer una lista de riesgos
clasificados según su nivel de criticidad, determinado por la probabilidad de ocurrencia y la
magnitud del impacto que generaría la materialización de un riesgo determinado. Los riesgos
que resultan ser más críticos, o con prioridad alta, involucran los activos más importantes y
valiosos de la organización, por lo cual son los que primero deben ser mitigados, en el menor
tiempo posible. Sin embargo, el modelo propuesto permitiría evaluar cualquier tipo de riesgo,
ya sea con prioridad alta, media o baja.
Para cuantificar la probabilidad de ocurrencia y el impacto del riesgo, se pueden utilizar
como herramientas, algunas métricas definidas para valorar, por ejemplo, la magnitud de
dicho impacto.
Para lograr la estimación de la probabilidad o número de ocurrencias de los eventos no
deseados, lo más deseable es contar con datos históricos de los eventos sucedidos en la
organización, relacionados con el riesgo que se esté evaluando.
En caso de no tener registros de los eventos sucedidos en períodos anteriores que ayuden a
estimar dicha probabilidad de ocurrencia, es posible basarse en historiales obtenidos de
organizaciones de características similares, en cuanto a su tamaño, sector, ingresos anuales,
número de clientes, entre otros aspectos. Aunque es poco probable que dicha información
esté disponible, y por lo tanto habría que buscar otro medio para realizar dichas estimaciones.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
73
La estimación del impacto que puede causar la ocurrencia de un evento no deseado,
consistiría en calcular el costo de recuperación de los daños causados por dicho evento. Para
ello, es necesario tener en cuenta el mayor número de aspectos implicados en la recuperación
de los sistemas o activos afectados por la ocurrencia del evento.
Algunos ejemplos de estos factores son: el número de horas de inactividad de la organización
debido al evento ocurrido y el costo que esto implica, porcentaje de actividades paralizadas
debido al evento, cantidad correspondiente en dinero que implica el porcentaje de inactividad
del negocio, costo por hora de los empleados afectados y de los empleados que se requieren
para el restablecimiento de los sistemas afectados, tiempo estimado de recuperación, entre
muchos otros aspectos que pueden variar dependiendo del tipo y actividad principal de la
organización y del tipo de evento analizado.
Una vez que se obtuvo la lista de los riesgos asociados a la infraestructura de seguridad de la
organización, y de haber realizado el análisis de dichos riesgos, se debería contar con el costo
de impacto para cada uno de ellos. Este costo está basado en la estimación del impacto,
realizado en la valoración de cada uno de los riesgos.
Para cada uno de los riesgos se puede también calcular el costo de mitigación (costo de
implementar y mantener una solución que permita disminuir la probabilidad de la ocurrencia
del evento o eventos asociados a dichos riesgos); lo cual incluye: el costo de la inversión que
implica la implementación de la solución, los costos de operación, que incluyen los costos de
mantenimiento y soporte anual que requiere dicha solución.
Un riesgo no necesariamente se mitiga con un solo control o inversión; se puede tener la
necesidad de hacer varias inversiones con el objetivo de mitigar algún riesgo de la manera
más efectiva. También, es posible que una inversión planeada para la mitigación de un riesgo
específico, ayude también a mitigar de manera parcial, otros riesgos identificados en la
valoración realizada anteriormente.
Una vez que se cuenta con esta información, se puede iniciar con el análisis del ROSI, el cual
consta de una lista de riesgos priorizados según su criticidad, la probabilidad de ocurrencia y
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
74
estimación de impacto para cada uno de dichos riesgos, el costo de impacto para cada riesgo,
y el costo de mitigación para cada uno de los riesgos.
El diseño del modelo está hecho para realizar periódicamente el proceso, y se sugieren lapsos
de tiempo anuales, en los cuales se realicen las iteraciones sobre el modelo.
Esto se hace con el objetivo de ver y analizar el comportamiento de las inversiones y su
retorno a través del tiempo, y poder estimar los ahorros e inversiones que cada año se harían.
Para cada uno de los análisis anuales, es importante tener en cuenta, además de los factores
nombrados anteriormente, un nuevo valor que se denomina Recuperación Anual del Impacto
(RAI). Este valor corresponde al costo estimado de impacto, calculado en el año 0, es decir el
costo de impacto que ya se tiene en el listado previo. Servirá para poder comparar, desde el
segundo año en adelante, el ahorro anual que se tiene gracias a la inversión realizada.
Se podría decir que el RAI es la cantidad de dinero que habría tenido que gastarse en la
recuperación de los daños, en el caso en que no se hubiera hecho la inversión inicial.
A continuación se presentarán ejemplos para poder observar los beneficios o retorno que da
la inversión hecha, a partir de la relación de los valores de Impacto y la Inversión inicial que
se haría para mitigar el riesgo en el primer año.
Año 1
Impacto menor que la Inversión inicial
Tabla 4-1 Modelo – Estimación año 1, Impacto menor que la inversión inicial
Riesgo n Año ($)
Inversión 200
Impacto 80
Operación -
Gasto Adicional -120
Tabla 4.1. Modelo – Estimación año 1, Impacto menor que la inversión inicial
El ejemplo muestra una inversión de 200 pesos, y un costo de impacto de 80 pesos.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
75
El valor del RAI sería de 80 pesos, ya que es la cantidad que se tendría que gastar en
reparación de daños, si no se implementa la solución o inversión. Se puede apreciar que para
este año, se tiene un valor negativo de -120 pesos; muestra la relación entre Inversión e
Impacto, que haciendo una simple resta aritmética, indica que en dicho año hubo que gastar
120 pesos más de lo que se hubiera gastado sin la inversión, es decir, 120 pesos más que el
RAI, los cuales se deben tener en cuenta para “recuperar” al siguiente año.
Impacto mayor que la Inversión inicial
Tabla 4-2 Modelo – Estimación año 1, Impacto mayor que la inversión inicial
Riesgo n
Año ($)
Inversión 200
Impacto 220
Operación -
Gasto Adicional +20
Tabla 4.2. Modelo – Estimación año 1, Impacto mayor que la Inversión inicial
En este caso, la inversión inicial es de 200 pesos, contra un costo de impacto de 220 pesos.
Es por esto que en este primer año, cuando la inversión inicial es menor que el costo de
impacto, ya se tiene un ahorro de 20 pesos, con lo cual se tendría ya un retorno de la
inversión, que estaría representado por el beneficio del ahorro. Se podría definir el ahorro
como: Ahorro = RAI – Inversión, o lo que es lo mismo, Ahorro = Impacto – Inversión.
Año 2 en adelante
Para los años siguientes se debe realizar una nueva iteración sobre el modelo para cada uno
de los riesgos, y de esta manera, se obtendrán nuevos valores para el impacto y los costos de
operación. Para el Costo de Operación se tendrían en cuenta los costos de mantenimiento de
la solución implementada en el año 1. Y en el Costo de Impacto, se tendrían en cuenta los
costos que implica la reparación de los daños residuales asociados con cada uno de los
riesgos. Es decir, el Impacto que probablemente no fue mitigado en su totalidad por la
solución implementada.
Un ejemplo para el año 2:
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
76
Tabla 4-3 Modelo - Estimación año 2
Riesgo n Año 1 ($) Año 2 ($)
Inversión 100 -
Impacto 80 20
Operación - 15
Gasto o Ahorro -20 35
Pendiente por
Recuperar
20
Ahorro Total o Saldo
por Recuperar
25
Tabla 4.3. Modelo - Estimación año 2
La inversión (en costos de mantenimiento) en el año 2 es de 15 pesos, y tiene un costo de
impacto de 20 pesos. Esto daría un total de 35 pesos que habría que invertir en ese segundo
año, y comparando este valor con el valor del RAI (80 pesos), se tendría un ahorro de 45
pesos; pero hay que tener en cuenta el valor que había pendiente por recuperar del año
anterior es de 20 pesos. Por lo tanto, el ahorro finalmente sería de 25 pesos. De esta manera
el ahorro para el año 2 en adelante se podría definir como: Ahorro = (RAI – (Gasto del año))
– (Pendiente por Recuperar); para nuestro ejemplo: Ahorro = (80 − 15) − 20 = 45
La organización debería poder realizar un proceso iterativo para que se pueda determinar a lo
largo de los años, un valor estimado de los beneficios o retornos que se presentan debido a
las inversiones realizadas en períodos anteriores.
4.2 Introducción a la Guía Metodológica
A continuación se presenta la secuencia de pasos que compone la guía metodológica objetivo
de esta investigación, con la cual se busca proponer una forma para estimar el retorno de las
inversiones en seguridad de la información.
La guía metodológica está basada en un documento de recomendaciones del NIST (National
Institute of Standards and Technology), el cual se titula: NIST SP 800-30 Risk Management
Guide for Information Technology Systems. Este documento fue utilizado como base, pero
se realizaron algunas modificaciones en los puntos de determinación de probabilidad de
ocurrencia, impacto y priorización de riesgos, etc.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
77
Esta guía busca orientar al lector y usuario de la misma, para estimar el retorno de las
inversiones en seguridad informática, pero hay que tener en cuenta que el resultado es una
estimación, por lo tanto puede suceder que no tengan precisión. A raíz de esto se busca
mostrar cómo realizar dichas estimaciones positivamente.
El desarrollo de cada uno de los pasos que componen la guía, se ilustrará mediante un
ejemplo de un caso, mostrando algunas sugerencias al respecto. También se debe aclarar que
esta guía metodológica busca ser flexible, es decir, se podría adaptar a cualquier tipo de
organización en donde se aplique, aunque se pueden hacer modificaciones para condiciones
o situaciones particulares.
Se recomienda que la guía metodológica, sea manipulada por personas con conocimiento y
experiencia en el área, buscando una mejor comprensión y aplicación de la misma.
4.3 Ejemplo a desarrollar
A continuación se muestran las características de la organización que se deben tener en
cuenta, cada una con su respectivo ejemplo:
Nombre de la Organización: Ejemplo S.A.
Tipo de Organización: Prestación de Servicios
Misión: Brindar servicios especializados en sistemas de información para la
administración de la información relevante de cada organización.
Tamaño de la organización: la empresa cuenta con aproximadamente 30 empleados,
distribuidos en 4 áreas organizacionales:
• Comercialización
• Sistemas
• Finanzas
• Recursos Humanos
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
78
Información crítica de la organización: los datos críticos son aquellos que
corresponden a la información que suministran los clientes para la implementación de
los proyectos desarrollados. La organización cuenta con información crítica propia de
la misma empresa, correspondientes a la administración, por ejemplo, datos de sus
empleados, contabilidad, datos financieros en general, etc.
Arquitectura de Red: a continuación se presenta el diagrama de la arquitectura de red
con que cuenta la organización para el caso del ejemplo.
Fig. 4.2. Ejemplo - Arquitectura de red
A partir de la información recolectada en Ejemplo S.A., se identificaron los siguientes
controles de seguridad, entre otros:
Firewall: se previene el acceso de software malintencionado y se logra controlar la
entrada a la red por solo personas autorizadas basadas en políticas de la red.
Ilustración 7 Ejemplo - Arquitectura de red
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
79
Implementación de zona: controla los servicios prestados por el servidor, el cual
presta servicio de Correo, WebMail, FTP (File Transfer Protocol), SSH. El servidor
de Archivos se encuentra localizado en la LAN, ver en (Figura 3.2).
Conexiones remotas a través de una VPN (Virtual Private Network): controla el
acceso remoto a partir de un medio seguro y privado.
Autenticación de usuarios al conectarse a la red inalámbrica, mediante WEP (Wired
Equivalent Privacy). Este control de autenticación es débil (los datos no se transmiten
de forma cifrada).
4.4 Guía metodológica para la estimación del ROSI
La guía metodológica se divide en dos partes principales: la primera de ellas se refiere al
proceso de Análisis de Riesgos, y la segunda parte describe el proceso de Estimación del
Retorno de las Inversiones.
1. Análisis de Riesgos
Este proceso consiste en la identificación de los riesgos a los cuales está expuesta la
organización, y de los controles existentes para algunos de los riesgos identificados, además
de la recomendación de nuevos controles
Durante dicho proceso se priorizan los riesgos identificados, teniendo en cuenta el número de
ocurrencias e impacto de cada uno de ellos, en un tiempo determinado. La Figura 3.3
describe este proceso, para mayor entendimiento del lector y a continuación se detallan los
pasos a seguir para llevar a cabo este proceso.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
80
-Plataforma estratégica -Procesos
-Infraestructura tecnológica
-Topología de red y seguridad
-Políticas y procedimientos
-Límites del sistema -Funcionamiento
-Datos críticos y sensibles
-Lista de vulnerabilidades
potenciales
-Conjunto de amenazas
identificadas
-Lista de controles
recomendados para riesgos
críticos
-RAI, recuperación anual del
impacto para cada uno de los
riesgos
-Criticidad de cada uno de los riesgos
-Lista del costo de impacto
(CI) para cada uno de los
riesgos
-Criticidad del CI
-Lista de frecuencia anual de
ocurrencias (FAO) para cada uno de los riesgos
identificados.
-Criticidad del FAO
-Lista de riesgos potenciales, compuesto por duplas
vulnerabilidades - amenazas
-Listado de riesgos críticos
-FAO y CI de cada uno de los
riesgos identificados
-Factores generadores de
impacto para cada uno de los
riesgos
-Técnicas de levantamiento de
información -Registro histórico de eventos
-Datos de organizaciones
similares
-Datos de fabricantes o vendedores
-Lista de vulnerabilidades potenciales
-Lista de amenazas
identificadas
-Lista de vulnerabilidades
potenciales -Datos históricos
-Datos de agencias o entidades
de seguridad informática
-Medios masivos -Políticas y procedimientos
-Levantamiento de información
previo
-Reporte de valoraciones anteriores
-Reportes de auditoría
-Listas de chequeo
- Resultados de pruebas de
seguridad
- Fuentes de información de medio
de comunicación
-Políticas y procedimientos
Retroalimentación
Actividad Salida Entrada
Ilustración 8 Identificación de Riesgos
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
81
Fig. 4.3: Identificación de Riesgos
a) Caracterización de la Organización
El primer paso consiste en definir el alcance del estudio a realizar, con el objetivo de
trazar los límites de la organización, y obtener la información relevante. Este paso es
importante ya que permite el conocimiento y contextualización dentro de la
organización, lo que permitirá luego la identificación de amenazas y vulnerabilidades.
Para llevar a cabo la Caracterización de la Organización se hace un relevamiento de
información de los factores más importantes de la empresa. Debido a que las
organizaciones son todas son distintas, no se puede generalizar en este punto acerca
del levantamiento de información, no se puede utilizar una misma técnica para dicho
procedimiento.
A continuación se presentan algunas sugerencias generales para ciertos puntos que se
han identificado como relevantes en el levantamiento de información, y algunas
técnicas; esto debe ser adaptado en cada organización, según sus características y
condiciones dadas.
Sugerencias para el relevamiento de información
Se pueden tener en cuenta los siguientes aspectos:
• Nombre de la Organización
• Misión
• Visión
• Objetivos
• Planes estratégicos
• Tamaño de la organización
• Alcance (Local, nacional, internacional)
• Áreas funcionales
• Estructura organizacional
• Información crítica de la organización
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
82
• Requerimientos funcionales
• Usuarios de los sistemas
• Políticas de seguridad implementadas
• Procedimientos de Seguridad (Copias de Respaldo, Mantenimiento. Etc.)
• Topología de Red – Arquitectura de Seguridad
• Descripción de la topología de red y de la arquitectura de seguridad
• Administración de la información (Protecciones, forma y lugar de almacenamiento)
• Flujos de información
• Controles implementados en materia de seguridad de la información
• Planes de seguridad
• Hardware
• Software
Técnicas sugeridas para el relevamiento de información
Algunas de las técnicas utilizadas durante un levantamiento de información son:
• Cuestionarios: durante el proceso de recolección de información pueden desarrollar
cuestionarios de manera continua, haciéndolos especializados para las condiciones de
cada organización. Estos cuestionarios pueden ser desarrollados también durante las
entrevistas. En general la recolección de información debe hacerse en gran parte de la
organización.
• Entrevistas: las entrevistas con el personal relacionado con tecnologías de
información puede ser útil al momento de recolectar información acerca de los
sistemas que utilizan en dicha área, y los sistemas de seguridad implementados en la
organización. Permiten una observación más detallada del ambiente físico de la
organización, y de la seguridad de la organización en un nivel operacional.
• Revisión de documentos: las organizaciones poseen la documentación de las
políticas, procedimientos, planes de seguridad, sistemas implementados, etc., que
pueden proveer información acerca de la situación actual de la organización.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
83
• Herramientas automáticas de escaneo: las herramientas de escaneo son útiles en el
levantamiento de información detallado de la topología de red y la arquitectura de
seguridad de la información, mediante herramientas de mapeo de red, que proveen
información detallada de los servicios, estado de conexiones, etc.
b) Identificación de vulnerabilidades
En este paso, el objetivo, es identificar y desarrollar una lista de las principales
vulnerabilidades de seguridad de la organización, determinadas por debilidades que
hay en el ambiente de la empresa o en los sistemas de la misma, y que pueden derivar
en una o más amenazas.
Los tipos de vulnerabilidades que se identificarán y los métodos utilizados para la
identificación, pueden variar dependiendo de la naturaleza de la organización y sus
sistemas de seguridad.
Se sugieren tres métodos en esta guía, pero pueden utilizarse otros.
• Pruebas de seguridad: consiste en el uso de herramientas de prueba en sistemas y
redes, que pueden ser útiles para la identificación de vulnerabilidades en la
infraestructura tecnológica de una organización. Incluye:
- Herramientas automatizadas de escaneo de vulnerabilidades: son utilizadas
para escanear un grupo de hosts, parte de una red o una red completa, y buscar
posibles servicios en la red que puedan ser vulnerables.
- Pruebas de penetración: son utilizadas para evaluar la habilidad de la
infraestructura tecnológica de la organización, para defenderse ante intentos
malintencionados de penetración a la misma, que pueden causar daños a los
activos de la organización.
- Evaluaciones y pruebas de seguridad: consiste en la ejecución de planes de
pruebas de seguridad, con el objetivo de evaluar la efectividad de los controles
de seguridad con que cuenta en un momento dado la organización.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
84
• Fuentes de información: existen varias fuentes de información, de las cuales se
pueden extraer vulnerabilidades que han sido previamente identificadas. Alguna de
las técnicas descritas, durante el proceso de relevamiento de información, pueden
ayudar también a identificar las debilidades en la seguridad de la organización.
Algunas fuentes de información que pueden ser de utilidad para la identificación de
las debilidades de la organización en materia de seguridad son:
- Listas de vulnerabilidades, por ejemplo la base de datos de vulnerabilidades
NIST NVD (http://nvd.nist.gov/)
- Documentación de análisis de riesgos realizados
- Reportes de auditorías y pruebas de seguridad
- Programas que permitan la evaluación de los posibles riesgos de la
organización, por ejemplo Microsoft Security Assessment Tool 4.0.
