SlideShare una empresa de Scribd logo

Cómo justificar las inversiones en seguridad de la información, por Christian Izarra

Foro Global Crossing
Foro Global Crossing

1º Foro Global Crossing de Tecnología y Negocios - Córdoba 2008 LA SEGURIDAD DE LA INFORMACIÓN Christian Izarra

Tecnología
1 de 22
Descargar para leer sin conexión
Cómo justificar las inversiones en seguridad de la información Christian Izarra, Director de Negocios © 2007 Global Crossing - Proprietary
Estimación del ROSI - Return on Security Information © 2007 Global Crossing - Proprietary
¿Por qué hablamos de Inversión? Algunos interrogantes • ¿Se conoce realmente la importancia de los activos de información de la organización? •¿Qué podría ocurrir que afectara estos activos? •Si ocurre, ¿cuan malo sería? •Si ocurre, ¿podría repetirse? •¿Qué se puede hacer para evitarlo? • ¿Cuánto puede costar su remediación? •¿Es costo efectivo? © 2007 Global Crossing - Proprietary 3
¿Por qué hablamos de Inversión? Amenazas • Naturales: • Incendio. • Inundación. • Terremoto. • De IT: • etc. • Fallas de HW. • Físicas: • Fallas de SW. • Fallas de energía. • Fallas de Comunicaciones. • Explosivos. • Hacking (con sus técnicas y • etc. variantes). • etc. • Humanas: • Errores y/o fallas por negligencia. • Falta de conciencia respecto a Seguridad de la Información. • Fraudes internos. • etc. © 2007 Global Crossing - Proprietary 4
Concepto de ROSI Similitudes y diferencias entre ROI y ROSI • ROI: Retorno sobre la Inversión • Busca determinar el retorno o beneficio a partir de ingresos monetarios. • Para esto se cuenta con flujos de caja los cuales se traducen en beneficios directos. • ROSI: Retorno sobre la Inversión de Seguridad • Busca justificar la inversión en seguridad de la información en términos monetarios. • Los beneficios no surgen directamente como beneficios contables, sino en todo caso como reducción de pérdidas. • Retorno = Valor – Costo ROSI (%) = (Valor – Costo) / Costo © 2007 Global Crossing - Proprietary 5
Concepto de ROSI Obstáculos y dificultades del ROSI • La seguridad de la información en si misma no genera una real o apreciable mejora en la eficiencia operacional: • No incrementa la productividad ni disminuye los costos. • Estimación de la reducción de pérdidas: • Que surgen como resultado de la implantación de contramedidas que evitan o mitigan la ocurrencia de incidentes de seguridad. • ¿Cual sería el impacto y su probabilidad de ocurrencia? • Existen tanto factores cuantitativos como cualitativos a considerar: • Cuantitativos. Por ejemplo: horas no productivas por incidente. • Cualitativos. Por ejemplo: pérdida de imagen o confianza. © 2007 Global Crossing - Proprietary 6
Administración de Riesgos ¿Como se relacionan los Riesgos con el ROSI? • Administración de Riesgos: • Es el proceso de identificación, valoración y mitigación de riesgos asociados con una actividad o función a fin de minimizar las pérdidas hasta un nivel aceptable por la organización. • Asiste en la determinación del “Valor” dentro de la expresión del ROSI ya que, como resultado de mitigar los efectos de incidentes de seguridad se reducen las pérdidas originalmente evaluadas. • Análisis de Riesgos: • Permite identificar, valorar y priorizar los riesgos detectados a partir de la determinación de amenazas, vulnerabilidades, impactos y probabilidad de ocurrencia de incidentes de seguridad. © 2007 Global Crossing - Proprietary 7
Probabilidad e Impacto ¿Cómo se relacionan? • Pérdidas Anualizadas Esperadas (ALE): • Es la métrica de gestión de riesgos por la cual se estiman las pérdidas producto de los riesgos determinados. • Trabaja con dos variables: la frecuencia anual de ocurrencia de un riesgo determinado, y el impacto monetario que produciría el mismo sobre el activo afectado. ALE = Impacto (unitario) x Probabilidad (anual) • ALE se aplica a dos escenarios posibles: • El “original” sin contramedidas implantadas y el “tratado” o con riesgos mitigados. • Se busca determinar así el “valor” (cuantificable monetario), diferencia entre uno y otro escenario dentro de la fórmula del ROSI. •ALE se basa en “estimaciones de expectativas”: • Por lo general son valores discretos con sus imprecisiones y errores en su determinación, lo cual genera incertidumbre. Por esta razón se suele utilizar la Simulación Monte Carlo. © 2007 Global Crossing - Proprietary 10