• Lista de chequeo de requerimientos de seguridad: utilizando este método se puede
determinar si los requerimientos de seguridad estipulados en la organización están
siendo satisfechos con los controles existentes o planeados. Están basadas en los
estándares de seguridad que ayudan a identificar las vulnerabilidades de los activos de
la organización.
Para Ejemplo S.A, después de realizar la identificación de vulnerabilidades del
ambiente organizacional, las principales vulnerabilidades son:
- El centro de cómputo está descentralizado; el rack de conexión está en un
lugar de acceso público.
- Las instalaciones de la organización no cuentan con UPS, o algún sistema de
contingencia para fallas eléctricas.
- El punto de Acceso inalámbrico maneja un protocolo de encriptación débil
(WEP)
- Falta de conocimiento y capacitación de los usuarios sobre seguridad,
administración y confidencialidad de contraseñas, información crítica, etc.
c) Identificación de amenazas
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
85
El objetivo es identificar las principales amenazas que ponen en peligro los activos de
la organización. Una amenaza puede ser definida como un agente o circunstancia,
capaz de explotar una vulnerabilidad específica, puede ser accionada accidental o
intencionalmente.
Las vulnerabilidades que han sido identificadas en el paso anterior están relacionadas
directamente con las amenazas que aquí se determinan.
Las amenazas se pueden clasificar en tres tipos:
- Amenazas Humanas: eventos causados por humanos, con intención (ataques
de red, accesos no autorizados, ejecución de software mal intencionado, etc.),
o sin intención (modificación de datos por accidente). Ejemplos: hacking,
accesos no autorizados a los sistemas, intrusos, spoofing, terrorismo, robo de
información, ejecución de código malicioso, etc.
- Amenazas Naturales: condiciones de la naturaleza que pueden causar daños a
los activos. Por ejemplo, incendios, inundaciones, terremotos, tormentas
eléctricas, etc.
- Amenazas Ambientales: fallos de energía prolongados, corrosión, derrame
de líquidos y/o químicos, etc.
La persona encargada de este proceso en la organización, deben identificar las
amenazas más significativas para la misma, dependiendo de la organización, y las
condiciones a partir de las vulnerabilidades identificadas anteriormente. Se deben
encontrar las amenazas que puedan derivar en las vulnerabilidades determinadas en la
identificación de las mismas.
Para nuestro caso Ejemplo S.A, se asume que se realizaron los diferentes mecanismos
recomendados de relevamiento de información. Como resultado de dicho proceso se
identificaron varias amenazas, las cuales son:
- Denegación al servidor de archivos.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
86
- Corte de servicio eléctrico.
- Penetración al sistema vía inalámbrica.
- Divulgación de información confidencial.
d) Riesgos identificados
Se puede definir un riesgo como una pareja compuesta por una o más
vulnerabilidades, junto con una o más amenazas que pueden llegar a derivar dichas
vulnerabilidades.
Para el Ejemplo S.A., la tabla de riesgos identificados sería la siguiente:
Tabla 4-4 Ejemplo - Tabla de riesgos identificados
Identificador Vulnerabilidad Amenaza
R1 Las instalaciones de la organización
no cuentan con UPS, o algún sistema
de contingencia para fallas eléctricas.
Corte de servicio eléctrico
R2 El punto de Acceso inalámbrico
maneja un protocolo de encriptación
débil (WEP)
Penetración al sistema vía inalámbrica
R3 El centro de cómputo está
descentralizado; el rack de conexión
está en un lugar de acceso público.
Denegación de servicio del servidor
de archivos.
R4 Falta de conocimiento y capacitación
de los usuarios sobre eventos de
seguridad, administración y
confidencialidad de contraseñas,
información crítica, entre otros.
Divulgación de información
confidencial.
Tabla 4.4. Ejemplo - Tabla de riesgos identificados
A continuación se orienta a la determinación de la probabilidad de ocurrencia de cada
uno de los riesgos identificados anteriormente, y el impacto de los mismos, en el caso
en que se materializara el riesgo.
e) Determinación de la cantidad de ocurrencias
Cada uno de los riesgos identificados, representa un evento en el cual dicho riesgo se
materializaría. Para el manejo de la guía metodológica y para que resulte más
práctico, se tendrán en cuenta períodos anuales para todos los cálculos acerca de los
eventos.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
87
La probabilidad de ocurrencia de un riesgo, estará definida como, el número de
ocurrencias de un evento en un período de un año, FAO (Frecuencia Anual de
Ocurrencias).
Cada uno de los riesgos tendrá asociado un FAO (Frecuencia Anual de Ocurrencias),
que debería ser mayor a 0 (cero), ya que, un riesgo que tuviera 0 ocurrencias al año,
no tendría sentido tratarlo.
Para determinar el número de ocurrencias anuales existen varias formas de hacerlo,
pero se sugiere la primera de ellas, debido a que es un dato más realista y propio de la
empresa. Dichas fuentes de información son:
- Registros históricos de eventos: consiste en tomar dicho dato de cada evento,
de los logs, historiales, registros de software o hardware, que hayan sucedido
en períodos anteriores.
- Organizaciones similares: se puede tratar de buscar los datos de
organizaciones similares, con respecto al evento del riesgo que se esté
evaluando.
- Fabricantes y/o Vendedores: otra forma de obtener datos del número de
ocurrencias de un evento, es de forma estadística, a través de reportes que
algunos fabricantes y/o vendedores de soluciones de seguridad informática,
tienen a disposición del público en sus sitios Web, reportes vía correo
electrónico, foros, etc.
Para Ejemplo S.A. se podría estimar el número de ocurrencias a partir de los registros
históricos de eventos ocurridos en periodos anteriores.
El número de ocurrencias Anuales (FAO) de los riesgos listados anteriormente serían:
Tabla 4-5 Ejemplo - FAO
Riesgo FAO
R1 60 horas anuales
R2 25 veces al año
R3 3 horas anuales
R4 2 veces al año
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
88
Tabla 4.5. Ejemplo - FAO
Teniendo la lista de riesgos y el FAO asociado para cada uno, se puede proceder a
asignar a cada uno de ellos, y basado en el número de ocurrencias determinado, un
nivel de ocurrencia cualitativo con valores de Alto, Medio o Bajo, con base en unos
rangos de valores que debe determinar la organización misma para cada uno de los
riesgos.
La organización Ejemplo S.A, determinó un rango de ocurrencias, para clasificar el
nivel de criticidad de ocurrencia, estos rangos son:
• R1
Tabla 4-6 Ejemplo – FAO R1
Rango FAO Criticidad FAO
0 – 24 BAJO
25 - 44 MEDIO
>45 ALTO
Tabla 4.6. Ejemplo – FAO R1
• R2
Tabla 4-7 Ejemplo – FAO R2
Rango FAO Criticidad FAO
0 – 19 BAJO
20 – 29 MEDIO
>30 ALTO
Tabla 4.7. Ejemplo – FAO R2
• R3
Tabla 4-8 Ejemplo – FAO R3
Rango FAO Criticidad FAO
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
89
0 – 5 BAJO
6 – 14 MEDIO
>15 ALTO
Tabla 4.8. Ejemplo – FAO R3
• R4
Tabla 4-9 Ejemplo – FAO R4
Rango FAO Criticidad FAO
0 – 1 BAJO
2 – 3 MEDIO
>4 ALTO
Tabla 4.9. Ejemplo – FAO R4
A partir de esta especificación de rangos para la organización, se obtiene la siguiente
clasificación de criticidad de riesgos identificados:
Tabla 4-10 Ejemplo – Criticidad FAO
Riesgo FAO Criticidad FAO
R1 60 ALTO
R2 25 MEDIO
R3 3 BAJO
R4 2 MEDIO
Tabla 4.10. Ejemplo – Criticidad FAO
Es importante tener los dos datos anteriores, cuantitativo el primero, y cualitativo el
segundo, para cada riesgo, debido a que con el cualitativo se podrán priorizar
posteriormente los riesgos, y con el cualitativo (FAO) se podrán ejecutar los cálculos
para la estimación del retorno de la inversión.
f) Análisis del impacto
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
90
En este paso, el objetivo principal es determinar, para cada uno de los riesgos, el
impacto de una ocurrencia del evento que materializaría cada uno de dichos riesgos,
lo que se denominó Costo de Impacto (CI)
Se tendrán dos valores de impacto para cada riesgo, uno cuantitativo (CI; en dinero) y
uno cualitativo que representa también el nivel de criticidad (Alto, Medio, Bajo).
Se deben tener en cuenta la mayor cantidad de factores que puedan generar un costo a
la organización en el momento en que se presentase el evento que materialice el
riesgo que se esté evaluando. Se deben sumar todos los costos causados por los daños
ocasionados a la organización en la ocurrencia del evento. A continuación se sugieren
algunos de los factores a tener cuenta para el cálculo de los costos de impacto:
- Número de transacciones perdidas por hora
- Horas de inactividad parcial o total en la organización debido al evento, y el costo
que esto implica
- Costo por hora del personal afectado o con labores paralizadas
- Costo por hora del personal necesario para la recuperación del sistema o sistemas
afectados
- Costo de pérdida de productividad por hora de inactividad
- Costo de posibles pérdidas de información crítica
- Costo de mantenimiento de software o hardware afectado en el evento
- Costos de recuperación de infraestructuras físicas afectadas
- Costo de recuperación de equipos de cómputo
Estos factores implican un costo de impacto a la organización, y son cuantitativos, ya
que se les puede estimar un costo de impacto en dinero, como son el tiempo en horas
de inactividad del personal, pérdida de información, daños físicos, entre otros.
Sin embargo existen otros tipos de factores cualitativos que implican un costo de
impacto para algunos riesgos, como pueden ser la pérdida de imagen organizacional,
la desconfianza de los clientes, entre otros. Estos factores no son fácilmente medibles
a partir de una métrica en particular, ya que se torna complejo el calcular el nivel
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
91
cuantitativo de estos, y el costo correspondiente a dicho nivel. Es por ello que estos
serán denominados factores intangibles para la estimación del CI.
Para el caso de la pérdida de imagen, no es posible estimar el costo que ésta
representa, sin embargo es posible medir la disminución de ventas a causa de esta,
que podría generar costos, por ejemplo, de estudios publicitarios para levantar las
ventas.
Además, se debe determinar el nivel de criticidad para cada uno de los riesgos, según
las características y condiciones dadas en cada organización en particular. Este nivel
de criticidad, se debe asignar en una escala de Alto, Medio o Bajo.
Hasta aquí se debería tener una tabla similar a esta:
Tabla 4-11 Nivel Criticidad CI
Riesgo FAO Criticidad FAO CI Criticidad CI
Tabla 4.11. Nivel Criticidad CI
Para cada uno de los riesgos a los cuales está expuesta la organización Ejemplo S.A,
se tuvieron en cuenta los siguientes aspectos para determinar el CI:
• R1:
Tabla 4-12 Ejemplo –CI R1
Factor CI ($)(1 hora de corte)
Inactividad organizacional * 800
El costo promedio de
información perdida a causa
de un corte eléctrico
250
El costo promedio de
reparación de daños causados
a equipos
100
TOTAL 1150
Tabla 4.12. Ejemplo –CI R1
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
92
*El costo de inactividad organizacional por cada hora sin servicio eléctrico es
calculado a partir de la siguiente información:
- El costo total de tener a los 30 empleados por hora es: $300
- Producción organizacional por hora: $500
• R2:
Tabla 4-13 Ejemplo –CI R2
Factor CI ($)
Valor promedio de
información perdida
100
Costo promedio de
recuperación de información
perdida
200
Costo de daños causados a
clientes
500
TOTAL 800
Tabla 4.13. Ejemplo –CI R2
• R3:
Tabla 4-14 Ejemplo –CI R3
Factor CI ($)(1 hora sin acceso al servidor)
Inactividad organizacional * 400
TOTAL 400
Tabla 4.14. Ejemplo –CI R3
* El costo de inactividad organizacional por cada hora sin acceso al Servidor de
Archivos es calculado a partir de la siguiente información:
- El costo total de tener a 15 empleados por hora es: $150
- Producción organizacional por hora: $500. El evento afecta al 50% de la
organización, por lo tanto el costo hora de producción sería de $250.
• R4:
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
93
Tabla 4-15 Ejemplo –CI R4
Factor CI ($)
Daños causados por acceso a
la red malintencionado
100
TOTAL 100
Tabla 4.15. Ejemplo –CI R4
En la organización Ejemplo S.A, para la clasificación del nivel de criticidad CI, se
definieron los siguientes rangos:
Tabla 4-16 Ejemplo –Rango CI
Rango CI* ($) Criticidad CI*
0 a 199 BAJO
200 a 499 MEDIO
Más de 500 ALTO
Tabla 4.16. Ejemplo –Rango CI
*Los niveles de criticidad CI son determinados por la organización.
El costo unitario de Impacto (CI) y grado de criticidad CI, para cada uno de los
riesgos identificados en el ejemplo sería:
Tabla 4-17 Ejemplo – Criticidad CI
Riesgo CI ($) Criticidad CI
R1 1150 ALTO
R2 800 ALTO
R3 400 MEDIO
R4 100 BAJO
Tabla 4.17. Ejemplo – Criticidad CI
Hasta aquí se tendría entonces, una lista, en donde cada riesgo tendrá su respectivo
FAO, CI, y el nivel de criticidad de los valores anteriores. Para el ejemplo que se está
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
94
llevando a cabo esta sería la información obtenida hasta este momento en el proceso
de Administración de Riesgos:
Tabla 4-18 Ejemplo – Criticidad FAO y Criticidad CI
Riesgo FAO Criticidad
FAO
CI ($) Criticidad
CI
R1 60 ALTO 1150 ALTO
R2 25 MEDIO 800 ALTO
R3 3 BAJO 400 MEDIO
R4 2 MEDIO 100 BAJO
Tabla 4.18. Ejemplo – Criticidad FAO y Criticidad CI
g) Determinación de niveles de riesgo
En este punto se busca obtener una lista de los riesgos que se han relacionado en la
tabla anterior con una cierta prioridad. Para ello se utilizarán para cada riesgo, los
niveles de criticidad asociados, tanto para la frecuencia anual de ocurrencias (FAO)
como para el costo de impacto (CI).
Con base en la siguiente tabla (Tabla 3.19), se agregará una columna más a la tabla
anterior (Tabla 3.18), con el nombre de Criticidad del Riesgo, que se definirá de la
relación entre la criticidad del FAO y del CI, de la siguiente manera:
Tabla 4-19 Relación criticidad FAO - CI
Criticidad
FAO
Criticidad CI
Bajo Medio Alto
Alto Medio Medio - Alto Alto
Medio Bajo Medio Medio-Alto
Bajo Bajo Bajo Medio
Tabla 4.19. Relación criticidad FAO - CI
Se podrá establecer entonces, la Criticidad del Riesgo, obteniendo una tabla similar a
la siguiente:
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
95
Tabla 4-20 Criticidad de riesgo
Riesgo FAO Criticidad
FAO
CI Criticidad
CI
Criticidad
del Riesgo
Tabla 4.20. Criticidad de riesgo
Se podrá construir ahora una lista de riesgos priorizada, en donde quedarán los
riesgos con criticidad Alta, Media y Media – Alta únicamente. Esta lista será la base
para las recomendaciones y estimaciones del retorno a las inversiones. Debido a que
son los que más criticidad representan tanto en impacto como en número de
ocurrencias para la organización.
Para el ejemplo en curso, la clasificación del nivel de riesgo a partir de la tabla 3.20,
daría como resultado la siguiente tabla del orden de prioridad:
Tabla 4-21 Ejemplo - Criticidad de riesgo
Riesgo FAO Criticidad
FAO
CI ($) Criticidad
CI
Criticidad
del Riesgo
R1 60 ALTO 1150 ALTO ALTO
R2 25 MEDIO 800 ALTO MEDIO-
ALTO
R3 3 BAJO 400 MEDIO BAJO
R4 2 MEDIO 100 BAJO BAJO
Tabla 4.21. Ejemplo - Criticidad de riesgo
Finalmente se calculará un valor cualitativo que servirá para el próximo proceso en la
estimación del ROSI. Este valor consiste en Recuperación Anual del Impacto (RAI),
que representa el valor en dinero del impacto anual de cada uno de los riesgos. Este
valor se puede definir y calcular de la siguiente manera: RAI = FAO × CI
La tabla podría verse ahora similar a la siguiente:
Tabla 4-22 Valor RAI
Riesgo FAO Criticidad
FAO
CI Criticidad
CI
Criticidad
del Riesgo
RAI
Tabla 4.22. Valor RAI
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
96
Para la organización Ejemplo S.A, la Recuperación Anual de Impacto (RAI)
corresponde a la siguiente tabla:
Tabla 4-23 Ejemplo - RAI
Riesgo FAO Criticidad
FAO
CI ($) Criticidad
CI
Criticidad
del Riesgo
RAI
($)
R1 60 ALTO 1150 ALTO ALTO 69000
R2 25 MEDIO 800 ALTO MEDIO-
ALTO
20000
R3 3 BAJO 400 MEDIO BAJO 1200
R4 2 MEDIO 100 BAJO BAJO 200
Tabla 4.23. Ejemplo - RAI
Como se puede observar en la tabla 3.23, el nivel de criticidad es superior en los dos
primeros riesgos; corte de servicio eléctrico y penetración a la red vía inalámbrica,
por lo tanto la organización Ejemplo S.A., debería mitigar el riesgo perteneciente a
estos en primera medida, ya que podrían llegar involucrar los activos más importantes
de la organización, y generar el mayor impacto en ellos.
h) Recomendaciones de control
En este paso, el objetivo es proveer las recomendaciones de implementación de
controles de seguridad para mitigar o reducir la criticidad de cada uno de los riesgos.
A cada uno se le debe asignar uno o más controles recomendados para la mitigación,
y llevarlo a un nivel de criticidad aceptable.
Para buscar las recomendaciones se puede utilizar distintos materiales bibliográficos,
por ejemplo: NIST SP 800-53, 800-26, 800-26, 800-53, 800-36.
Esta guía metodológica busca que el personal encargado de ejecutarla, sugiera los
controles más apropiados y más recomendados, con base en su retorno de la
inversión, y los beneficios que este traería a futuro para la organización.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
97
En el ejemplo se estudiarán solo los controles para los riesgos que representan un
nivel crítico para la organización, es decir, con un nivel de riesgo Alto, Medio – Alto
o Medio; ya que son los que deben ser mitigados en el menor tiempo posible, al
involucrar los activos de la organización.
Para mitigar el riesgo de un corte eléctrico los controles a implementar serían:
Tabla 4-24 Ejemplo – Recomendación Control R1
Control Costo de control ($)
Compra e instalación de
UPS
20.000
Crea políticas de
mantenimiento
1.000
TOTAL 21.000
Tabla 4.24. Ejemplo – Recomendación Control R1
Para mitigar el riesgo de penetración a la red vía inalámbrica los controles a
implementar serían:
Tabla 4-25 Ejemplo – Recomendación Control R2
Control Costo de control ($)
Implementación del
protocolo WPA (Wi-Fi
Protected Access)
21.000
TOTAL 21.000
Tabla 4.25. Ejemplo – Recomendación Control R2
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
98
2. Estimación del ROSI
Consiste en llevar a cabo un proceso iterativo para cada uno de los riesgos, mediante
el cual se podrá estimar el retorno de las inversiones que cada uno de ellos necesita,
como resultado de las recomendaciones de control realizadas.
Para esto será importante tener en cuenta los costos de los controles de seguridad
recomendados para cada riesgo, así como los costos de impacto o RAI de cada uno de
ellos.
El proceso de estimación del ROSI se puede llevar a cabo en dos situaciones
diferentes. A continuación se explicará la primera.
Estimación por Años
Se realiza un proceso iterativo cada año con cada uno de los riesgos mitigados
mediante inversiones, para analizar anualmente si hay o no retorno de dichas
inversiones, estimándolo de manera cuantitativa y representada en dinero. Mediante
este proceso, se pueden conocer resultados de los gastos o ahorros de dinero en cada
año posterior a las inversiones. En la siguiente figura se detalla el proceso
mencionado.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
99
Fig. 4.4. Estimación de ROSI por años
Ilustración 9 Estimación de ROSI por años
NO
NO
NO
SI
Pendiente Recuperar (Año) = Ahorro
Total o Saldo por recuperar (Año)
Pendiente Recuperar (Año) = (-)
Gasto o Ahorro (n)
Ahorro Total o Saldo a Recuperar (Año) = (RAI(n) – Gasto o
Ahorro(Año)) – Pendiente
Recuperar(Año)
Gasto o Ahorro (Año) = RAI (n) –
(Inversión (n) + Operación (n)
Gasto o Ahorro (Año) = Impacto Residual (Año – 1) + Operación
(Año)
Ahorro Total o Saldo por
Recuperar (Año)
> = 0
Gasto o Ahorro
(n) >= 0
Hay ROI para el riesgo n
Documentar Pendiente por
Recuperar para iteración del
año siguiente
FIN
Año = 1
-RAI riesgo n
-Inversión riesgo n
-Año -Operación riesgo n (Año)
- Impacto residual riesgo n (Año)
- Pendiente recuperar (Año) =
Pendiente recuperar (Año – 1)
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
100
Los pasos que se describirán a continuación deben ejecutarse para cada uno de los riesgos
que ya han sido identificados y priorizados en los pasos anteriores.
Debe tenerse en cuenta que este es un proceso iterativo, el cual se debe ejecutar cada año,
con el objetivo de calcular los beneficios anuales de las inversiones realizadas, y por lo tanto
se debe tener en cuenta en qué año se está desarrollando cada iteración.
Estimación para el año 1
Para cada uno de los riesgos se debe construir una tabla similar a la siguiente:
Tabla 4-26 Estimación primer año
Riesgo n Año 1 ($)
Inversión
Impacto
Operación
Gasto o Ahorro
Tabla 4.26. Estimación primer año
En el campo Inversión se debe colocar el total del costo de las inversiones que representan
los controles recomendados para la mitigación del riesgo que se esté tratando. En el campo
Impacto, se debe hacer referencia al costo de impacto anual calculado en pasos anteriores, es
decir el RAI para el riesgo específico. En el campo Operación se deben colocar los costos de
operación que generan las soluciones o controles dados para la mitigación del riesgo (soporte
y mantenimiento). Si no se conoce con certeza este costo de operación, se sugiere a la
organización, determinar un porcentaje del valor de la inversión. Si la organización no puede
determinar dicho porcentaje, se sugiere utilizar un 5% del valor de la inversión, como dicha
cifra mínima, basado en la práctica y experiencia. En el campo Gasto o Ahorro, se ejecuta
una resta entre los campos de Impacto (RAI), e Inversión y Operación: Gasto o Ahorro =
RAI − (Inversión +Operación)
Se pueden identificar dos resultados:
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
101
Resultado negativo: cuando el valor del impacto (RAI), es menor que el valor de la suma
entre Inversión y Operación. El valor negativo representa un Gasto Adicional, que se tendría
que hacer en el año respectivo, con el objetivo de mitigar el riesgo. Esto quiere decir que en
el año 1, la inversión total sale más costosa que el impacto, por lo que habría un valor
Pendiente por Recuperar, que estaría ubicado en el campo Gasto o Ahorro. Este valor a
recuperar, es importante tenerlo en cuenta para las iteraciones de los años posteriores.
En Ejemplo S.A., la estimación para el año 1 del riesgo de penetración a la red inalámbrica
sería:
Tabla 4-27 Ejemplo- Estimación Año 1 R2
Riesgo n Año 1 ($)
Inversión 21000
Impacto 20000
Operación 1000
Gasto o Ahorro -2000
Tabla 4.27. Ejemplo- Estimación Año 1 R2
Si se supone un costo de operación de $1000 para el año 1, el gasto adicional que implicaría
la inversión es de $2000, el cual representa un valor Pendiente por Recuperar para los años
posteriores.
Resultado positivo: los costos de Inversión y Operación de los controles de seguridad serían
menores que los costos de Impacto (RAI), la resta daría un resultado positivo, representando
que en el primer año habría un ahorro con respecto al valor del RAI; es decir, en este caso, ya
se tendría un retorno de la inversión tangible, representado en el beneficio del ahorro de
dinero.
En Ejemplo S.A., la estimación para el año 1 del riesgo de corte de servicio eléctrico sería:
Tabla 4-28 Ejemplo- Estimación Año 1 R1
Riesgo n Año 1 ($)
Inversión 20000
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
102
Impacto 69000
Operación 1000
Gasto o Ahorro 48000
Tabla 4.28. Ejemplo- Estimación Año 1 R1
Suponiendo un costo de operación de $1000 para el año 1, el ahorro con respecto al valor del
RAI es de $48000, el cual significa un retorno de la inversión en el primer año, representado
en el beneficio del ahorro de dinero.
Estimación para el año 2 en adelante
Se debe realizar una nueva iteración sobre el modelo, para cada uno de los riesgos, asignando
nuevos valores en los campos de Impacto y Operación. En el caso de los costos de operación,
se tendrían en cuenta los costos de mantenimiento y/o soporte de la solución implementada
en el año 1, para los años posteriores a la implementación. Y en el caso del impacto, se
tendrían en cuenta los costos de los riesgos residuales asociados con cada uno de los riesgos
originales. Es decir, el impacto que probablemente no fue mitigado en su totalidad por la
solución implementada.
Se tendría una tabla similar a la siguiente:
Tabla 4-29 Estimación para el año 2 en adelante
Riesgo n Año 1 ($) Año 2 ($)
Inversión -
Impacto
Operación
Gasto o Ahorro
Pendiente por recuperar -
Ahorro Total o Saldo por
Recuperar
-
Tabla 4.29. Estimación para el año 2 en adelante
Para el año 2 en adelante, el valor para el campo de Gasto o Ahorro se calcula de otra forma.
Se tendrá en cuenta el resultado de la suma entre los campos Impacto y Operación del año.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
103
En el campo Pendiente por recuperar, se debe colocar el posible valor negativo que viene del
año anterior, en el caso en que el impacto haya sido menor que la inversión inicial en dicho
año.
En el campo Ahorro Total o Saldo por recuperar, se puede calcular de la siguiente forma:
Ahorro Total o Saldo por recuperar = (RAI − Gasto del año) − Pendiente por recuperar
Para los años posteriores al primero, se sigue teniendo en cuenta el valor del RAI
(Recuperación Anual de Impacto), debido a que es un valor de referencia contra el cual se va
a comparar año por año, para determinar si se está teniendo un ahorro, con respecto a lo que
se hubiera tenido que gastar en caso de no haber invertido en la solución o control.
En Ejemplo S.A., se muestra la estimación del año 2 para el riesgo de Penetración a la red
inalámbrica:
Tabla 4-30 Ejemplo - Estimación Año 2 R2
Riesgo n Año 1 ($) Año 2 ($)
Inversión 21000 -
Impacto 20000 1500
Operación 1000 500
Gasto o Ahorro -2000 2000
Pendiente por recuperar - 2000
Ahorro Total o Saldo por
Recuperar
- 16000
Tabla 4.30. Ejemplo - Estimación Año 2 R2
Como se puede ver en el campo de Ahorro Total, se estima que para en el año 2 hay un
retorno de la inversión de $16000 a favor de la organización.
Para Ejemplo S.A. la estimación del año 2 para el riesgo de Corte de servicio eléctrico:
Para este caso como pudo verse en la Tabla 3.28, debido a que en el año uno ya se presentó
un ahorro de dinero, no se harán las estimaciones para los años posteriores, ya que dicho
ahorro representó un retorno de la inversión de los controles para este riesgo.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
104
Estimación del ROSI en el año 0
Se debe realizar una estimación en el año 0, es decir, antes de invertir, para conocer el tiempo
(en años) y el valor del retorno de la inversión, y conocer con anterioridad la efectividad de
dichas inversiones. Este proceso hay que hacerlo en condiciones ideales, es decir sin tener en
cuenta, por ejemplo, valores de impacto residual, valores exactos de gastos de operación,
entre otros factores, y que permitirán estimar el tiempo en el cual se pueden retornar las
inversiones. En la siguiente figura se explica gráficamente mediante diagrama de flujo, este
proceso.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
105
Fig. 4.5. Estimación de ROSI en condiciones ideales
Ilustración 10 Estimación de ROSI en condiciones ideales
NO
NO
NO
SI
SI
SI
Año = Año + 1
Pendiente Recuperar (Año) = (-)
Ahorro Total o Saldo por recuperar (Año - 1)
Año = Año + 1
Pendiente Recuperar (Año) = (-)
Gasto o Ahorro (n)
Ahorro Total o Saldo a Recuperar (Año) = (RAI(n) – Gasto o Ahorro
(Año)) – Pendiente Recuperar(Año)
Gasto o Ahorro (Año) = RAI (n) –
(Inversión (n) + Operación (n)
Año = 1
Ahorro Total o Saldo por
Recuperar (Año)
> = 0
Gasto o Ahorro
(n) >= 0
Hay ROI para el riesgo n
ROI para el riesgo n, en (Año)
años
FIN
-RAIriesgo n -Inversión riesgo n
-Año
-Operación riesgo n (Año)
- Pendiente recuperar (Año) = Pendiente recuperar (Año – 1)
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
106
A veces, es importante conocer el tiempo en el cual se retornaría una inversión antes de
realizarla. Este tipo de estimación, se realizaría entonces en el año 0 (antes de invertir), y es
importante tener en cuenta que dará como resultado una estimación aproximada, tanto del
tiempo como del valor del ROSI.
Las estimaciones se deben realizar en condiciones ideales para los años posteriores sobre los
cuales se hace la estimación, debido a los siguientes factores:
- No se puede tener en cuenta la variable Impacto, para el segundo año en adelante, ya
que a partir de dicho año esta variable tiene en cuenta el valor del Impacto residual
del riesgo correspondiente; en el año 0, no se puede conocer el valor de los impactos
residuales que van a haber en los años siguientes.
- La variable Operación debe ser aproximada para el segundo año en adelante.
Debido a que es posible que no se conozca este valor, se sugiere por ejemplo, seguir
utilizando un valor de 5% de la inversión inicial, como se hizo en el año 1.
Se tendría entonces una tabla como la siguiente:
Tabla 4-31 Estimación en el año 0, condiciones ideales
Riesgo n Año 1
($)
Año 2
($)
… Año n
($)
Inversión - - -
Impacto - - -
Operación
Gasto o Ahorro
Pendiente por Recuperar -
Ahorro Total o Saldo por
recuperar
-
Tabla 4.31. Estimación en el año 0, condiciones ideales
La variable de referencia a tener en cuenta se encuentra ubicada en la última fila, y
corresponde al Ahorro Total o Saldo por recuperar. Cuando esta variable llegue a un valor
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
107
positivo, se tendrá retorno a la inversión e indicará tanto el año como el valor del mismo, en
dicho período.
Los cálculos para este proceso son iguales a los detallados anteriormente, para el año 1 y para
el año 2 en adelante, pero sin tener cuenta el valor de Impacto para el segundo año en
adelante (impactos residuales).
A continuación se muestra un ejemplo, con valores aleatorios para un riesgo cualquiera, con
el objetivo de ilustrar el funcionamiento de este proceso:
Tabla 4-32 Ejemplo – Estimación en el año 0, condiciones ideales
Riesgo n Año 1
($)
Año 2
($)
Año 3
($)
Año 4
($)
Inversión 25000 - - -
Impacto 8000 - - -
Operación 1000 1000 800 500
Gasto o Ahorro -18000 1000 800 500
Pendiente por Recuperar - 18000 11000 3800
Ahorro Total o Saldo por
recuperar
- -11000 -3800 3700
Tabla 4.32. Ejemplo – Estimación en el año 0, condiciones ideales
Se puede concluir que se presentaría retorno a la inversión en el cuarto año, con un valor de
$3700 para el primer año de retorno, representado en ahorro de dinero. Durante los años
anteriores, se tenían valores negativos en la última fila de cada columna, es decir se tenían
valores pendientes por recuperar.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
108
5. CUARTA PARTE: CONCRECION DEL MODELO
5.1 Aplicación de la Guía Metodológica a un Caso de Estudio
A continuación se describe la forma en que se llevó a cabo la aplicación de la guía
metodológica, a un caso de estudio. Se describirán los métodos, técnicas, materiales y
documentos que se utilizaron durante el ejercicio de aplicación, lo cual puede ser útil al
lector, como una guía o ayuda para futuras aplicaciones de los procesos que componen la
guía metodológica propuesta.
Algunos de los datos, nombres, e información obtenida de la organización en la cual se llevó
a cabo el caso de estudio, no serán exactamente revelados en este documento, ya que es
información de carácter confidencial de la organización.
Técnicas utilizadas durante el levantamiento de información
Para realizar el relevamiento de información del caso de estudio, se utilizaron algunas de las
técnicas sugeridas:
- Cuestionarios: se utilizó un cuestionario (Anexo A), con el cual se buscaba recoger
un primer conjunto de datos acerca de la organización y de su infraestructura
tecnológica y de seguridad, para luego entrar en detalle en cada uno de los puntos del
cuestionario.
- Entrevistas: se realizaron entrevistas en las oficinas de la organización, con las
cuales se logró recoger un volumen mayor de información, con más detalle, y con
varias personas responsables de la información solicitada. Durante las entrevistas se
logró tener un contacto más directo con la organización, y de esta manera descubrir y
recoger información adicional y valiosa para el análisis de riesgos.
- Visitas a instalaciones: se efectuaron visitas a las instalaciones de la organización.
Se realizó una visita al centro de cómputo, así como también una visita a las oficinas
administrativas y algunos otros lugares.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
109
- Consultas vía correo electrónico o teléfono: estos medios de comunicación fueron
importantes, mediante el cual se realizaron consultas puntuales.
Se utilizaron fichas de campo para cada una de las actividades de campo (actividades en la
organización del caso de estudio), en las cuales se registraron los siguientes datos de cada
actividad: fecha, objetivo de la actividad, descripción de la actividad realizada, lugar de la
reunión, responsables, participantes o asistentes, y una sección de notas adicionales. En el
Anexo B, se presenta la plantilla utilizada de las fichas de campo elaboradas durante la
aplicación de la guía. En el Anexo C, se adjuntan las fichas de campo elaboradas durante el
caso de estudio.
5.2 Resultados de la aplicación de la Guía Metodológica
Se presentarán los detalles del caso de estudio sobre el cual se aplicó la guía metodológica, se
mostrarán los resultados de la aplicación de la guía, paso por paso.
Proceso No. 1: Análisis de Riesgos
a) Caracterización de la Organización
Nombre de la Organización: Ladrillos Merlino SRL
Plataforma Estratégica (Misión, Visión, Objetivos organizacionales): no se revela esta
información por Acuerdo de Confidencialidad con la organización.
Tipo de Organización: es una organización con fines lucrativos, se dedica a la
producción y venta de materiales de construcción.
Estructura Organizacional: la empresa cuenta con 115 empleados, a continuación se
presenta un organigrama.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
110
Fig. 5.1. Estructura Organizacional
Ilustración 11 Estructura Organizacional
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
111
Merlino es una empresa familiar con más de 60 años de trayectoria en el mercado de la
construcción de Córdoba.
Son propietarios de la única fábrica de ladrillos totalmente automatizada del país como así
también de una cantera de áridos, lo que implica una alta competitividad en los precios del
mercado.
Son vendedores minoristas y mayoristas de todos los productos y materiales de las marcas
líderes del rubro.
Merlino posee una vasta flota de vehículos propios, lo que asegura una entrega inmediata de
los materiales al cliente con las comodidades que esto significa.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
112
Fig. 5.2. Caso de estudio - Diagrama de red - Infraestructura de Red de la organización
2 switches de 24 y 12
bocas ubicados en
un rack en el centro
de la planta alta
5 impresoras
de red
Sucursal Cordoba
1 switch de 24 bocas
ubicado en la panta
alta
2 impresoras
de red
9 equipos
Access Point
Access Point
1 switch de 12 bocas
1 switch de 12
bocas
3 impresoras de
red
Access Point
2 impresoras de
red5 equipos
Access Point
Access Point
1 switch de 12 bocas
1 equipoClasificadora
Fábrica
Sucursal Va.
Carlos Paz 1
Sucursal Va. Carlos
Paz 2
Sucursal Estancia
Vieja
InternetFirewall
Servidor de Datos y
Distribuidor de
Aplicación
3 equipos
1 impresora
de red
1 impresora de
red
1 Controlador
Fiscal
1 Controlador
Fiscal
1 Controlador
Fiscal
1 Controlador Fiscal
WAN
WAN
WAN
WAN
WAN
LAN
LAN
LAN
LAN
LAN
Ilustración 12 Caso de estudio - Diagrama de
red
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
113
A continuación se presentan los detalles de la infraestructura:
• La red de la organización está dividida de acuerdo a las sucursales dependientes de
la misma:
- Sucursal Córdoba
- Sucursal Carlos Paz 1
- Sucursal Carlos Paz 2
- Sucursal Estancia Vieja
- Sucursal Estancia Vieja
- Fábrica y Clasificadora
• Los equipos de Core presentan alta disponibilidad, redundancia, pero son externos a
la empresa.
• El servidor de core y distribución, es el equipo a través del cual se prestan todos los
servicios de red a la organización. Están ubicados en la empresa “NeuralSoft”,
proveedora de las aplicaciones y de los servicios de mantenimiento de la misma.
• En el edificio principal de la organización, existe un Centro de Cableado, ubicado
en el centro de la Planta Baja.
• En el edificio de la sucursal de Carlos Paz 1, existe un Centro de Cableado, ubicado
en el centro de la Planta Alta.
• En el resto de las sucursales existe un Centro de Cableado en cada una, ubicado en
el centro de la Planta Baja.
• Se utiliza una red privada virtual o VPN que permite conectar las sucursales
utilizando como vínculo Internet, la misma se genera a través de un equipo
denominado SDT.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
114
• Para ello se utiliza una conexión a internet, cuyo proveedor es una empresa
telefónica, y además otra conexión aparte vía aire. Para cada sucursal, teniendo en
cuenta que si se cae una hay otra conexión disponible.