Pérdidas Anualizadas Esperadas Algunos ejemplos • Con valores discretos: • El especialista en riesgos ha determinado para el R1 lo siguiente: • Escenario original: • Impacto (unitario) = $100.000/incidente • Probabilidad (anual) = 2 incidentes/año • ALE original = $200.000/año • Escenario tratado: • Impacto (unitario) = $100.000/incidente • Probabilidad (anual) = 0,5 incidentes/año • ALE tratado = $50.000/año • Valor = ALE original – ALE tratado = $150.000/año La disminución de las pérdidas es $150.000 por año para el R1. © 2007 Global Crossing - Proprietary 11
Pérdidas Anualizadas Esperadas Algunos ejemplos • Con Simulación de Monte Carlo: • El especialista en riesgos ha determinado para el R1 lo siguiente: • Escenario original: • Impacto = entre $60.000 a $140.000/incidente • Probabilidad = entre 1 y 3 incidentes/año • ALE original = $¿?/año • Escenario tratado: • Impacto = entre $60.000 a $140.000/incidente • Probabilidad = entre 0,25 y 0,75 incidentes/año • ALE tratado = $¿?/año • Valor = ALE original – ALE tratado = $¿?/año La disminución de las pérdidas se representa ahora como una © 2007 Global Crossing - Proprietary distribución estadística… 12
Pérdidas Anuales Esperadas Algunos ejemplos • Con Simulación de Monte Carlo: Valor Neto (miles $) 60 100,00% 90,00% • Valor más probable de 50 80,00% ALE original – ALE tratado: 70,00% 40 60,00% • $145.000/año con una Acumulado% Probabilidad 30 50,00% desviación de $25.000. 40,00% 20 30,00% o bien… 20,00% 10 10,00% • entre $130.000 a 0 0,00% $160.000/año con una certidumbre del 80%. Rango Probabilidad Acumulado% © 2007 Global Crossing - Proprietary 13
Simulación Monte Carlo ¿Menor incertidumbre? • El rol del Experto: • Este modelo requiere que el Experto en Análisis de Riesgo describa su incerteza. • Su descripción definirá la curva y los parámetros definitivos para estimar la distribución. • Por esta razón el Experto debe estar abierto a comunicar su incertidumbre a fin de dejar bien establecido que el “valor esperado” definido por ellos es simplemente representativo de una posibilidad. La determinación de la disminución de las pérdidas depende de la habilidad del Experto en determinar la distribución estadística que más se aproxime a sus observaciones. © 2007 Global Crossing - Proprietary 14
Estimación del ROSI Usando valores discretos • Determinación del Ahorro Bruto Anual • Ya estimado anteriormente. • Determinación de los Costos anualizados de las contramedidas: • Costo Inicial de Contramedias = $120.000 • Costos Anuales Recurrentes Contramedidas = $10.000/año © 2007 Global Crossing - Proprietary 15
Estimación del ROSI Cálculo del ROSI © 2007 Global Crossing - Proprietary 16
Conclusiones ¡Es posible estimar el ROSI! • La Administración del Riesgo es parte fundamental del ROSI. • El punto más complejo es el poder determinar el Ahorro o Valor resultante de la aplicación de contramedidas (mitigación). • Para reducir la incertidumbre se utiliza diferentes métodos como la Simulación de Monte Carlo. • Es preciso contar con un Experto en riesgos que asista en la determinación del ALE y defina sus incertezas. • Invertir en seguridad no es fácil y demostrar que dicha inversión es rentable, mucho menos… … ¡pero se puede! © 2007 Global Crossing - Proprietary 17
Caso Real sobre Estimación del ROSI Hernando Castiglioni, Security Pre Sales Engineer - Global Crossing © 2007 Global Crossing - Proprietary
Caso real: Estado de Situación PELIGRO! Sistema SIN detección de intrusos PELIGRO! Sitio NO analizado PELIGRO! Servidor Desactualizado © 2007 Global Crossing - Proprietary 19
Caso real: Análisis de Impacto Revenues = 340K Ganancias al 1 de Mayo: U$ 100.000 Ganancias desde el 1 de Mayo al 31 de Diciembre: U$ 30.000 Impacto lineal al 31 Diciembre: 33k x 7 – 30k = U$ 201.000 Perdida de imagen y confianza = U$ 201.000 + (X) © 2007 Global Crossing - Proprietary 20
Caso real: Costo de Contramedida Equipo Dedicado Sistema IDP integrado, Reporting, monitoreo © 2007 Global Crossing - Proprietary 21
Caso real: Análisis de las Pérdida Inversión en Seguridad Léase -0,85 Ganancia Ideal a 1 año Aproximado REVENUE Ganancia 0,3% 3% 130K (Lo ganado) 201K (Lo perdido) 10,2K U$ 320.800 (X) (crecimiento) (0,85 x 12) U$ 331.000 © 2007 Global Crossing - Proprietary 22
Caso real: Estimación del ROSI © 2007 Global Crossing - Proprietary 23
Muchas Gracias © 2007 Global Crossing - Proprietary