• Existe un control de acceso a la VPN restringido por IP (para que no se pueda
acceder desde cualquier equipo que no pertenezca a la empresa), pero existen algunas
excepciones por usuario, para que puedan acceder desde cualquier lugar.
• El centro de cableado de la Sucursal Córdoba hay 2 swtiches, uno de 24 puertos
10/100 Mbps y otro de 12 puertos 10/100 Mbps para usuarios.
• El centro de cableado de la Sucursal Carlos Paz 1, está compuesto por 1 switch de
24 puertos 10/100 Mbps.
• El centro de cableado de la Sucursal Carlos Paz 2, está compuesto por 1 switch de 5
puertos 10/100 Mbps.
• El centro de cableado de la Sucursal Estancia Vieja, está compuesto por 1 switch de
12 puertos 10/100 Mbps.
• El centro de cableado de la Fábrica, está compuesto por 1 switch de 12 puertos
10/100 Mbps, y se conecta por medio de un Acces Point con la Clasificadora.
• No hay redundancia de cableado.
• Se tienen conectados 2 Access Point, para servicios de red inalámbrica, para unir la
Fábrica con la Clasificadora.
• Los Access Point cuentan con dos mecanismos de seguridad:
- Lista de direcciones MAC
- Cifrado WEP (Passphrase 128 bits)
• Para los equipos de escritorio conectados a los switches, se cuenta con los siguientes
mecanismos de seguridad:
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
115
- Lista de direcciones MAC en los switches
- Identificación de usuario: las VPN deben verificar la identidad de los
usuarios y restringir su acceso a aquellos que no se encuentren autorizados.
- Codificación de datos: los datos que se transmiten a través de la red pública
(Internet), antes son cifrados, para que así no puedan ser leídos.
- Administración de claves: las VPN permiten actualizar las claves de cifrado
para los usuarios.
• El direccionamiento IP está definido por la empresa NeuralSoft quien se hace cargo
de la distribución, están dentro de un rango específico.
• Se manejan políticas de acceso, para restringir servicios, proteger servidores, etc.
• En la parte de core y distribución hay redundancia, contingencias, fuentes de poder,
controladores de mantenimiento, enlaces dobles.
• La red de la empresa no tiene muchos planes de contingencia.
• Los centros de cableado de la organización, se encuentran en salones pequeños:
- No se tienen planes de mantenimiento periódicos
- No hay refrigeración ni ventilación
- Acceso físico con llaves.
- En algunos casos los cables de todo tipo entran por el mismo lugar, sin
respetar normas.
- Cada switch está conectado a una UPS para respaldar en caso de falta de
energía eléctrica.
- No hay cableado diferenciado para los artefactos informáticos, del resto de
los equipos.
- La infraestructura de cableado en el caso de la Sucursal de Córdoba está
saturada.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
116
• Infraestructura de tecnología (activos, equipos, aplicaciones, procedimientos): la
siguiente información fue suministrada por el área de Soporte Técnico, acerca de los
equipos, aplicaciones y algunos procedimientos que aplican y conciernen a la
organización.
• En la organización se cuenta con 47 equipos: 44 de escritorio y 3 notebooks. Las
especificaciones de las mismas son Core 2 Duo E4600 2,44Ghz, con 2Gb de memoria
y 200Gb de disco rígido. Están distribuidas de la siguiente manera:
- Sucursal Córdoba: 23 equipos.
- Sucursal Carlos Paz 1: 9 equipos.
- Sucursal Carlos Paz 2: 3 equipos.
- Sucursal Estancia Vieja: 5 equipos.
- Fábrica: 3 equipos.
- Clasificadora: 1 equipo.
• Además se cuenta con 14 impresoras de red HP LaserJet 2035N, distribuidas de la
siguiente manera:
- Sucursal Córdoba: 5 impresoras.
- Sucursal Carlos Paz 1: 3 impresoras.
- Sucursal Carlos Paz 2: 2 impresoras.
- Sucursal Estancia Vieja: 2 impresoras.
- Fábrica: 1 impresora.
- Clasificadora: 1 impresora.
• Tienen 4 controladores fiscales, 1 por cada caja de las distintas sucursales.
• La empresa posee 12 UPS, 1 por cada switch, 1 por cada caja, y 1 por mostrador de
venta de las distintas sucursales.
• Sistema Operativo
- Windows XP: la mayoría.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
117
- Windows Vista: Las Notebooks.
• Todos los equipos utilizan conexión a Internet y al Terminal Server.
• La aplicación que se tiene en la organización, es implementada y mantenida por una
empresa nombrada anteriormente, dedicada a las funciones de desarrollador de la
misma. Esta aplicación se llama Presea y maneja:
Administración y Contabilidad
Funcionalidad:
- Contabilidad: Asientos modelos, Índices de ajustes, Proceso de apertura y
cierre de cuentas, contabilidad presupuestaria, Aplicación de movimientos
contables.
- Finanzas: Situación patrimonial, Cash Flow.
- Ventas: Menús disponibles y comprobantes, Controles a activar de acuerdo a
las diferentes necesidades, Consultas, listados, informes estadísticos,
Facturación, Vendedores y Cobradores, Administración de Cunetas Corrientes
Deudoras, Venta de Servicio.
- Compras: administra todas las actividades de compras, aprovisionamiento, e
importaciones de la Empresa teniendo como objetivos principales proveer
información sobre el estado actual e histórico de cada una y todas las
operaciones pactadas.
Esto se logra mediante la definición de los siguientes elementos: Entidades
(Proveedores y Acreedores) Comprobantes y Circuitos, Orden de Compra,
Notas de Pedido, Pedidos de cotización, recepciones, Consultas y Listados,
administración de Cuentas Corrientes Acreedoras.
- Stock y Precios: Aquí se administran los artículos que se comercializan, ya
sean artículos terminados elaborados mediante un proceso de fabricación,
artículos de reventa o servicios ofrecidos dependiendo del rubro al que
pertenezca cada empresa. Operaciones, Características principales de la
gestión de stock, Consultas y listados, precios.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
118
- Bienes de Uso: permite administrar el inventario de los bienes de uso,
considerando los sectores en los que se encuentra, responsables asignados,
vencimientos de pólizas de seguros, importes y períodos de amortización, etc.
Planificación y seguimiento del proceso productivo: Producción:
- Planificación de recursos y materiales.
- Trazabilidad por número de serie y/o partida.
- Arbol de producto.
- Configuración de circuito según cada proceso productivo.
- Control de calidad de producto y mantenimiento de maquinaria.
- Gantt de producción.
- Ordenes de producción.
- Generación de órdenes de compra.
- Monitoreo de planta.
- Control de scrap.
Administración del Capital Humano
- Liquidación de haberes para diferentes contratos y convenios laborales.
- Organigrama.
- Control de horarios de personal.
- Evaluaciones de desempeño.
- Perfiles y legajos.
- Costo laboral por centro de costos.
Gestión de relaciones con clientes
- Fidelización de clientes.
- Gestión de reclamos.
- Encuestas y mediciones de satisfacción.
- Seguimiento de procesos comerciales.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
119
Sistematización de los procesos y proyectos
- Seguimiento de proyectos.
- Asignaciones y estado de tareas.
- Configuración de circuitos.
- Procesos de calidad para certificación de Normas.
Automatización del gerenciamiento
- Tablero de comandos.
- Configuración ilimitada de reportes.
- Automatización de tareas.
- Alarmas y semáforos.
- Visualización de indicadores en tiempo real.
• Es una aplicación que tiene bastante tiempo, y se han registrado optimización y
evolución en la misma.
• La aplicación se encarga de actualizar tablas en los diferentes equipos, mientras no
haya problemas (de red, apagado de algún equipo repositorio de tabla, etc.). En el
momento en que suceda algún inconveniente, hay que comunicarse con la empresa
para solucionar los problemas.
• Se lleva a cabo cambios en la aplicación, que genera un impacto alto en los
usuarios, pero como se encuentra en la etapa de implementación hay que llevarlo a
cabo.
• La aplicación que está actualmente en uso, garantiza integridad de los datos.
• El área de Soporte se encarga en su mayoría, del Mantenimiento Correctivo.
• Los documentos generados por sistema son los siguientes:
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
120
- Factura: 3 copias (original para el cliente, duplicado para archivo y triplicado
una vez cumplimentado el pago)
- Nota Crédito: 3 copias (original para el cliente, duplicado para archivo y
triplicado una vez cumplimentado el pago)
- Nota Débito: 3 copias (original para el cliente, duplicado para archivo y
triplicado una vez cumplimentado el pago)
- Remitos: 2 copias (original para el cliente, duplicado para archivo)
- Recibos de Pago: 1 copia (original para el cliente)
- Minutas de Pago: 1 copia (original para el cliente)
- Nota de Venta: no se imprime.
- Orden de Compra: impresión opcional, con autorizaciones de acuerdo a
rangos de montos de compra.
- Recibos de sueldo: 2 copias (una para el empleado y otra para el archivo).
- Planilla para Fletes Terciarizados: 1 copia.
El siguiente es un diagrama que muestra los mecanismos presentes con respecto a la
empresa que brinda el servicio de red y aplicación:
Fig. 5.3. Caso de estudio - Diagrama de Seguridad
Ilustración 13 Caso de estudio - Diagrama de Seguridad
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
121
Los detalles de la infraestructura de seguridad son los siguientes:
Con respecto a la organización NeuralSoft la seguridad en cuanto a los servidores
representados en la figura anterior podemos decir:
• Replica de servidores de datos.
• Servicio de Backups diarios automatizados.
• Mesa de ayuda las 24 horas.
• Monitoreo, detección y eliminación de virus.
• Firewall.
Con respecto a la organización, la infraestructura de seguridad es la siguiente:
• No hay políticas de seguridad claras. Son procesos mínimos de aseguramiento,
parcheo, niveles básicos.
• Cuando un empleado se va de la empresa el usuario y clave son bloqueados.
• No se tiene gobierno de Servidores y aplicaciones que interactúan con ellos. A
futuro se busca crear políticas alineadas con los principios de la organización.
• No hay procedimientos claros para el control de la información.
• Con respecto al Centro de Cómputo, se encontró que:
- Hay problemas de humedad (filtraciones, goteras)
- No hay estándares como tal, para el centro de cómputo.
- Piso elevado sin perforaciones
- No hay flujo de aire, no se controla la temperatura por medio de aire
acondicionado.
- UPS con banco de baterías redundante.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
122
- Canaletas de flujo eléctrico con origen de diferentes fuentes eléctricas.
- El cableado del centro de cómputo no es elevado.
- Detector de incendios.
- Extintores de fácil acceso
• No se usa Proxy para el acceso a Internet, se implementa NAT (Network Address
Translation), el cual controla el flujo de información hacia adentro y hacia fuera de la
red, esto funciona administrando dos grupos: PC’s y Servidores: se controla el flujo
de entrada, por medio de Protocolos, puertos y Direcciones IP.
• Política de Backups: No se hace Backup en la organización, sólo el que se hace en
el servidor externo.
• No se tienen servidores en Standby para contingencias en caso de daños.
• Antivirus NOD-32: Escaneo automático diario para PC’s de usuarios
administrativos.
A partir de la evaluación de riesgos que se hizo con la herramienta Microsoft Security
Assessment Tool 4.0, se identificaron algunas situaciones que se resumirán en
vulnerabilidades y amenazas.
• Los socios y clientes externos se conectan a los sistemas internos para gestionar la
información, provocando que los datos puedan dañarse o robarse.
• Los empleados o contratistas acceden remotamente a la red corporativa interna.
• La red corporativa es compartida para que las mismas sean usadas por clientes,
socios o terceros. Aumenta el riesgo de dañar datos importantes.
• Subcontratar el mantenimiento nos lleva a una dependencia en recursos externos,
cuando en realidad no tendría que ser un punto donde la empresa tenga que
preocuparse.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
123
• La empresa no cuenta con un plan a medio o largo plazo para la selección y
utilización de nueva tecnología. Posibilitando tiempos de inactividad y ataques.
• La empresa permite que los empleados descarguen información a sus computadoras.
Aumentando el riesgo de pérdida o robo.
• La empresa adquiere software de fabricantes desconocidos, los mismos podrían
contener código peligroso.
• No se dispone de una metodología de seguridad fundamental para mejorar la
seguridad, la compatibilidad y la capacidad de gestión de las aplicaciones.
• Los datos sin cifrar se transmiten y almacenan como texto sin formato quedando
susceptibles a robos o traspasos de información.
Informe
Perfil de riesgos para la empresa vs Índice de defensa en profundidad Informe resumido
Interpretación de gráficos
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
124
La puntuación del BRP va de 0 a 100. Una puntuación más alta significa un riesgo posible
aumentado al que está expuesta su empresa en esta área de análisis. Es importante tener en
cuenta que una puntuación de 0 no es posible; dedicarse a una actividad comercial siempre
implica un nivel de riesgo. También es importante comprender que hay riesgos comerciales
que no se pueden mitigar directamente.
- Perfil de riesgos para la empresa (BRP) - Medida del riesgo al que está
expuesto una empresa, según el entorno empresarial y el sector en que
compite.
- AoAs - Áreas de análisis que son la infraestructura, las aplicaciones,
operaciones, y la gente.
DiDI también tiene una puntuación de 0 a 100. Una puntuación más alta significa un entorno
donde han tomado más medidas para implementar estrategias de DiD en el área de análisis
específica. La puntuación DiDI no indica la eficacia general de la seguridad ni siquiera la
cantidad de recursos para la misma, sino que cuantifica la estrategia global que se utiliza para
defender el entorno.
- Índice de defensa en profundidad (DiDI) - Medida de las defensas de
seguridad utilizadas en el personal, los procesos y la tecnología para contribuir
a reducir los riesgos identificados en una empresa.
En principio, una puntuación baja del BRP y alta del DiDI parecería un buen resultado, pero
no siempre es así. Está fuera del ámbito de la presente autoevaluación tener en cuenta todos
los factores. Una disparidad significativa entre la puntuación del BRP y la del DiDI para un
área de análisis específica significa que se recomienda una revisión del área. Cuando analice
sus resultados, es importante tener en cuenta las puntuaciones individuales, tanto de BRP
como de DiDI, y cómo se relacionan entre sí. Un entorno estable probablemente tendría
como resultado puntuaciones iguales en todas las áreas. Disparidades entre las puntuaciones
DiDI son un indicio de una estrategia general de seguridad concentrada en una sola técnica
de mitigación. Si la estrategia de seguridad no abarca el personal, los procesos ni la
tecnología, el entorno estará expuesto a un mayor riesgo de ataque.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
125
b) Identificación de vulnerabilidades
A partir del relevamiento de información realizado anteriormente se identificaron las
siguientes vulnerabilidades:
• Se tiene una única copia de documento en el archivo, y en algunos casos no se
imprime.
• Dentro de la organización los documentos solo se encuentran en papel, ya que los
datos grabados van todos al servidor externo.
• No hay un control estricto para las bajas de los productos por rotura, ya que el
realiza las bajas es el encargado de depósito.
• No hay control en las cajas cerradas de los productos, a veces se cambian baratos
por otros más caros.
• No hay control sobre el sistema en cuanto al abandono del mismo por parte de un
empleado en plena tarea.
• No hay enlaces redundantes entre los switches de cada centro de cableado.
• Todos los datos son guardados en un servidor externo a la organización.
• Cifrado de encriptación débil en los Access Point
• Seguridad mediante lista de direcciones MAC
• Los socios y clientes externos se conectan a los sistemas internos para gestionar la
información.
• PC’s con carpetas compartidas de acceso público. Los PC’s son de uso cotidiano, en
labores diferentes a ser servidores como tal.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
126
• La red corporativa es compartida para que las mismas sean usadas por clientes,
socios o terceros.
• Contraseñas compartidas por todos los usuarios
• No hay políticas ni procedimientos debidamente documentados para la
administración de la infraestructura de red interna de la organización.
• Localización inadecuada del centro de cómputo, con respecto a estándares de
buenas prácticas para centros de cómputo.
• No hay sensores de humedad en el centro de cómputo
• No hay flujo adecuado de aire dentro del centro de cómputo, ni los equipos
adecuados para esto.
• Configuración inadecuada e incompleta del antivirus instalado, con respecto a las
necesidades y características propias de la organización.
• Se generan demoras en el funcionamiento del programa debido a las conexiones de
internet.
• A pesar de que hay doble conexión a Internet, teniendo una redundancia por si
alguna se cae, suele suceder que no funciona ningún enlace de internet y por lo tanto
toda la sucursal afectada queda sin funcionamiento.
• No existe ningún mecanismo o dispositivo de seguridad, que permita detectar o
evitar ataques generados dentro de la LAN.
• No existe cableado diferenciado para los equipos informáticos del resto de los
equipos.
• Falta de planes a medio o largo plazo para la selección y utilización de nueva
tecnología.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
127
• La empresa permite que los empleados descarguen información a sus computadoras.
• La empresa adquiere software de fabricantes desconocidos.
c) Identificación de amenazas
Las siguientes son las amenazas encontradas a partir del relevamiento de información
y de las vulnerabilidades:
• Pérdida de documentos
• Incendio en el Archivo
• Hurto de materiales de diversas índoles.
• Caída de enlace – Denegación de Servicios en los equipos de red de la organización
• Penetración a la red vía inalámbrica
• Acceso no autorizado a datos
• Pérdida de integridad de datos
• Pérdida de disponibilidad de datos, o hurtos de los mismos
• Sabotaje por parte de usuarios
• Errores humanos por desconocimiento de procedimientos y políticas.
• Lluvias fuertes, inundaciones, filtraciones de agua.
• Daño de equipos en el centro de cómputo por sobrecalentamiento
• Ataques de infección de virus
• Posible pérdida de integridad de los datos o funcionalidad de la aplicación de la
organización
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
128
• Imposibilidad de funcionamiento de la organización por caída de enlace de internet,
sin poder utilizar el programa.
• Lentitud y demoras del sistema por mala conexión.
• Ataques informáticos internos en la LAN de la Organización.
• Pérdida de funcionamiento o de los servicios de un switch
• Pérdida de funcionamiento de algún equipo por sobrecarga de corriente.
d) Tabla de riesgos identificados
A partir de las vulnerabilidades y amenazas determinadas en los pasos anteriores, se
puede ahora construir la tabla de riesgos, compuesta por vulnerabilidades y
amenazas.
Tabla 5-1 Caso de estudio – Tabla de riesgos identificados
Identificador Vulnerabilidad Amenaza
R1 -Se tiene una única copia de cada documento
en el archivo dentro de la empresa.
-No hay un control estricto en el seguimiento
de los documentos.
Pérdida de información,
debido al extravío o
hurto de Documentos
R2 -Las copias de los documentos se
encuentran en papel dentro de la organización
-No hay sensores de humo en las instalaciones
del Archivo
Incendio en el Archivo
de Documentos
R3 -No hay enlaces redundantes entre los
switches de cada centro de cableado.
-El sistema no funciona por caída de enlaces a
internet.
Caída de enlace –
Denegación de
Servicios en los equipos
de red de la
organización
R4 -Cifrado de encriptación débil en los Access
Point
-Seguridad mediante lista de direcciones
MAC
Penetración a la red vía
Inalámbrica.
R5 - La red corporativa es compartida para que
las mismas sean usadas por clientes, socios o
terceros.
Pérdida de integridad
de datos
Acceso no autorizado a
datos
R6 -Contraseñas compartidas por algunos Sabotaje por parte de
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
129
usuarios o abandono de sistema en función
con la clave puesta.
usuarios
R7 -Mala localización del centro de cómputo
-No hay sensores de humedad en el centro de
cómputo
Lluvias fuertes,
inundaciones,
filtraciones de agua.
R8 -No hay flujo adecuado de aire dentro del
centro de cómputo, ni los equipos adecuados
para esto.
Sobrecalentamiento de
equipos o partes de
equipos del centro de
cómputo.
R9 -Mala configuración de antivirus
-Antivirus débil o no adecuado para la
organización
Ataques de infección de
virus
R10 -La aplicación corre sólo vía internet, por lo
tanto genera demoras si la conexión está
excedida, o si funciona mal.
Posible pérdida de
disponibilidad de los
datos o funcionalidad
de la aplicación de la
organización
R11 -No existe ningún mecanismo o dispositivo de
seguridad, que permita detectar o evitar
ataques generados dentro de la LAN.
- Se adquiere software de fabricantes
desconocidos
- Se permite que los empleados descarguen
información a sus computadoras.
Ataques informáticos
internos en la LAN de
la Organización.
R12 -Los equipos informáticos no tienen cableado
diferenciado del resto de los equipos de la
empresa.
Pérdida de
funcionamiento o de los
servicios de un switch
R13 -No hay ningún tipo de mecanismo de
contingencia ante fallas de flujo eléctrico en
las instalaciones de la organización
Cortes o picos de flujo
eléctrico.
Tabla 5.1. Caso de estudio – Tabla de riesgos identificados
e) Determinación el número de ocurrencias
La siguiente, es la tabla del Frecuencia Anual de Ocurrencias (FAO) de los riesgos
identificados anteriormente:
Tabla 5-2 Caso de estudio – Frecuencia Anual de Ocurrencias
Riesgo FAO
R1 5 al año
R2 0
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
130
R3 3 veces por día en promedio
R4 1 hora al año
R5 7 al año
R6 0 veces. No se han detectado casos, pero es
posible que suceda
R7 3 veces al año
R8 13 veces al año
R9 47 veces al año
R10 9 veces al año
R11 25 veces al año
R12 3 horas al año
R13 27 veces al año
Tabla 5.2. Caso de estudio – Frecuencia Anual de Ocurrencias
Adicionalmente, se determinaron los siguientes rangos de criticidad del FAO, para
cada uno de los riesgos identificados:
R1
Tabla 5-3 Caso de estudio – Rango FAO R1
Rango FAO Criticidad FAO
0 ≤ x < 2 BAJO
2 ≤ x < 4 MEDIO
x ≥ 4 ALTO
Tabla 5.3. Caso de estudio – Rango FAO R1
R2
Tabla 5-4 Caso de estudio – Rango FAO R2
Rango FAO Criticidad FAO
- BAJO
- MEDIO
x > 0 ALTO
Tabla 5.4. Caso de estudio – Rango FAO R2
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
131
R3
Tabla 5-5 Caso de estudio – Rango FAO R3
Rango FAO Criticidad FAO
0 ≤ x < 1 BAJO
1 ≤ x < 2 MEDIO
x ≥ 2 (por día) ALTO
Tabla 5.5. Caso de estudio – Rango FAO R3
R4
Tabla 5-6 Caso de estudio – Rango FAO R4
Rango FAO Criticidad FAO
0 ≤ x < 20 BAJO
20 ≤ x < 40 MEDIO
x ≥ 40 (HORAS) ALTO
Tabla 5.6. Caso de estudio – Rango FAO R4
R5
Tabla 5-7 Caso de estudio – Rango FAO R5
Rango FAO Criticidad FAO
0 ≤ x < 13 BAJO
13 ≤ x < 23 MEDIO
x ≥ 23 ALTO
Tabla 5.7. Caso de estudio – Rango FAO R5
R6
Tabla 5-8 Caso de estudio – Rango FAO R6
Rango FAO Criticidad FAO
0 ≤ x < 16 BAJO
16 ≤ x < 32 MEDIO
x ≥ 32 ALTO
Tabla 5.8. Caso de estudio – Rango FAO R6
R7
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
132
Tabla 5-9 Caso de estudio – Rango FAO R7
Rango FAO Criticidad FAO
0 ≤ x < 3 BAJO
3 ≤ x < 5 MEDIO
x ≥ 5 ALTO
Tabla 5.9. Caso de estudio – Rango FAO R7
R8
Tabla 5-10 Caso de estudio – Rango FAO R8
Rango FAO Criticidad FAO
0 ≤ x < 3 BAJO
3 ≤ x < 9 MEDIO
x ≥ 9 ALTO
Tabla 5.10. Caso de estudio – Rango FAO R8
R9
Tabla 5-11 Caso de estudio – Rango FAO R9
Rango FAO Criticidad FAO
0 ≤ x < 10 BAJO
10 ≤ x < 20 MEDIO
x ≥ 20 ALTO
Tabla 5.11. Caso de estudio – Rango FAO R9
R10
Tabla 5-12 Caso de estudio – Rango FAO R10
Rango FAO Criticidad FAO
0 ≤ x < 3 BAJO
3 ≤ x < 12 MEDIO
x ≥ 12 ALTO
Tabla 5.12.Caso de estudio – Rango FAO R10
R11
Tabla 5-13 Caso de estudio – Rango FAO R11
Rango FAO Criticidad FAO
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
133
0 ≤ x < 8 BAJO
8 ≤ x < 15 MEDIO
x ≥ 15 ALTO
Tabla 5.13.Caso de estudio – Rango FAO R11
R12
Tabla 5-14 Caso de estudio – Rango FAO R12
Rango FAO Criticidad FAO
0 ≤ x < 3 BAJO
3 ≤ x < 6 MEDIO
x ≥ 6 (por horas) ALTO
Tabla 5.14.Caso de estudio – Rango FAO R12
R13
Tabla 5-15 Caso de estudio – Rango FAO R13
Rango FAO Criticidad FAO
0 ≤ x < 25 BAJO
25 ≤ x < 70 MEDIO
x ≥ 70 ALTO
Tabla 5.15.Caso de estudio – Rango FAO R13
Dados los rangos anteriores, la criticidad de la Frecuencia Anual de Ocurrencias
(FAO), de los riesgos queda de la siguiente manera:
Tabla 5-16 Caso de estudio – Criticidad FAO
Identificador Criticidad FAO
R1 ALTO
R2 BAJO
R3 ALTO
R4 BAJO
R5 BAJO
R6 BAJO
R7 MEDIO
R8 ALTO
R9 ALTO
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
134
R10 MEDIO
R11 ALTO
R12 MEDIO
R13 MEDIO
Tabla 5.16. Caso de estudio – Criticidad FAO
f) Determinación del impacto
A continuación se presentan, para cada uno de los riesgos, los factores de impacto
relacionado, y el Costo de Impacto de cada uno de dichos factores, así como el total
para el riesgo específico. La forma como se calculó cada uno de estos costos, se
encuentra detallada en el Anexo D del presente documento.
R1
Tabla 5-17 Caso de estudio – CI R1
Factor de Impacto CI ($)
Pérdida irrecuperable de
información confidencial y
financiera.
11250
Pérdida de imagen organizacional. 4342500
TOTAL 4353750
Tabla 5.17. Caso de estudio – CI R1
R2
Tabla 5-18 Caso de estudio – CI R2
Factor de Impacto CI ($)
Pérdida irrecuperable de información
confidencial y financiera.
45000000
Pérdida de imagen organizacional. 0
TOTAL 45000000
Tabla 5.18. Caso de estudio – CI R2
R3
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
135
Tabla 5-19 Caso de estudio – CI R3
Factor de Impacto CI ($)
Pérdida de tiempo de labores o
productividad de las personas de
la organización afectadas.
564/hora
Tiempo del personal encargado de
la reparación del daño, o cambio
de un equipo en caso de daño.
40/hora
Costo de la reposición del equipo
afectado.
3000
TOTAL 3604
Tabla 5.19. Caso de estudio – CI R3
R4
Tabla 5-20 Caso de estudio – CI R4
Factor de Impacto CI ($)
Posible pérdida de información o
intrusión de usuario no autorizado a la
red.
1000
Posible pérdida de funcionamiento de
la aplicación para todos los usuarios
80640
Falta de disponibilidad de la conexión
inalámbrica para los usuarios
4200
TOTAL 84840
Tabla 5.20. Caso de estudio – CI R4
R5
Tabla 5-21 Caso de estudio – CI R5
Factor de Impacto CI ($)
Tiempo de la persona encargada
para identificar y recuperar
integridad de datos.
250
Posible paralización parcial de
actividades de los usuarios del
sistema, mientras se restablece la
normalidad del mismo.
64860
TOTAL 65110
Tabla 5.21. Caso de estudio – CI R5
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
136
R6
Tabla 5-22 Caso de estudio – CI R6
Factor de Impacto CI ($)
Tiempo de paralización de actividades
de los usuarios, mientras se restablece
la contraseña.
64860
TOTAL 64860
Tabla 5.22. Caso de estudio – CI R6
R7
Tabla 5-23 Caso de estudio – CI R7
Factor de Impacto CI ($)
Daño de equipos, enceres,
instalaciones, entre otros.
60000
Tiempo de restauración de la
información perdida.
720
TOTAL 60720
Tabla 5.23. Caso de estudio – CI R7
R8
Tabla 5-24 Caso de estudio – CI R8
Factor de Impacto CI ($)
Tiempo de restauración de la
información perdida.
200
Costo de la(s) parte(s) dañadas. 800
TOTAL 1000
Tabla 5.24. Caso de estudio – CI R8
R9
Tabla 5-25 Caso de estudio – CI R9
Factor de Impacto CI ($)
Pérdida de información *
Tiempo de restauración del sistema
afectado.
35250
TOTAL 35250
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
137
Tabla 5.25. Caso de estudio – CI R9
R10
Tabla 5-26 Caso de estudio – CI R10
Factor de Impacto CI ($)
Tiempo de falta de disponibilidad
para los usuarios, de una o más
funcionalidades del sistema.
64860
Pérdida de ventas a clientes que no
pueden ser atendidos.
225000
TOTAL 289860
Tabla 5.26. Caso de estudio – CI R10
R11
Tabla 5-27 Caso de estudio – CI R11
Factor de Impacto CI ($)
Pérdida de información de equipos de
la LAN
*
Paralización de actividades por daño
de software o hardware de equipos.
564
Tiempo de restauración del sistema. 11750
TOTAL 12314
Tabla 5.27. Caso de estudio – CI R11
*El valor de la pérdida de información, a pesar de ser un factor intangible, se puede
llegar a aproximar, pero para este caso de estudio no se contó con los elementos
suficientes para conocer toda la información necesaria para calcular este costo.
R12
Tabla 5-28 Caso de estudio – CI R12
Factor de Impacto CI ($)
Tiempo de paralización de actividades
de usuarios de la red inalámbrica.
4200
Costo de la(s) parte(s) dañadas. 800
TOTAL 5000
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
138
Tabla 5.28. Caso de estudio – CI R12
R13
Tabla 5-29 Caso de estudio – CI R13
Factor de Impacto CI ($)
Daño de partes o de la totalidad de
equipos de cómputo. Por ejemplo,
discos duros, fuentes de poder, entre
otros.
1528
TOTAL 1528
Tabla 5.29. Caso de estudio – CI R13
Se definieron los siguientes rangos de valor, para la clasificación del nivel de
criticidad CI:
Tabla 5-30 Caso de estudio – Rango CI
Rango CI ($) Criticidad CI
0 ≤ x ≤ 40000,00 BAJO
40000,00 < x ≤ 65000,00 MEDIO
x > 65000,00 ALTO
Tabla 5.30. Caso de estudio – Rango CI
El costo de Impacto (CI) y grado de criticidad CI, para cada uno de los riesgos
identificados queda de la siguiente manera:
Tabla 5-31 Caso de estudio – Criticidad CI
Riesgo CI ($) Criticidad CI
R1 4353750 ALTO
R2 45000000 ALTO
R3 3604 BAJO
R4 84840 ALTO
R5 65110 ALTO
R6 64860 MEDIO
R7 60720 MEDIO
R8 1000 BAJO
R9 35250 BAJO
R10 289860 ALTO
R11 12314 BAJO
R12 5000 BAJO
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
139
R13 1528 BAJO
Tabla 5.31. Caso de estudio – Criticidad CI
*El valor de la pérdida de información, a pesar de ser un factor intangible, se puede
llegar a aproximar, pero para este caso de estudio no se contó con los elementos
suficientes para conocer toda la información necesaria para calcular este costo.
La siguiente tabla muestra un resumen de las criticidades, tanto de FAO como de CI
para cada uno de los riesgos:
Tabla 5-32 Caso de estudio – Criticidad FAO y Criticidad CI
Riesgo Criticidad FAO Criticidad CI
R1 ALTO ALTO
R2 BAJO ALTO
R3 ALTO BAJO
R4 BAJO ALTO
R5 BAJO ALTO
R6 BAJO MEDIO
R7 MEDIO MEDIO
R8 ALTO BAJO
R9 ALTO BAJO
R10 MEDIO ALTO
R11 ALTO BAJO
R12 MEDIO BAJO
R13 MEDIO BAJO
Tabla 5.32. Caso de estudio – Criticidad FAO y Criticidad CI
g) Determinación del nivel de riesgo
Con base en la Tabla 3.19 de este documento, el nivel o criticidad de cada uno de los
riesgos, basado en la criticidad del FAO y del CI, son los siguientes:
Tabla 5-33 Caso de estudio – Criticidad de cada riesgo
Riesgo Criticidad FAO Criticidad CI Criticidad de Riesgo
R1 ALTO ALTO ALTO
R2 BAJO ALTO MEDIO
R3 ALTO BAJO MEDIO
R4 BAJO ALTO MEDIO
R5 BAJO ALTO MEDIO
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
140
R6 BAJO MEDIO BAJO
R7 MEDIO MEDIO MEDIO
R8 ALTO BAJO MEDIO
R9 ALTO BAJO MEDIO
R10 MEDIO ALTO MEDIO-ALTO
R11 ALTO BAJO MEDIO
R12 MEDIO BAJO BAJO
R13 MEDIO BAJO BAJO
Tabla 5.33. Caso de estudio – Criticidad de cada riesgo
Por último, en este paso, se calcula el RAI (Recuperación Anual del Impacto) para cada uno
de los riesgos, con base en su FAO y CI cuantitativos:
Tabla 5-34 Caso de estudio – RAI de cada riesgo
Riesgo Criticidad
FAO
Criticidad
CI
Criticidad de
Riesgo
FAO CI ($) RAI ($)
R1 ALTO ALTO ALTO 5 4353750 21768750
R2 BAJO ALTO MEDIO 0 45000000 0
R3 ALTO BAJO MEDIO 3 3604 10812
R4 BAJO ALTO MEDIO 1 84840 84840
R5 BAJO ALTO MEDIO 7 65110 455770
R6 BAJO MEDIO BAJO 0 64860 0
R7 MEDIO MEDIO MEDIO 3 60720 182160
R8 ALTO BAJO MEDIO 13 1000 13000
R9 ALTO BAJO MEDIO 47 35250 1656750
R10 MEDIO ALTO MEDIO-
ALTO
9 289860 2608740
R11 ALTO BAJO MEDIO 25 12314 307850
R12 MEDIO BAJO BAJO 3 5000 15000
R13 MEDIO BAJO BAJO 27 1528 41256
Tabla 5.34. Caso de estudio – RAI de cada riesgo
h) Recomendaciones de control
La tabla 4.34, muestra las criticidades finales de los riesgos, determinadas por la
relación entre las criticidades del FAO y CI para cada uno de ellos. Siguiendo la guía
metodológica propuesta, se tratarán y recomendarán controles, a los riesgos con
criticidad Alta, Media – Alta y Media.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
141
Se presentan a continuación los controles recomendados para dichos riesgos, y sus
costos aproximados. La forma como se calcularon estos costos, se encuentra detallada
en el Anexo E al final de este documento.
Tabla 5-35 Caso de estudio – Recomendaciones de Control
Riesgo Controles sugeridos Costo Controles
R1 • Digitalización de Documentos que se
guarden en la empresa (no en un servidor
externo), además de las copias en papel.
• Backup continuo de Documentos
Digitalizados
• Almacenamiento de copias de respaldo en
lugares físicos distintos a la organización.
5850
R2 • Almacenamiento de Documentos (en
papel) en un lugar apropiado para ello: p.
ej. sin tomas de corriente eléctrica
• Instalar sensores de humo y aspersores de
gas en el lugar de almacenamiento de
archivo.
• Almacenamiento de Documentos (en
papel) en diferentes sitios físicos.
1495
R3 • Mantener en funcionamiento un servidor
que sea redundante con el externo para
poder trabajar en algún momento de corte
de enlaces.
7000
R4 • Instalar un sistema con un algoritmo de
encriptación de datos para evitar el robo de
los mismos o fraude.
8750
R5 • Implementación e implantación de un
sistema de información de acceso Web,
distribuido, escalable, redundante, entre
otras características, que permita hacer la
aplicación más accesible, segura y estable.
• Implementar un Servidor redundante
para mejorar la disponibilidad de datos en
caso de caída de conexión de Internet.
• Capacitación de usuarios en el uso del
sistema.
42000
R7 • Adecuación del centro de cómputo a un 2050300
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
142
lugar apropiado para ello.
• Adecuación de los centro de cableado y
distribución.
• Instalación de sensores de humedad en los
lugares necesarios.
R8 • Instalación de aire para una correcta
refrigeración de los equipos y de esta
manera controlar el flujo del mismo.
15000
R9 • Revisión y reconfiguración de las
principales políticas, funciones y
características del antivirus instalado,
desde la consola de administración central.
0
R10 • Contratar un servicio dedicado de
Internet para no tener fallas en los enlaces
y/o asegurarse de tener un ancho de banda
suficiente para que el sistema sea flexible.