Recomendados

Cómo justificar las inversiones en Seguridad de la Información, por Franz Erni
Cómo justificar las inversiones en Seguridad de la Información, por Franz ErniCómo justificar las inversiones en Seguridad de la Información, por Franz Erni
Cómo justificar las inversiones en Seguridad de la Información, por Franz ErniForo Global Crossing
 
Expositor Jorge Dominguez-Perú
Expositor Jorge Dominguez-PerúExpositor Jorge Dominguez-Perú
Expositor Jorge Dominguez-Perúsuperbancosec
 
Cómo justificar inversiones en tecnologías de Información, por Hernando Casti...
Cómo justificar inversiones en tecnologías de Información, por Hernando Casti...Cómo justificar inversiones en tecnologías de Información, por Hernando Casti...
Cómo justificar inversiones en tecnologías de Información, por Hernando Casti...Foro Global Crossing
 
Riesgo de Credito
Riesgo de CreditoRiesgo de Credito
Riesgo de Creditoguestf886d8
 
Riesgos de Mercado, de Liquidez y de Crédito: Introducción
Riesgos de Mercado, de Liquidez y de Crédito: IntroducciónRiesgos de Mercado, de Liquidez y de Crédito: Introducción
Riesgos de Mercado, de Liquidez y de Crédito: IntroducciónHector Eduardo Bastidas
 
Catedra cash management - El Crédito y el Riesgo de Clientes
Catedra cash management - El Crédito y el Riesgo de ClientesCatedra cash management - El Crédito y el Riesgo de Clientes
Catedra cash management - El Crédito y el Riesgo de ClientesGrupo Choice
 
Unidad 5-analisis-de-sensibilidad
Unidad 5-analisis-de-sensibilidadUnidad 5-analisis-de-sensibilidad
Unidad 5-analisis-de-sensibilidadAlan Peralta Betancourt
 
Analisis de riesgos 2011
Analisis de riesgos 2011Analisis de riesgos 2011
Analisis de riesgos 2011OSCARCASTROM
 

Recomendados

Cómo justificar las inversiones en Seguridad de la Información, por Franz Erni
Cómo justificar las inversiones en Seguridad de la Información, por Franz ErniCómo justificar las inversiones en Seguridad de la Información, por Franz Erni
Cómo justificar las inversiones en Seguridad de la Información, por Franz ErniForo Global Crossing
 
Expositor Jorge Dominguez-Perú
Expositor Jorge Dominguez-PerúExpositor Jorge Dominguez-Perú
Expositor Jorge Dominguez-Perúsuperbancosec
 
Cómo justificar inversiones en tecnologías de Información, por Hernando Casti...
Cómo justificar inversiones en tecnologías de Información, por Hernando Casti...Cómo justificar inversiones en tecnologías de Información, por Hernando Casti...
Cómo justificar inversiones en tecnologías de Información, por Hernando Casti...Foro Global Crossing
 
Riesgo de Credito
Riesgo de CreditoRiesgo de Credito
Riesgo de Creditoguestf886d8
 
Riesgos de Mercado, de Liquidez y de Crédito: Introducción
Riesgos de Mercado, de Liquidez y de Crédito: IntroducciónRiesgos de Mercado, de Liquidez y de Crédito: Introducción
Riesgos de Mercado, de Liquidez y de Crédito: IntroducciónHector Eduardo Bastidas
 
Catedra cash management - El Crédito y el Riesgo de Clientes
Catedra cash management - El Crédito y el Riesgo de ClientesCatedra cash management - El Crédito y el Riesgo de Clientes
Catedra cash management - El Crédito y el Riesgo de ClientesGrupo Choice
 
Unidad 5-analisis-de-sensibilidad
Unidad 5-analisis-de-sensibilidadUnidad 5-analisis-de-sensibilidad
Unidad 5-analisis-de-sensibilidadAlan Peralta Betancourt
 
Analisis de riesgos 2011
Analisis de riesgos 2011Analisis de riesgos 2011
Analisis de riesgos 2011OSCARCASTROM
 
Analisis de escenarios de ti en la gestion
Analisis de escenarios de ti en la gestionAnalisis de escenarios de ti en la gestion
Analisis de escenarios de ti en la gestionShirley Contreras Ulloa
 
Analisis_de_riesgo_usando_la_metodologia_OWASP.pdf
Analisis_de_riesgo_usando_la_metodologia_OWASP.pdfAnalisis_de_riesgo_usando_la_metodologia_OWASP.pdf
Analisis_de_riesgo_usando_la_metodologia_OWASP.pdfVictor Zapata
 
Análisis de riesgos aplicando la metodología OWASP
Análisis de riesgos aplicando la metodología OWASPAnálisis de riesgos aplicando la metodología OWASP
Análisis de riesgos aplicando la metodología OWASPAlvaro Machaca Tola
 
1er.trabajo riesgos
1er.trabajo riesgos1er.trabajo riesgos
1er.trabajo riesgosgrace zegarra
 
Riesgo Operacional
Riesgo OperacionalRiesgo Operacional
Riesgo OperacionalRicardo Callirgos Borbor
 
German salazar uta_modulo_analisis_de_riesgos
German salazar uta_modulo_analisis_de_riesgosGerman salazar uta_modulo_analisis_de_riesgos
German salazar uta_modulo_analisis_de_riesgosgmsalazarm1
 
Pricing
PricingPricing
PricingC. J. Navas
 
PECB Webinar in Spanish: Principios de Gestión de Riesgo basados en ISO 31000
PECB Webinar in Spanish: Principios de Gestión de Riesgo basados en ISO 31000PECB Webinar in Spanish: Principios de Gestión de Riesgo basados en ISO 31000
PECB Webinar in Spanish: Principios de Gestión de Riesgo basados en ISO 31000PECB
 
Riesgo de crédito
Riesgo de créditoRiesgo de crédito
Riesgo de créditoCRISTIANCORONEL83
 
Ppt bases datos_eventos_perdida_riesgos_operacionales
Ppt bases datos_eventos_perdida_riesgos_operacionalesPpt bases datos_eventos_perdida_riesgos_operacionales
Ppt bases datos_eventos_perdida_riesgos_operacionalesLuis Rafael Zúñiga Lucero
 
Bases datos eventos_perdida_riesgos_operacionales
Bases datos eventos_perdida_riesgos_operacionales Bases datos eventos_perdida_riesgos_operacionales
Bases datos eventos_perdida_riesgos_operacionales IDDEA
 