8000
R11 • Instalación e implementación de uno o
más firewall dentro de la red de la
organización
• Instalación e implementación de uno o
más IDS internos en la red de la
organización
60000
Tabla 5.35. Caso de estudio – Recomendaciones de Control
Proceso No. 2: Estimación del ROSI
a) Estimación del ROSI por años
Estimación para el año 1
Las siguientes son las tablas de estimación de gasto o ahorro de las inversiones, en el
primer año, y para cada uno de los riesgos:
Tabla 5-36 Caso de estudio – Estimación Año 1 R1
R1 Año 1 ($)
Inversión 5850
Impacto 21768750
Operación 292.5
Gasto o Ahorro 21762607,5
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
143
Tabla 5.36. Caso de estudio – Estimación Año 1 R1
Tabla 5-37 Caso de estudio – Estimación Año 1 R2
R2 Año 1 ($)
Inversión 1495
Impacto 0
Operación 74.75
Gasto o Ahorro -1569.75
Tabla 5.37. Caso de estudio – Estimación Año 1 R2
Tabla 5-38 Caso de estudio – Estimación Año 1 R3
R3 Año 1 ($)
Inversión 7000
Impacto 10812
Operación 350
Gasto o Ahorro 3462
Tabla 5.38. Caso de estudio – Estimación Año 1 R3
Tabla 5-39 Caso de estudio – Estimación Año 1 R4
R4 Año 1 ($)
Inversión 8750
Impacto 84840
Operación 437.5
Gasto o Ahorro 75652,5
Tabla 5.39. Caso de estudio – Estimación Año 1 R4
Tabla 5-40 Caso de estudio – Estimación Año 1 R5
R5 Año 1 ($)
Inversión 42000
Impacto 455770
Operación 2100
Gasto o Ahorro 411670
Tabla 5.40. Caso de estudio – Estimación Año 1 R5
Tabla 5-41 Caso de estudio – Estimación Año 1 R7
R7 Año 1 ($)
Inversión 205300
Impacto 182160
Operación 10265
Gasto o Ahorro -33405
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
144
Tabla 5.41. Caso de estudio – Estimación Año 1 R7
Tabla 5-42 Caso de estudio – Estimación Año 1 R8
R8 Año 1 ($)
Inversión 15000
Impacto 13000
Operación 750
Gasto o Ahorro -2750
Tabla 5.42. Caso de estudio – Estimación Año 1 R8
Tabla 5-43 Caso de estudio – Estimación Año 1 R9
R9 Año 1 ($)
Inversión 0
Impacto 1656750
Operación 0
Gasto o Ahorro 1656750
Tabla 5.43. Caso de estudio – Estimación Año 1 R9
Tabla 5-44 Caso de estudio – Estimación Año 1 R10
R10 Año 1 ($)
Inversión 8000
Impacto 2608740
Operación 400
Gasto o Ahorro 2600340
Tabla 5.44. Caso de estudio – Estimación Año 1 R10
Tabla 5-45 Caso de estudio – Estimación Año 1 R11
R11 Año 1 ($)
Inversión 60000
Impacto 307850
Operación 3000
Gasto o Ahorro 244850
Tabla 5.45. Caso de estudio – Estimación Año 1 R11
Como se puede ver en las tablas anteriores, los riesgos R1, R3, R4, R5, R9, R10 y
R11 generan ahorro desde el primer año, es decir que ya hay retorno de las
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
145
inversiones que se sugirieron para dichos riesgos, en el primer año. Para los riesgos
R3, R7 y R8, el valor del campo Gasto o Ahorro, tiene un resultado negativo, lo que
significa un gasto adicional en el primer año, debido a las inversiones para dichos
riesgos. Para estos casos, se realizará entonces, en las secciones siguientes, un estudio
de estimación para los años posteriores, para analizar y determinar en cuánto tiempo a
futuro se vería retornada la inversión propuesta.
Estimación para el año 2 en adelante
Como se expuso anteriormente, donde se detallan los pasos de la guía metodológica,
el proceso de estimación del retorno a la inversión por años, implica un proceso
iterativo por años, en los cuales se debe conocer algunos datos del año
inmediatamente anterior, datos como el impacto residual. En este caso, si se fuera
hacer la estimación para el año 2, se necesitaría conocer el valor del impacto residual
del año 1 para cada riesgo; recuerde que dicho impacto residual es dado por los costos
generados por los daños que todavía puedan haberse generado en el año
inmediatamente anterior, después de haber aplicado el control sugerido.
Es por ello, que para este caso de estudio, en este punto de la guía, no se pueden
seguir haciendo iteraciones para los años 2 en adelante, debido a que no se conoce el
valor del impacto residual de cada año. De hecho, esto lleva directamente al siguiente
numeral, en el cual se hace la estimación del tiempo en el cual se retorna la inversión,
sin tener en cuenta el valor del impacto residual para cada riesgo, es decir, en
condiciones ideales.
b) Estimación del ROSI en el año 0
Las siguientes tablas, muestran la estimación del retorno de las inversiones de cada
riesgo, en tiempo y dinero, en condiciones ideales, como se explicó anteriormente.
Tabla 5-46 Caso de estudio – Estimación Año 0 R1
Riesgo R1 Año 1 ($)
Inversión 5850
Impacto 21768750
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
146
Operación 292.5
Gasto o Ahorro 21762607,5
Pendiente por Recuperar -
Ahorro Total o Saldo por Recuperar -
Tabla 5.46. Caso de estudio – Estimación Año 0 R1
Tabla 5-47 Caso de estudio – Estimación Año 0 R2
Riesgo R2 Año 1 ($)
Inversión 1495
Impacto 0
Operación 74.75
Gasto o Ahorro -1569.75
Pendiente por Recuperar -
Ahorro Total o Saldo por Recuperar -
Tabla 5.47. Caso de estudio – Estimación Año 0 R2
Tabla 5-48 Caso de estudio – Estimación Año 0 R3
Riesgo R3 Año 1 ($)
Inversión 7000
Impacto 10812
Operación 350
Gasto o Ahorro 3462
Pendiente por Recuperar -
Ahorro Total o Saldo por Recuperar -
Tabla 5.48. Caso de estudio – Estimación Año 0 R3
Tabla 5-49 Caso de estudio – Estimación Año 0 R4
Riesgo R4 Año 1 ($)
Inversión 8750
Impacto 84840
Operación 437.5
Gasto o Ahorro 75652,5
Pendiente por Recuperar -
Ahorro Total o Saldo por Recuperar -
Tabla 5.49. Caso de estudio – Estimación Año 0 R4
Tabla 5-50 Caso de estudio – Estimación Año 0 R5
Riesgo R5 Año 1 ($)
Inversión 42000
Impacto 455770
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
147
Operación 2100
Gasto o Ahorro 411670
Pendiente por Recuperar -
Ahorro Total o Saldo por Recuperar -
Tabla 5.50. Caso de estudio – Estimación Año 0 R5
Tabla 5-51 Caso de estudio – Estimación Año 0 R7
Riesgo R7 Año 1
($)
Año 2
($)
Inversión 205300 -
Impacto 182160 -
Operación 10265 10265
Gasto o Ahorro -33405 10265
Pendiente por Recuperar - 33405
Ahorro Total o Saldo por Recuperar - 138490
Tabla 5.51. Caso de estudio – Estimación Año 0 R7
Tabla 5-52 Caso de estudio – Estimación Año 0 R8
Riesgo R8 Año 1 ($) Año 2 ($)
Inversión 15000 -
Impacto 13000 -
Operación 750 750
Gasto o Ahorro -2750 750
Pendiente por Recuperar - 2750
Ahorro Total o Saldo por
Recuperar
- 9500
Tabla 5.52. Caso de estudio – Estimación Año 0 R8
Tabla 5-53 Caso de estudio – Estimación Año 0 R9
Riesgo R9 Año 1 ($)
Inversión 0
Impacto 1656750
Operación 0
Gasto o Ahorro 1656750
Pendiente por Recuperar -
Ahorro Total o Saldo por Recuperar -
Tabla 5.53. Caso de estudio – Estimación Año 0 R9
Tabla 5-54 Caso de estudio – Estimación Año 0 R10
Riesgo R10 Año 1 ($)
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
148
Inversión 8000
Impacto 2608740
Operación 400
Gasto o Ahorro 2600340
Pendiente por Recuperar -
Ahorro Total o Saldo por Recuperar -
Tabla 5.54. Caso de estudio – Estimación Año 0 R10
Tabla 5-55 Caso de estudio – Estimación Año 0 R11
Riesgo R11 Año 1 ($)
Inversión 60000
Impacto 307850
Operación 3000
Gasto o Ahorro 244850
Pendiente por Recuperar -
Ahorro Total o Saldo por Recuperar -
Tabla 5.55. Caso de estudio – Estimación Año 0 R11
5.3 Análisis de Resultados
Con base en los resultados obtenidos en la estimación del retorno de las inversiones
propuestas para cada riesgo crítico, de estos se puede concluir:
RIESGO R1
Vulnerabilidades:
• Se tiene una única copia de cada Documento
• No hay un control estricto en el control de los documentos
Amenazas
• Pérdida de información, debido al extravío o hurto de Documentos
Recomendaciones de Control
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
149
• Digitalización de Documentos que se guarden en la empresa (no en un servidor
externo), además de las copias en papel.
• Backup continuo de los documentos digitalizados.
• Almacenamiento de copias de respaldo en lugares físicos distintos a la organización.
Resultados estimación del ROI
Como resultado de la aplicación de la estimación del ROI para R1, la inversión en los
controles recomendados, daría como resultado un retorno en el primer año,
representado en ahorro de dinero, con un valor de $ 21762607,5.
RIESGO R2
Vulnerabilidades:
• Las copias de los documentos se encuentran en papel dentro del Archivo de la
organización
• No hay sensores de humo en las instalaciones del Archivo
Amenazas
• Incendio en el Archivo de Documentos
Recomendaciones de Control
• Almacenamiento de documentos (en papel) en un lugar apropiado para ello: p. ej.
Sin tomas de corriente eléctrica
• Instalar sensores de humo y aspersores de gas en el lugar de almacenamiento de
archivo.
• Almacenamiento de documentos (en papel) en diferentes sitios físicos.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
150
Resultados estimación del ROI
En este caso, no es posible realizar el proceso de estimación del retorno a la
inversión, debido a que el Recuperación Anual del Impacto (RAI) para este riesgo,
tiene un valor de 0 (cero). Dicho valor se dio debido a que el Número de Ocurrencias
Anuales también es nulo, dado que la materialización de este riesgo no se ha
presentado nunca en la organización. Al tener un valor de RAI nulo, no hay un valor
de referencia con el cual realizar los cálculos dados por las fórmulas propuestas en la
guía, y por lo tanto no es posible estimar el retorno de las inversiones para este riesgo.
La probabilidad de ocurrencia del evento que materializaría el riesgo, es alta, así
como también el impacto del mismo, y es por ello que el riesgo es clasificado como
crítico, al tener una Criticidad media, en la escala que se manejó durante la guía
metodológica, y se recomienda ser tratado con los controles sugeridos en este caso.
RIESGO R3
Vulnerabilidades:
• Falta de enlaces redundantes entre los switchs de cada centro de cableado.
• Problemas con el sistema por caída de enlaces de Internet
Amenazas
• Caída de enlace y denegación de servicios en los equipos de red de la organización
Recomendaciones de Control
• Mantener en funcionamiento un servidor que sea redundante con el externo para
poder trabajar en algún momento de corte de enlaces.
Resultados estimación del ROI
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
151
Como resultado de la aplicación de la estimación del ROI para R3, la inversión en los
controles recomendados, daría como resultado un retorno en el primer año,
representado en ahorro de dinero, con un valor de $3462.
RIESGO R4
Vulnerabilidades:
• Cifrado de encriptación débil en los Access Point
• Seguridad mediante lista de direcciones MAC
Amenazas
• Penetración a la red vía Inalámbrica
Recomendaciones de Control
• Instalar un sistema con un algoritmo de encriptación de datos para evitar el robo de
los mismos o fraude.
Resultados estimación del ROI
Como resultado de la aplicación de la estimación del ROI para R4, la inversión en los
controles recomendados, daría como resultado un retorno en el primer año,
representado en ahorro de dinero, con un valor de $75652,5.
RIESGO R5
Vulnerabilidades:
• PC’s con carpetas compartidas de acceso público.
Amenazas
• Pérdida de Integridad de datos y accesos no autorizados a los mismos
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
152
Recomendaciones de Control
• Implementación e implantación de un sistema de información de acceso Web,
distribuido, escalable, redundante, entre otras características, que permita hacer la
aplicación más accesible, segura y estable.
• Implementación de un servidor redundante para mejorar la disponibilidad de datos
en caso de que se produzca una caída en el enlace de conexión con internet.
• Capacitación de usuarios con el uso del sistema.
Resultados estimación del ROI
Como resultado de la aplicación de la estimación del ROI para R5, la inversión en los
controles recomendados, daría como resultado un retorno en el primer año,
representado en ahorro de dinero, con un valor de $411670, en dicho año.
RIESGO R7
Vulnerabilidades:
• Mala localización del centro de cómputos y centros de cableado
• No hay sensores dentro del centro de cómputos y centros de cableado
Amenazas
• Lluvias fuertes, inundaciones, filtraciones de agua.
Recomendaciones de Control
• Adecuación del centro de cómputos a un lugar apropiado para ello.
• Adecuación de los centros de cableado y distribución.
• Instalación de sensores de humedad en los lugares necesarios.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
153
Resultados estimación del ROI
Como resultado de la aplicación de la estimación del ROI para R7, la inversión en los
controles recomendados, daría como resultado un retorno en el segundo año,
representado en ahorro de dinero, con un valor de $138490.
RIESGO R8
Vulnerabilidades:
• No hay flujo adecuado de aire dentro del centro de cómputos, ni los equipos
adecuados para esto.
Amenazas
• Sobrecalentamiento de equipos o partes de equipos del centro de cómputos.
Recomendaciones de Control
• Instalación de aire para una correcta refrigeración de los equipos y, de esta manera,
controlar el flujo de aire.
Resultados estimación del ROI
Como resultado de la aplicación de la estimación del ROI para R8, la inversión en los
controles recomendados, daría como resultado un retorno en el segundo año,
representado en ahorro de dinero, con un valor de $9500.
RIESGO R9
Vulnerabilidades:
• Mala configuración de antivirus
• Antivirus débil o no adecuado para la organización.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
154
Amenazas
• Ataques de infección de virus
Recomendaciones de Control
• Revisión y reconfiguración de las principales políticas, funciones y características
del antivirus instalado.
Resultados estimación del ROI
Como resultado de la aplicación de la estimación del ROI para R9, la inversión en los
controles recomendados, daría como resultado un retorno en el primer año,
representado en ahorro de dinero, con un valor de $1656750.
RIESGO R10
Vulnerabilidades:
• La aplicación corre sólo vía internet, por lo tanto genera demoras si la conexión está
excedida, o si funciona mal.
Amenazas
• Posible pérdida de disponibilidad de los datos o funcionalidad de la aplicación de la
organización.
Recomendaciones de Control
• Contratar un servicio dedicado de internet para no tener fallas en los enlaces y/o
asegurarse de tener un ancho de banda suficiente para que el sistema sea flexible.
Resultados estimación del ROI
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
155
Como resultado de la aplicación de la estimación del ROI para R10, la inversión en
los controles recomendados, daría como resultado un retorno en el primer año,
representado en ahorro de dinero, con un valor de $2600340.
RIESGO R11
Vulnerabilidades:
• No existe ningún mecanismo o dispositivo de seguridad, que permita detectar o
evitar ataques dentro de la LAN
Amenazas
• Ataques informáticos internos en la LAN de la organización.
Recomendaciones de Control
• Instalación e implementación de uno o más firewall dentro de la red de la
organización
• Instalación e implementación de uno o más IDS internos en la red de la
organización
Resultados estimación del ROI
Como resultado de la aplicación de la estimación del ROI para R11, la inversión en
los controles recomendados, daría como resultado un retorno en el primer año,
representado en ahorro de dinero, con un valor de $244850.
Como puede verse en los resultados expuestos, casi la totalidad de los riesgos
analizados, darían un retorno en el primer año de ejecutada la inversión. Esta
situación no es anormal; se presenta en casos en los cuales la organización tenga
riesgos críticos con impactos altos, y no se tenga ningún tipo de control
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
156
implementado, lo que llevaría a que, con el primer control que se implemente,
seguramente dará retorno de la inversión de dicho control, en los primeros años luego
de su ejecución.
En resumen, la siguiente tabla muestra las inversiones y ahorros aproximados,
asociados a cada uno de los riesgos, a partir de los controles sugeridos anteriormente:
Tabla 5-56 Resumen de resultados caso de estudio
Identificador Inversión ($) Ahorro (Retorno) ($) Tiempo de Retorno
R1 5850 21762607,5 1 año
R2 1495 - -
R3 7000 3462 1 año
R4 8750 75652,5 1 año
R5 42000 411670 1 año
R7 205300 138490 2 año
R8 15000 9500 2 año
R9 0 1656750 1 año
R10 8000 2600340 1 año
R11 60000 244850 1 año
Tabla 5.56. Resumen de resultados caso de estudio
Recomendaciones de control para los riesgos no tratados
Algunos de los riesgos identificados durante el proceso de análisis de los mismos,
quedaron excluidos del proceso de estimación del ROSI.
Sin embargo, es importante que la organización conozca los controles de seguridad
sugeridos para mitigar dichos riesgos, que podrían catalogarse como, no críticos. Es
por ello, que a continuación se presenta una relación de los controles sugeridos para
los riesgos no tratados.
Tabla 5-57 Recomendaciones de Control para riesgos no tratados
Identificador Vulnerabilidades Amenazas Controles
Recomendados
R7 • Contraseñas compartidas
por los usuarios
• Seguridad mediante lista
de direcciones MAC
Sabotaje por
parte de
usuarios
• Mayor control de los
usuarios con sus
contraseñas
• Autenticación por
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
157
usuarios de dominio
R12 Los equipos informáticos
no tienen cableado
diferenciado del resto de los
equipos de la empresa
Pérdida de
funcionamiento
o de los servicios
de un switch
• Hacer una conexión
eléctrica diferenciada
para los equipos
informáticos
R13 Hay pocos mecanismos de
contingencia ante fallas de
flujo eléctrico en las
instalaciones de la
organización
Cortes o picos de
flujo eléctrico.
• Instalación de UPS
en las instalaciones de
la organización (ya
tienen algunas)
Tabla 5.57. Recomendaciones de Control para riesgos no tratados
Análisis del Proceso No. 1: Análisis de Riesgos
El primer paso consistió en el relevamiento de información, en el cual se presentaron
algunos inconvenientes, tales como, demoras de la organización del caso de estudio
en la entrega de información solicitada. El proceso de levantamiento de información
radica en la dependencia de terceros (la organización en la cual se esté aplicando la
guía metodológica), ya que de ellos depende que se tenga o no la información
suficiente para su aplicación, y de esta forma poder dar continuidad a los siguientes
pasos estipulados en la guía.
Durante este proceso se detectó una limitación de la guía metodológica en el paso de
la determinación de Frecuencias Anuales de Ocurrencias (FAO), debido a que en la
determinación de este valor para cada uno de los riesgos, se tienen en cuenta datos
históricos, es decir ocurrencias pasadas de los eventos. No se considera una
probabilidad de que un evento ocurra en el presente, sino que se tiene en cuenta
hechos pasados, que en varias ocasiones puede hacer que el valor del FAO para un
riesgo sea bajo, siendo que la probabilidad de que ocurra el evento es alta y latente,
con un impacto igualmente alto. Esto puede hacer complejo el cálculo del FAO,
puesto que en varias organizaciones no se cuenta con datos o estadísticas históricas
aproximadas de los eventos.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
158
También es complejo determinar la probabilidad de ocurrencia de los eventos, ya que
entran a jugar muchas variables, que a su vez pueden ser aspectos intangibles o no
cuantificables, y por lo tanto no poder llegar a un valor real de probabilidad.