Seminario Cash Management - IE business school, Madrid
Seminario Cash Management - IE business school, MadridSeminario Cash Management - IE business school, Madrid
Seminario Cash Management - IE business school, MadridGrupo Choice
 
Asegurando la venta de seguros
Asegurando la venta de seguros Asegurando la venta de seguros
Asegurando la venta de seguros Asociación de Marketing Bancario Argentino
 
Tema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosTema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosFrancisco Medina
 
Gestión del riesgo de fraude
Gestión del riesgo de fraudeGestión del riesgo de fraude
Gestión del riesgo de fraudeJuan Armando Zepeda
 
Slides Riesgo - Primera parte
Slides Riesgo - Primera parteSlides Riesgo - Primera parte
Slides Riesgo - Primera partefinanzas_uca
 
Semana 1 y 2
Semana 1 y 2Semana 1 y 2
Semana 1 y 2MikaR123
 
La seguridad alineada con necesidades de negocio
La seguridad alineada con necesidades de negocioLa seguridad alineada con necesidades de negocio
La seguridad alineada con necesidades de negocioJavier Cao Avellaneda
 
Riesgo 1C2010
Riesgo 1C2010Riesgo 1C2010
Riesgo 1C2010finanzas_uca
 
Ucsf valuación de instrumentos financieros
Ucsf valuación de instrumentos financierosUcsf valuación de instrumentos financieros
Ucsf valuación de instrumentos financieroscpnericgreen
 
Presentación consolidada 3er Foro Global Crossing - Ecuador
Presentación consolidada 3er Foro Global Crossing - EcuadorPresentación consolidada 3er Foro Global Crossing - Ecuador
Presentación consolidada 3er Foro Global Crossing - EcuadorForo Global Crossing
 
Miguel Cisterna - Outsourcing IT: cuando implementarlo
Miguel Cisterna - Outsourcing IT: cuando implementarloMiguel Cisterna - Outsourcing IT: cuando implementarlo
Miguel Cisterna - Outsourcing IT: cuando implementarloForo Global Crossing
 

Más contenido relacionado

Similar a Cómo justificar las inversiones en seguridad de la información, por Christian Izarra

Analisis de escenarios de ti en la gestion
Analisis de escenarios de ti en la gestionAnalisis de escenarios de ti en la gestion
Analisis de escenarios de ti en la gestionShirley Contreras Ulloa
 
Analisis_de_riesgo_usando_la_metodologia_OWASP.pdf
Analisis_de_riesgo_usando_la_metodologia_OWASP.pdfAnalisis_de_riesgo_usando_la_metodologia_OWASP.pdf
Analisis_de_riesgo_usando_la_metodologia_OWASP.pdfVictor Zapata
 
Análisis de riesgos aplicando la metodología OWASP
Análisis de riesgos aplicando la metodología OWASPAnálisis de riesgos aplicando la metodología OWASP
Análisis de riesgos aplicando la metodología OWASPAlvaro Machaca Tola
 
German salazar uta_modulo_analisis_de_riesgos
German salazar uta_modulo_analisis_de_riesgosGerman salazar uta_modulo_analisis_de_riesgos
German salazar uta_modulo_analisis_de_riesgosgmsalazarm1
 
PECB Webinar in Spanish: Principios de Gestión de Riesgo basados en ISO 31000
PECB Webinar in Spanish: Principios de Gestión de Riesgo basados en ISO 31000PECB Webinar in Spanish: Principios de Gestión de Riesgo basados en ISO 31000
PECB Webinar in Spanish: Principios de Gestión de Riesgo basados en ISO 31000PECB
 
Ppt bases datos_eventos_perdida_riesgos_operacionales
Ppt bases datos_eventos_perdida_riesgos_operacionalesPpt bases datos_eventos_perdida_riesgos_operacionales
Ppt bases datos_eventos_perdida_riesgos_operacionalesLuis Rafael Zúñiga Lucero
 
Bases datos eventos_perdida_riesgos_operacionales
Bases datos eventos_perdida_riesgos_operacionales Bases datos eventos_perdida_riesgos_operacionales
Bases datos eventos_perdida_riesgos_operacionales IDDEA
 
Seminario Cash Management - IE business school, Madrid
Seminario Cash Management - IE business school, MadridSeminario Cash Management - IE business school, Madrid
Seminario Cash Management - IE business school, MadridGrupo Choice
 
Tema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosTema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosFrancisco Medina
 
Slides Riesgo - Primera parte
Slides Riesgo - Primera parteSlides Riesgo - Primera parte
Slides Riesgo - Primera partefinanzas_uca
 
Semana 1 y 2
Semana 1 y 2Semana 1 y 2
Semana 1 y 2MikaR123
 
La seguridad alineada con necesidades de negocio
La seguridad alineada con necesidades de negocioLa seguridad alineada con necesidades de negocio
La seguridad alineada con necesidades de negocioJavier Cao Avellaneda
 
Ucsf valuación de instrumentos financieros
Ucsf valuación de instrumentos financierosUcsf valuación de instrumentos financieros
Ucsf valuación de instrumentos financieroscpnericgreen
 

Similar a Cómo justificar las inversiones en seguridad de la información, por Christian Izarra (20)

Analisis de escenarios de ti en la gestion
Analisis de escenarios de ti en la gestionAnalisis de escenarios de ti en la gestion
Analisis de escenarios de ti en la gestion
 
Analisis_de_riesgo_usando_la_metodologia_OWASP.pdf
Analisis_de_riesgo_usando_la_metodologia_OWASP.pdfAnalisis_de_riesgo_usando_la_metodologia_OWASP.pdf
Analisis_de_riesgo_usando_la_metodologia_OWASP.pdf
 
Análisis de riesgos aplicando la metodología OWASP
Análisis de riesgos aplicando la metodología OWASPAnálisis de riesgos aplicando la metodología OWASP
Análisis de riesgos aplicando la metodología OWASP
 
1er.trabajo riesgos
1er.trabajo riesgos1er.trabajo riesgos
1er.trabajo riesgos
 
Riesgo Operacional
Riesgo OperacionalRiesgo Operacional
Riesgo Operacional
 
German salazar uta_modulo_analisis_de_riesgos
German salazar uta_modulo_analisis_de_riesgosGerman salazar uta_modulo_analisis_de_riesgos
German salazar uta_modulo_analisis_de_riesgos
 
Pricing
PricingPricing
Pricing
 
PECB Webinar in Spanish: Principios de Gestión de Riesgo basados en ISO 31000
PECB Webinar in Spanish: Principios de Gestión de Riesgo basados en ISO 31000PECB Webinar in Spanish: Principios de Gestión de Riesgo basados en ISO 31000
PECB Webinar in Spanish: Principios de Gestión de Riesgo basados en ISO 31000
 
Riesgo de crédito
Riesgo de créditoRiesgo de crédito
Riesgo de crédito
 
Ppt bases datos_eventos_perdida_riesgos_operacionales
Ppt bases datos_eventos_perdida_riesgos_operacionalesPpt bases datos_eventos_perdida_riesgos_operacionales
Ppt bases datos_eventos_perdida_riesgos_operacionales
 
Bases datos eventos_perdida_riesgos_operacionales
Bases datos eventos_perdida_riesgos_operacionales Bases datos eventos_perdida_riesgos_operacionales
Bases datos eventos_perdida_riesgos_operacionales
 
Seminario Cash Management - IE business school, Madrid
Seminario Cash Management - IE business school, MadridSeminario Cash Management - IE business school, Madrid
Seminario Cash Management - IE business school, Madrid
 
Asegurando la venta de seguros
Asegurando la venta de seguros Asegurando la venta de seguros
Asegurando la venta de seguros
 
Tema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosTema 2: Análisis de Riesgos
Tema 2: Análisis de Riesgos
 
Gestión del riesgo de fraude
Gestión del riesgo de fraudeGestión del riesgo de fraude
Gestión del riesgo de fraude
 
Slides Riesgo - Primera parte
Slides Riesgo - Primera parteSlides Riesgo - Primera parte
Slides Riesgo - Primera parte
 