Se sugiere para un trabajo futuro, investigar y llegar a desarrollar una metodología
completa, o guía metodológica, para la estimación de la probabilidad de ocurrencia de
un evento.
Análisis del Proceso No. 2: Estimación del ROSI
El segundo proceso de la guía metodológica aplicada, consistió en la estimación del
ROSI, ya sea por años, o en condiciones ideales. Durante la ejecución de este
proceso, se detectaron algunos aspectos que vale la pena anotar en esta sección de
análisis de resultados.
En la aplicación de la guía al caso de estudio no fue posible aplicar el subproceso de
estimación del retorno a la inversión para los años 2 en adelante, para cada uno de los
riesgos. Esto surge debido a que para poder realizar las estimaciones para dichos
años, se necesitaría conocer los valores del impacto residual de cada uno de los años,
para llevar adelante el proceso iterativo. Al no conocer el valor del impacto de
residual de los riesgos tratados, esto se convierte en la estimación del retorno a la
inversión en condiciones ideales.
Hubo un caso especial que se detectó en el análisis y estimación del riesgo
identificado como R2, debido a que presentó un Referencia Anual de Impacto (RAI)
nulo, es decir con valor 0 (cero); lo anterior debido a que el riesgo presentaba un
valor de número de ocurrencias anuales también de cero; y al tener el RAI en dicho
valor, esto no permitió estimar el retorno de la inversión de dicho riesgo, ya que no
había un valor de referencia con el cual comparar año tras año, los valores de ahorro o
saldo por recuperar, y así poder conocer en qué momento se presentaba el retorno de
la inversión.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
159
Durante la aplicación del proceso de estimación del retorno a la inversión, se dio el
caso en el cual casi la totalidad de los riesgos tratados, dieron como resultado un
retorno a la inversión desde el primer año de ejecución de los controles sugeridos.
Esta situación, aunque puede parecer extraña, no lo es. La causa de esto, radica en el
hecho que la organización tenía casi la totalidad de esos riesgos críticos, sin ningún
tipo de control implementado en el pasado, por lo cual, con la primera ejecución de
un control en cada uno de ellos, seguramente daría un retorno a la inversión tan
rápidamente, debido a que los costos de inversión son significativamente menores a
los costos de impacto.
Recomendaciones para la aplicación de la guía metodológica
La aplicación de la guía metodológica permitió también encontrar varias sugerencias
y aspectos a tener en cuenta para futuras aplicaciones de la guía en otros casos de
estudio u organizaciones. A continuación se listan algunas de las recomendaciones
para que la aplicación de la guía se haga de manera más efectiva:
• Establecer con la organización en donde se aplique la guía metodológica, un
Acuerdo de Confidencialidad en el cual, las partes acuerdan, por una parte brindar
toda la información necesaria para el caso, y por otra parte, mantener en completo
secreto y confidencialidad la información brindada.
• Tener en cuenta en la planeación del tiempo de ejecución del proyecto de
aplicación, que el proceso de levantamiento de información puede ser más demorado
de lo planeado, debido a posibles demoras del cliente en recoger y entregar la
información solicitada, o debido a información incompleta o con poco detalle, entre
otras. También es recomendable obtener de parte del cliente, documentos formales en
los cuales se pueda encontrar parte de la información solicitada.
• Durante el proceso de levantamiento de información, es común que se realicen
entrevistas en sitio a personal de la organización, encargados del proyecto, visitas a
las instalaciones, entre otras.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
160
• El proceso de análisis de riesgos implica la generación de gran cantidad de
información de cada uno de los riesgos. Es por esto que es recomendable mantener la
información organizada.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
161
6. CONCLUSIONES
Como objetivo de esta investigación se desarrolló una guía metodológica que explica en
detalle cada uno de los pasos a seguir para la estimación del ROSI, considerando posibles
condiciones o situaciones particulares de las organizaciones o arquitecturas, que se
identificaron a lo largo del trabajo.
Como se describió en los objetivos de esta investigación, se ejecutó una prueba de la guía
metodológica planteada, a través de un caso de estudio en una organización; en donde se
buscó analizar la viabilidad, aplicabilidad, ventajas y limitaciones de la guía desarrollada.
Los resultados se presentaron en el último capítulo del presente documento.
Durante el desarrollo del proyecto fue importante el seguimiento de un discurso
metodológico, que permitió estructurar de manera apropiada los contenidos, objetivos,
desarrollo y resultados del trabajo realizado.
Además, se tuvo en cuenta en todo momento la pregunta de investigación que se trata de
responder con la realización de la investigación, con el objetivo de orientar el trabajo siempre
hacia la respuesta de dicha pregunta.
Fueron de gran utilidad, recursos utilizados, tales como fichas de los detalles e información
relevante durante el proceso de levantamiento de información continuo durante la aplicación
de la guía metodológica.
Uno de los problemas presentados es que es compleja la cuantificación de los costos de
impactos intangibles. En la guía metodológica se dan algunas sugerencias y ejemplos, de
cómo poder llegar a cuantificar de manera estimada, los factores intangibles que generan
costo en la materialización de un riesgo.
A partir de la ejecución de una prueba de la guía, se puede afirmar que ésta es viable y
aplicable, teniendo en cuenta las limitaciones que fueron presentadas y detalladas, y que
podrían mejorarse en futuras investigaciones.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
162
7. GLOSARIO DE TERMINOS
ROI: Retorno de la Inversión.
ROSI: Return of Security Investment – Retorno de la inversión en seguridad.
S.S.P.: Storage Service Providers.
CISO: Chief Information Security Officer.
IT: Tecnología de información.
SGSI: Sistema de Gestión en Seguridad de la Información.
BCP: Plan de Continuidad de Negocio - Business Continuity Plan
ARPANET: Advanced Research Project Agency Network
SDI: Sistema de Detección de Intrusos.
ALE: Pérdida Anual Esperada.
EF: Factor de exposición.
SLE: Pérdida Esperada.
ARO: Tasa de ocurrencia anual.
NIST: National Institute of Standards and Technology.
FTP: File Transfer Protocol.
VPN: Virtual Private Network.
WEP: Wired Equivalent Privacy.
FAO: Frecuencia Anual de Ocurrencias.
CI: Costo de Impacto.
RAI: Recuperación Anual del Impacto.
BRP: Perfil de riesgos para la empresa.
DiDI: Índice de defensa en profundidad.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
163
8. REFERENCIA BIBLIOGRAFICA
Carracedo Gallardo, Justo – Seguridad en redes telemáticas – Mc Graw Hill 2004
Daemen, J. Rijmen V.– The design of Rijndael - Springer – 2002
Menezes, A. J.; Oorschot van P., C.; y Vanstone S. A. Handbook of Applied 2001
Schneier, B. Applied Cryptography - Second Edition. Editorial Wiley and Sohn 1996.
Stallings, William. Cryptography and Network Security. Principles and Practice.
Second Edition. Editorial Prentice Hall International Editions. 1999.
Stinson, D. Cryptography, Theory and Practice, Editorial CRC Press. 1997.
ROSI – Global Crossing. Link: http://latamblog.globalcrossing.com/?q=es/content/rosi
Seguridad de la Información – Wikipedia – la enciclopedia libre. Link:
http://es.wikipedia.org/wiki/Seguridad_de_la_informaci%C3%B3n
Seguridad Informática. Wikipedia. La enciclopedia libre. Link: http://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica
Cryptography, Theory and Practice - Stinson, D. - Editorial CRC Press - 1997
Applied Cryptography – Second Edition – Schneier, B. – Editorial Wiley and Sohn - 1996
Seguridad en un Sistema de Información – Monografías. Link:
http://www.monografias.com/trabajos/seguinfo/seguinfo.shtml
Cryptography and Network Security. Principles and Practice - Stallings, William – Second Edition - Editorial Prentice Hall International Editions - 1999
Seguridad en Redes Telemáticas – Carracedo Gallardo, Justo - Mc Graw - 2004
Retorno de la Inversión en Seguridad. Link: http://blog.segu-info.com.ar/2010/04/retorno-de-inversion-en-seguridad.html
Seguridad Informática vs. Seguridad de la Información. Link:
http://www.iso27000.es/download/seguridad%20informaticavsinformacion.pdf
The design of Rijndael - Daemen, J. Rijmen V. - Springer - 2002
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
164
ROSI. Universidad del Museo Social Argentino. Link: http://www.criptored.upm.es/guiateoria/gt_m327b.htm
Handbook of Applied - , A. J.; Oorschot van P., C.; y Vanstone S. A. - 2001
Calculating security ROI is tricky business. Link:
http://www.computerworld.com/securitytopics/security/story/0,10801,83207,00.html?SKC=s
ecurity-83207
Riesgos Informáticos. Business Alliance for Secure Commerce.
Módulo 2: Concepto de Análisis de Riesgos. Academia Latinoamericana de Seguridad Informática.
El Estado del Arte de la Seguridad Informática. Centro de Investigaciones en Seguridad Informática Aislar. Link:
http://www.criptored.upm.es/guiateoria/gt_m241b.htm
Determining the ROI in IT security. Link:
http://www.davidfrico.com/mclean03.htm
Security ROI can’t be proved. Link: http://www.computerworld.com/securitytopics/security/story/0,10801,83450,00.html
Publication 800-30: Risk Management Guide for Information Technology Systems.
National Institute of Standards and Technology (NIST). Link:
http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf
Information Security: An Integrated Collection of Essays: Essay 2 Concepts and Terminology for Computer Security. Link:
http://www.acsac.org/secshelf/book001/02.pdf
Information Security: An Integrated Collection of Essays: Essay 3 A Philosophy of
Security Management. Link:
http://www.acsac.org/secshelf/book001/03.pdf
The NIST Handbook, Special Publication 800-12. National Institute of Standards and Technology (NIST). Link:
http://www.csrc.nist.gov/publications/nistpubs/800-12/handbook.pdf
Introducción a la Seguridad de la Información. Microsoft Technet. Link:
http://www.microsoft.com/latam/technet/video/alsi.aspx
NIST Special Publication 800-33: Underlying Technical Models for Information Technology Security. Link:
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
165
http://csrc.nist.gov/publications/nistpubs/800-33/sp800-33.pdf
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
166
9. ANEXO A
CUESTIONARIO - LEVANTAMIENTO DE INFORMACIÓN
APLICACIÓN - PRUEBAS
Una guía metodológica para el cálculo del retorno a la inversión en seguridad informática
Objetivo
El presente documento tiene como fin principal, ser una herramienta para realizar la
caracterización de la organización objeto de estudio, mediante el levantamiento y recolección
de información relevante para el tema de la investigación en curso.
Introducción
La guía metodológica desarrollada, está basada en un proceso de identificación, análisis y
administración de riesgos, durante el cual, el primer paso consiste en definir el alcance del
estudio a realizar, con el objetivo de trazar los límites de la organización, sus sistemas e
información relevante. Durante esta caracterización de la organización, se pretende adquirir
el conocimiento y contextualización dentro del negocio de la misma, siendo esta la base para
la posterior identificación de amenazas y vulnerabilidades.
En las siguientes secciones de este documento, se presentará una serie de ítems, que recogen
la información básica de la organización, en lo concerniente a la investigación.
Por favor responder a cada ítem con completitud y claridad. En caso de ser necesario, por
favor anexar documentos que complementen o suplan alguno de los ítems de este
cuestionario.
1. Datos Generales de la organización
A. Nombre de la organización
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
167
B. Tipo de organización (por ejemplo, Prestación de Servicios, Manufacturera,
etc.)
C. Misión
D. Visión
E. Objetivos organizacionales
F. Ámbito (Local, nacional, internacional)
G. Tamaño de la organización (número de empleados, dependencias, oficinas,
sucursales, etc.)
H. Planes estratégicos
2. Estructura de la organización
A. Estructura organizacional (Organigrama)
B. Áreas funcionales
C. Descripción de los principales procesos, procedimientos y flujos de
información (describir únicamente los procesos más importantes y relevantes
al manejo de la información organizacional; puede anexar, cuadros, tablas,
diagramas, documentos, etc.)
D. Descripción detallada de los procesos y procedimientos de tecnología (por
ejemplo, Administración de Red)
3. Infraestructura tecnológica y de seguridad de la organización
A. Topología de Red – Arquitectura de seguridad (Anexar diagrama(s) de
topologías de red detallados)
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
168
B. Descripción escrita detallada de la topología de red y seguridad de la
organización, incluir entre otras:
a. Número de estaciones de trabajo
b. Número y descripción de servidores
c. Ubicación de equipos – Centro(s) de cómputo (condiciones,
controles, etc.)
d. Número de equipos conectados a la red
e. Direccionamiento - Subredes
f. Información de DMZ’s
g. Correo electrónico
h. Aplicaciones empresariales
i. Protocolos y servicios instalados
j. Controles de seguridad implementados
k. Flujo de información en la red
C. Inventario de Hardware (reportes de inventario de los equipos de hardware)
D. Inventario de Software (reportes de inventario de los equipos de hardware)
E. Activos de Información (información sensible de la organización)
F. Principales proveedores de tecnología
G. Usuarios de red
4. Seguridad Informática
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
169
A. Políticas de seguridad implementadas
a. Seguridad del Personal
b. Seguridad de infraestructura física
c. Seguridad Física y Ambiental
d. Seguridad de Infraestructura tecnológica
e. Seguridad Organizacional
B. Procedimientos de seguridad de la información en funcionamiento (por
ejemplo, copias de respaldo, mantenimientos, almacenamiento de la
información, control de acceso, etc.)
C. Descripción detallada de los controles de seguridad, a todo nivel, que se
han implementado
D. Planes de Contingencia
E. Planes en seguridad de la información
a. Desarrollados
b. En curso
c. Proyectado
F. Certificaciones de Calidad / Seguridad
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
170
10. ANEXO B
PLANTILLA FICHA DE CAMPO
FICHA DE CAMPO
Reporte de actividades –
Aplicación y Pruebas
Ficha No.: _____
Fecha: ___ / ___ / _____
Una guía metodológica para el cálculo del retorno a la inversión (ROI) en seguridad
informática: un caso de estudio
Objetivo de la actividad
Descripción de la
actividad realizada
Lugar
Responsable(s) /
Participante(s)
Notas (dificultades presentadas, pendientes, aspectos positivos y negativos, etc.)
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
171
11. ANEXO C
FICHAS DE CAMPO
FICHAS UTILIZADAS PARA EL CAMPO
Estimación del Retorno de la Inversión en Seguridad
Informática
Objetivo de la actividad Conocer los subsistemas, que pertenecen a la
organización.
Descripción de la
actividad realizada
Esta actividad fue realizada por medio de una
presentación, la cual fue a cargo del encargado del Área
de Sistemas, que hace parte de la organización.
En dicha presentación se presentaron los procesos
principales de la organización.
En esta actividad se detecto información muy sensible
para la organización y que tienen un algo nivel de riesgo.
También se detecto procesos críticos, que no tiene un
control adecuado.
Lugar Oficinas de la Organización.
Responsable(s) /
Participante(s)
Encargada del área de Sistemas
Notas (dificultades presentadas, pendientes, aspectos positivos y negativos, etc.)
La reunión se llevo a cabo en condiciones normales, y en el tiempo estimado.
A partir de esta actividad, se reconoció información importante para la aplicación del
Caso de Estudio (procesos críticos y información sensible)
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
172
FICHAS UTILIZADAS PARA EL CAMPO
Estimación del Retorno de la Inversión en Seguridad
Informática
Objetivo de la actividad Recolectar información básica de la organización, con
una persona representante de la misma. Se tratarán los
temas de la plataforma estratégica de la organización, la
estructura organizacional de la misma, y el detalle de la
información sensible.
Descripción de la
actividad realizada
Durante la entrevista se pudieron recolectar y concretar
los siguientes puntos con el representante de la
organización:
• Existe una plataforma estratégica, pero dicha
información no pudo ser entregada para la aplicación de
la guía metodológica. En dicha plataforma estratégica, se
presentaron puntos tales como: misión, visión, objetivos
organizacionales, estructura organizacional,
etc.
• La organización no puede determinar qué información
es más sensible o crítica que otra. Toda la información
está encadenada, y es por ello que todo es igual de
importante y crítico. Se podría decir que la información
más crítica son las que tienen que ver con la facturación,
inventarios, entregas, etc.
Lugar Oficinas de la Organización
Responsable(s) /
Participante(s)
Persona representante de la Organización
Notas (dificultades presentadas, pendientes, aspectos positivos y negativos, etc.)
• Toda la información es critica
• No hay mucha información organizacional disponible información sensible
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
173
FICHAS UTILIZADAS PARA EL CAMPO
Estimación del Retorno de la Inversión en Seguridad
Informática
Objetivo de la actividad Levantamiento de información de la red de la
Organización, a nivel físico, lógico y de procedimientos,
en entrevista con una persona delegada para ello.
Descripción de la
actividad realizada
• Mantienen confidencial las marcas y modelos de
equipos
• Se expuso la topología de la red. Detalle de los
componentes y funcionamiento:
o División de la red
o Equipos y servidores principales
o Centros de Cableado
o Conexiones
o Detalle de los puertos de los centros de cableado
o Servicios
o Equipos inalámbricos
o Seguridad en red inalámbrica
o Esquema de seguridad para equipos en centros de
cableado
o Esquema de direccionamiento IP
o Políticas de Acceso
o Administración de equipos
o Procedimientos
o Planes de Contingencia
o Redundancia física
o Ubicación de centros de cableado, condiciones
ambientales.
Lugar Oficinas de la Organización
Responsable(s) /
Participante(s)
Encargado de Redes
Notas (dificultades presentadas, pendientes, aspectos positivos y negativos, etc.)
• No se tienen documentos formales y completos de la información levantada. Todo
se ha recogido mediante entrevistas verbales, en las que pueden llegar a faltar varias
cosas por decir. Se mantuvo contacto vía mail.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
174
FICHAS UTILIZADAS PARA EL CAMPO
Estimación del Retorno de la Inversión en Seguridad
Informática
Objetivo de la actividad Realizar un levantamiento de información de los
procedimientos, actividades acciones, etc., del área
encargada de Soporte Técnico en la Organización.
Descripción de la
actividad realizada
• Objetivo de Soporte: soportar al usuario final, en SW y
HW. Helpdesk, instalación de programas, instalación de
nuevos usuarios, configuraciones, etc. Todo se hace
desde Neural Soft.
• Se recolectó la información sobre los siguientes
detalles:
o 47 maquinas
� 44 equipos de escritorios
� 3 notebooks
Las especificaciones de las mismas son Core 2 Duo
E4600 2,44Ghz, con 2Gb de memoria y 200Gb de disco
rígido.
o Entre los PC’s comparten carpetas.
o Sistema Operativo
� Windows XP: aproximadamente 47 máquinas • Además se cuenta con 14 impresoras de red HP
LaserJet 2035N
• Tienen 4 controladores fiscales, 1 por cada caja de las
distintas sucursales.
• La empresa posee 12 UPS, 1 por cada switch, 1 por
cada caja, y 1 por mostrador de venta de las distintas
sucursales.
o Todos utilizan Office e Internet
o La aplicación es desarrollada y mantenida por una
empresa (Neural Soft). Esta
aplicación, denominada Presea, maneja:
� Administración y Contabilidad
� Planificación y seguimiento del proceso productivo
(Producción)
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
175
� Entrega de Materiales (Facturación)
� Administración de recursos humanos
� Gestión de relaciones con clientes
� Sistema de los procesos y proyectos
� Automatización del gerenciamiento
• El concepto de esta aplicación se basa en ser una Base
de Datos Distribuida e Integrada
• Es una aplicación que tiene bastante tiempo, con
optimización y evolución.
• Para acceder a las terminales, se utilizan usuarios de
dominio. Estos usuarios a veces comparten las
contraseñas por comodidad y se producen los problemas.
Lugar Oficinas de la Organización
Responsable(s) /
Participante(s)
Encargado de Sistemas
Notas (dificultades presentadas, pendientes, aspectos positivos y negativos, etc.)
• No se tienen documentos formales y completos de la información levantada. Todo
se ha recogido mediante entrevistas verbales, en las que pueden llegar a faltar varias
cosas por decir.
• Queda abierta la posibilidad de una entrevista con la empresa que provee el
mantenimiento de la aplicación.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
176
FICHAS UTILIZADAS PARA EL CAMPO
Estimación del Retorno de la Inversión en Seguridad
Informática
Objetivo de la actividad Hacer el levantamiento de información sobre el esquema
de seguridad de la red que se tiene en la organización.
Descripción de la
actividad realizada
Esta actividad se llevó a cabo mediante entrevista
realizada al encargado del aseguramiento de la red en la
Organización.
Políticas implementadas: Política no claras, sin
embargo hay normas, vistos como proceso mínimos de
aseguramiento, parcheo, niveles básicos, etc.
Hay normas establecidas en contratos de personal, pero
realmente no se conocen. No están explicitas como
políticas de seguridad. No hay procedimientos claro para
el control de la información.
Hay control de seguridad de acceso físico.
Se han generado problemas de humedad en el centro de
cómputo, está en riesgo.
No hay estándares como tal, para el centro de cómputo.
No hay flujo de aire, solo se controla la temperatura por
medio de aire acondicionado. El centro de cómputo fue
instalado en oficinas que no fueron construidas para este
objetivo.
Existe un control de acceso a la VPN restringido por IP
(para que no se pueda acceder desde cualquier equipo
que no pertenezca a la empresa), pero existen algunas
excepciones por usuario, para que puedan acceder desde
cualquier lugar.
Se tienen conectados 2 Access Point, para servicios de
red inalámbrica, para unir la Fábrica con la
Clasificadora. Los Access Point cuentan con dos
mecanismos de seguridad: Lista de direcciones MAC,
Cifrado WEP (Passphrase 128 bits)
El direccionamiento IP está definido por la empresa
NeuralSoft quien se hace cargo de la distribución, están
dentro de un rango específico. Se manejan políticas de
acceso, para restringir servicios, proteger servidores, etc.
En la parte de core y distribución hay redundancia,
contingencias, fuentes de poder, controladores de
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
177
mantenimiento, enlaces dobles.
La red de la empresa no tiene muchos planes de
contingencia.
Redundancia eléctrica en servidores, canaletas con flujo
eléctrico con origen de diferentes fuentes eléctricas.
Backup incrementales rápidos a diario, Backup full de
porciones críticas, Semanas (se generan fuera de la
organización), Mensuales, y anuales.
Antivirus Nod32: Escaneo automático diario por usuario
administrativo, Estudiantes semanal.
Visita Centro de cómputo:
Fuentes eléctricas no separadas al centro, se detecta
humedad, se maneja color del cableado no muy
organizado, detector de incendios, extintores de fácil
acceso, todos los switchs se en encuentran en Racks,
bitácora de visitantes.
Lugar Oficinas y Centro de Cómputo de la Organización
Responsable(s) /
Participante(s)
Encargado de Sistemas
Notas (dificultades presentadas, pendientes, aspectos positivos y negativos, etc.)
Se presenta información clara y clave para encontrar riesgo.
Se hace visita al centro de cómputo.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
178
FICHAS UTILIZADAS PARA EL CAMPO
Estimación del Retorno de la Inversión en Seguridad
Informática
Objetivo de la actividad Poner de común acuerdo las amenazas y
vulnerabilidades identificadas por los investigadores
luego del levantamiento de información realizado, para
determinar finalmente los riesgos a tener en cuenta
durante la aplicación de la guía metodológica.
Descripción de la
actividad realizada
Los investigadores presentaron a la organización, las
amenazas y vulnerabilidades identificadas con el
levantamiento de información realizado.
Luego de haber discutido las amenazas y
vulnerabilidades presentadas, se definió el cuadro anexo
a este documento, para trabajar los riesgos de aquí en
adelante durante la aplicación de la guía metodológica.
El paso a seguir es definir el número de ocurrencias
anuales para cada uno de los riesgos que de dicho cuadro
anexo, se derivan.
Lugar Oficinas de la organización
Responsable(s) /
Participante(s)
Persona encargada de la organización
Notas (dificultades presentadas, pendientes, aspectos positivos y negativos, etc.)
• Se harán consultas por correo para ir definiendo los FAO
AMENAZAS VULNERABILIDADES
• Pérdida de documentos como facturas.
• Incendio en el Archivo
• Se tiene una única copia de cada
documento importante en la organización.
• Los documentos se encuentran en papel.
• No hay un control estricto sobre los
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
179
• Hurto de documentos
documentos de entrega de material y baja
de los mismos.
• Caída de enlace – Denegación de
Servicios
• No hay redundancia de enlaces de red.
• No hay enlaces redundantes entre los
switches de cada centro de cableado.
• Penetración a la red vía inalámbrica
• Cifrado de encripción débil en los
Access Point
• Seguridad mediante lista de direcciones
MAC
• Acceso no autorizado a datos
• Pérdida de integridad de datos
• Pérdida de disponibilidad de datos
• PC’s con carpetas compartidas de
acceso público. Los PC’s son de uso
cotidiano.
• Sabotaje por parte de usuarios • Contraseñas compartidas por los
usuarios
• Errores humanos por desconocimiento
de procedimientos y políticas.
• No hay políticas ni procedimientos
debidamente documentados para la
administración de la infraestructura de red
interna de la Organización.
• Lluvias fuertes, inundaciones,
filtraciones de agua.
• Mala localización del centro de
cómputo
• No hay sensores de humedad en el
centro de cómputo
• Daño de equipos por
Sobrecalentamiento
• No hay flujo adecuado de aire dentro
del centro de cómputo, ni los equipos
adecuados para esto.
• Ataques de infección de virus por mala
configuración
• Mala configuración del antivirus
• Posible pérdida de integridad de los • La aplicación depende de internet, por
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
180
datos o funcionalidad de la aplicación. lo tanto si se corta o se producen
actualizaciones de la misma, se pueden
generar errores.
• Ataques de seguridad informática
internos en la LAN de la Organización.
• No existe ningún mecanismo o
dispositivo de seguridad, que permita
detectar o evitar ataques generados dentro
de la LAN.
• Pérdida de funcionamiento o de los
servicios de un switch
• Algunos Access Point con que cuenta la
organización, están físicamente
conectados a un mismo switch del mismo
centro de cableado.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
181
FICHAS UTILIZADAS PARA EL CAMPO
Estimación del Retorno de la Inversión en Seguridad
Informática
Objetivo de la actividad Levantamiento de información acerca del FAO de
algunos de los riesgos identificados.
Descripción de la
actividad realizada
• Las personas tienen errores, debido a que la aplicación
se implementó hace muy poco tiempo.
• El problema principal es el bajo tiempo de respuesta
debido al alto tráfico de la red o a la lentitud de internet
en determinados horarios. Esto ha ocasionado que se
trunquen o se dañen las tablas que componen la base de
datos, debido por ejemplo a timeouts.
Cuando esto sucede, hay que recuperar la o las tablas
truncadas y frecuentemente se pierden datos, desde el
último backup de la tabla afectada. Estos truncamientos
de tablas se presentan 1 vez al día.
• La aplicación es como es, y funciona de esa manera,
debido a que no es una aplicación a medida, si bien se
van realizando actualizaciones, hay cosas que no pueden
ser implementadas correctamente debido a las
diferencias con las bases de datos anteriores de la
organización.
• No ha habido caso de sabotaje de contraseñas, aunque
el riesgo está presente, y es alto. Tal vez no ha ocurrido
por falta de conocimiento o falta de curiosidad de los
usuarios, pero podría suceder en cualquier momento. Lo
que si ha sucedido es que quizás un usuario deja su
contraseña puesta en medio de una venta, y se corre el
riesgo que se facture algo con ese usuario que genere
problemas.
• Cuando se hacen cambios en el código o funcionalidad
de la aplicación, que implique una cambio de versión de
la misma, sí se ha visto afectada la disponibilidad de esas
nuevas funcionalidades de la aplicación. Adicionalmente
en la Organización, se presentan cambios en la
aplicación muy frecuentemente.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
182
• Se han presentado alrededor de 1 o 2 fallos de red al
semestre, dentro de las instalaciones de la
Organización.
• La Organización no cuenta con ningún mecanismo de
contingencia frente a fallos de flujo eléctrico, cuenta con
UPS, que tienen poco tiempo de disponibilidad, pero
solo en algunos equipos (switchs y cajas) Pero no hay
ningún tipo de contingencia para fallos, ni siquiera en los
principales equipos.
• En la Organización son muy frecuentes los picos de
voltaje eléctrico, lo cual ha representado daños en partes
de equipos de cómputo. La estadística de daños por esta
razón, indica alrededor de 3 discos duros y 12 fuentes de
poder, anualmente.
• Se han detectado varios fraudes de todo tipo, en cuanto
a hurtos de materiales, por ejemplo, cambios de
mercadería cara puestas en cajas de mercadería barata; se
dan de baja materiales debido a roturas y nadie verifica
si es real la rotura del mismo; se factura menor cantidad
de materiales y se entrega de más, etc.
Lugar Oficinas de la organización
Responsable(s) /
Participante(s)
Encargado de la Organización y de sistemas.
Notas (dificultades presentadas, pendientes, aspectos positivos y negativos, etc.)
Cualquier pregunta o tema adicional podrá ser tratada vía correo electrónico.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
183
FICHAS UTILIZADAS PARA EL CAMPO
Estimación del Retorno de la Inversión en Seguridad
Informática
Objetivo de la actividad Revisar los FAO y Factores de Impacto que se tienen
hasta el momento, de los riesgos identificados.
Descripción de la
actividad realizada
Se revisaron cada uno de los FAO e impactos que se
tenían hasta el momento. Hubo varias sugerencias y
observaciones con respecto al cálculo del FAO, datos
puntuales, etc. Asimismo, se detectaron datos nuevos
que se pueden levantar, los cuales serán consultados por
el delegado de la organización, más pronto posible.
Lugar Oficinas de la organización
Responsable(s) /
Participante(s)
Encargado de la Organización
Notas (dificultades presentadas, pendientes, aspectos positivos y negativos, etc.)
• Se detecta una debilidad en la guía metodológica en lo referente al FAO, debido a
que se tienen en cuenta datos históricos para su cálculo. Es decir no se tiene una
probabilidad de ocurrencia real, sino datos de hechos pasados que no tienen en cuenta
situaciones y condiciones actuales.
• Asimismo, es difícil tener FAO para organizaciones que no tengan históricos,
aunque se presentan algunas sugerencias en la guía metodológica, para estos casos.
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
184
12. ANEXO D
CÁLCULOS CI
R1
Factor de Impacto Cálculo Total ($)
Pérdida irrecuperable de
información confidencial y
financiera.
Ingresos / No. clientes:
45000000/4000
11250
Pérdida de imagen
organizacional.
386 nuevos clientes *
Ingreso promedio por cliente
(11250)
4342500
TOTAL 4353750
R2
Factor de Impacto Cálculo Total ($)
Pérdida irrecuperable de
información confidencial y
financiera.
Ingresos por ventas de
clientes activos
45000000
Pérdida de imagen
organizacional.
Se asume que no hay imagen
organizacional, debido a que
se pierden la totalidad de los
documentos
0
TOTAL 45000000
R3
Factor de Impacto Cálculo Total ($)
Pérdida de tiempo de
labores o productividad de
las personas de la
organización afectadas.
47 equipos * Promedio de salarios de
personal de la organización/hora (en
promedio $12 la hora)=47*12
564/hora
Tiempo del personal
encargado de la reparación
del daño, o cambio de un
equipo en caso de daño.
Promedio de salarios de personal de red
y soporte/hora (en promedio $20 la
hora) = 40
40/hora
Costo de la reposición del
equipo afectado.
$3000 por equipo 3000
TOTAL 3604
R4
Factor de Impacto Cálculo Total ($)
Posible pérdida de
información o intrusión de
usuario no autorizado a la
red.
Recuperación de
información desde backups
existentes: Hora promedio de
personal de soporte: 250 * 4
1000
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
185
horas
Posible pérdida de
funcionamiento de la
aplicación para todos los
usuarios
24 equipos * Promedio por
hora del personal de la
organización * 4 horas =
24*840*4=
80640
Falta de disponibilidad de
la conexión inalámbrica
para los usuarios
5 access point *
840(valor promedio de la
hora) = 4200
4200
TOTAL 84840
R5
Factor de Impacto Cálculo Total ($)
Tiempo de la persona
encargada para identificar
y recuperar integridad de
datos.
Hora: 250 250
Posible paralización
parcial de actividades de
los usuarios del sistema,
mientras se restablece la
normalidad del mismo.
47 equipos * 1380 = 64860 64860
TOTAL 65110
R6
Factor de Impacto Cálculo Total ($)
Tiempo de paralización de
actividades de los usuarios,
mientras se restablece la
contraseña.
1 hora * 47 usuarios/equipo
* 1380
64860
TOTAL 64860
R7
Factor de Impacto Cálculo Total ($)
Daño de equipos, enceres,
instalaciones, entre otros.
Costo aproximado de Racks
y/o otros equipos de red: 4
racks * 13.000 + 10 equipos
de red * $800
60000
Tiempo de restauración de
la información perdida.
2 días de tiempo de personal
asignado * Promedio de
salarios diario (18 horas *40)
720
TOTAL 60720
R8
Factor de Impacto Cálculo Total ($)
Tiempo de restauración de 5 horas * 40 200
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
186
la información perdida.
Costo de la(s) parte(s)
dañadas.
Promedio de: Costo Disco
Duro (300.00) + Costo
Fuente de Poder(400.00) +
Ventilador(100.00) = 800
800
TOTAL 800
R9
Factor de Impacto Cálculo Total ($)
Tiempo de restauración del
sistema afectado.
47 equipos * 3 horas * Hora
promedio persona de
soporte: 250.00
35250
TOTAL 35250
R10
Factor de Impacto Cálculo Total ($)
Tiempo de falta de
disponibilidad para los
usuarios, de una o más
funcionalidades del
sistema.
47 usuarios/equipos * 1380 64860
Pérdida de ventas a clientes
que no pueden ser
atendidos.
Tiempo en que no haya
sistema * clientes promedios
* ingreso promedio. 2 horas
* 10 * 11250
225000
TOTAL 289860
R11
Factor de Impacto Cálculo Total ($)
Paralización de actividades
por daño de software o
hardware de equipos.
47 equipos * 12 (Costo
promedio hora)
564
Tiempo de restauración del
sistema.
47 equipos * 1 hora * 250 (hora
soporte) =11750
11750
TOTAL 12314
R12
Factor de Impacto Cálculo Total ($)
Tiempo de paralización de
actividades de usuarios de
la red inalámbrica.
5 access point * 840(valor
promedio de la hora) = 4200
4200
Costo de la(s) parte(s)
dañadas.
Promedio de: Costo Disco Duro
(300.00) + Costo Fuente de
Poder(400.00) +
Ventilador(100.00) = 800
800
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
187
TOTAL 5000
R13
Factor de Impacto Cálculo Total ($)
Daño de partes o de la
totalidad de equipos de
cómputo. Por ejemplo,
discos duros, fuentes de
poder, entre otros.
Promedio de:
Disco Duro: 3 al
Año * 300.00 = 900
Fuente de Poder:
1.57 al año * 400.00 = 628
1528
TOTAL 1528
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
188
13. ANEXO E
CÁLCULOS DE COSTOS DE RECOMENDACIONES DE CONTROL
Riesgo Controles sugeridos Costo Controles
(Inversión)
R1 • Digitalización de Documentos que se guarden
en la empresa (no en un servidor externo),
además de las copias en papel.
• Backup continuo de Documentos
Digitalizados
• Almacenamiento de copias de respaldo en
lugares físicos distintos a la organización.
• $5000 (Costo de una PC
con capacidad para guardar
estos datos)
• Quemador de DVD:
$ 150
• Alquiler de un archivo: $
700
R2 • Almacenamiento de Documentos (en papel)
en un lugar apropiado para ello: p. ej. sin tomas
de corriente eléctrica
• Instalar sensores de humo y aspersores de gas
en el lugar de almacenamiento de archivo.
• Almacenamiento de Documentos (en papel)
en diferentes sitios físicos.
• Detector de humo:
$70 * 6 = 420
• Extintor de CO2
Homologado: $375
• Alquiler de un Archivo
para los documentos: $ 700
R3 • Mantener en funcionamiento un servidor que
sea redundante con el externo para poder
trabajar en algún momento de corte de enlaces.
• Costo del servidor y
mantenimiento: $ 7000
R4 • Instalar un sistema con un algoritmo de
encriptación de datos para evitar el robo de los
mismos o fraude.
• Costo del sistema de
encriptación de datos: $8750
R5 • Implementación e implantación de un sistema
de información de acceso Web, distribuido,
escalable, redundante, entre otras
características, que permita hacer la aplicación
más accesible, segura y estable.
• Implementar un Servidor redundante para
mejorar la disponibilidad de datos en caso de
caída de conexión de Internet.
• Capacitación de usuarios en el uso del
sistema.
• 6 meses de trabajo * 2
ingenieros * 3500=
42000
R7 • Adecuación del centro de cómputo a un lugar
apropiado para ello.
• Adecuación de los centro de cableado y
distribución.
• Adecuación Centro de
Cómputo: 100000
• Sensor de humedad:
300
Trabajo de Grado:
Estimación del Retorno de la Inversión en Seguridad Informática
Fecha: 05 de Julio de 2010
Versión: 2.00
Mariel Mage –
Gonzalo Crivellini
189
• Instalación de sensores de humedad en los
lugares necesarios.
R8 • Instalación de aire para una correcta
refrigeración de los equipos y de esta manera
controlar el flujo del mismo.
• 15000
R9 • Revisión y reconfiguración de las principales
políticas, funciones y características del
antivirus instalado, desde la consola de
administración central.
• 0
R10 • Contratar un servicio dedicado de Internet
para no tener fallas en los enlaces y/o
asegurarse de tener un ancho de banda
suficiente para que el sistema sea flexible.
• 5000
R11 • Instalación e implementación de uno o más
firewall dentro de la red de la organización
• Instalación e implementación de uno o más
IDS internos en la red de la organización
• Firewall + IDS + I
PS Seguridad para
LAN: US$1500