Semana 1 y 2
Semana 1 y 2Semana 1 y 2
Semana 1 y 2
 
La seguridad alineada con necesidades de negocio
La seguridad alineada con necesidades de negocioLa seguridad alineada con necesidades de negocio
La seguridad alineada con necesidades de negocio
 
Riesgo 1C2010
Riesgo 1C2010Riesgo 1C2010
Riesgo 1C2010
 
Ucsf valuación de instrumentos financieros
Ucsf valuación de instrumentos financierosUcsf valuación de instrumentos financieros
Ucsf valuación de instrumentos financieros
 

Más de Foro Global Crossing

Presentación consolidada 3er Foro Global Crossing - Ecuador
Presentación consolidada 3er Foro Global Crossing - EcuadorPresentación consolidada 3er Foro Global Crossing - Ecuador
Presentación consolidada 3er Foro Global Crossing - EcuadorForo Global Crossing
 
Miguel Cisterna - Outsourcing IT: cuando implementarlo
Miguel Cisterna - Outsourcing IT: cuando implementarloMiguel Cisterna - Outsourcing IT: cuando implementarlo
Miguel Cisterna - Outsourcing IT: cuando implementarloForo Global Crossing
 
David Delgado - Microsoft: el camino hacia la nube con nuestros socios tecno...
David Delgado - Microsoft: el camino hacia la nube con nuestros socios tecno...David Delgado - Microsoft: el camino hacia la nube con nuestros socios tecno...
David Delgado - Microsoft: el camino hacia la nube con nuestros socios tecno...Foro Global Crossing
 
Marcelo Ruiz (Frost & Sullivan) - Outsourcing tic vision y tendencias
Marcelo Ruiz (Frost & Sullivan) - Outsourcing tic vision y tendenciasMarcelo Ruiz (Frost & Sullivan) - Outsourcing tic vision y tendencias
Marcelo Ruiz (Frost & Sullivan) - Outsourcing tic vision y tendenciasForo Global Crossing
 
Gabriel Marcos - Soluciones en la nube, decisiones aterrizadas
Gabriel Marcos - Soluciones en la nube, decisiones aterrizadasGabriel Marcos - Soluciones en la nube, decisiones aterrizadas
Gabriel Marcos - Soluciones en la nube, decisiones aterrizadasForo Global Crossing
 
Puppy Rojas - Banda Ancha para todos, mas allá de la Infraestructura
Puppy Rojas - Banda Ancha para todos, mas allá de la InfraestructuraPuppy Rojas - Banda Ancha para todos, mas allá de la Infraestructura
Puppy Rojas - Banda Ancha para todos, mas allá de la InfraestructuraForo Global Crossing
 
Tomás Grassi - Communications as a Service
Tomás Grassi - Communications as a ServiceTomás Grassi - Communications as a Service
Tomás Grassi - Communications as a ServiceForo Global Crossing
 
Gabriela Franchetto - Innovación a la velocidad 100% web
Gabriela Franchetto - Innovación a la velocidad 100% webGabriela Franchetto - Innovación a la velocidad 100% web
Gabriela Franchetto - Innovación a la velocidad 100% webForo Global Crossing
 
Gianni Hanawa - Accediendo a la nube: Network Solutions
Gianni Hanawa - Accediendo a la nube: Network SolutionsGianni Hanawa - Accediendo a la nube: Network Solutions
Gianni Hanawa - Accediendo a la nube: Network SolutionsForo Global Crossing
 
Marcela Núñez - Cloud Computing: Aterrizando la nube
Marcela Núñez - Cloud Computing: Aterrizando la nubeMarcela Núñez - Cloud Computing: Aterrizando la nube
Marcela Núñez - Cloud Computing: Aterrizando la nubeForo Global Crossing
 
Rodrigo Rojas - "To share or not to share"
Rodrigo Rojas - "To share or not to share"Rodrigo Rojas - "To share or not to share"
Rodrigo Rojas - "To share or not to share"Foro Global Crossing
 
Alfredo Barriga - Cloud Computing y Competitividad País
Alfredo Barriga - Cloud Computing y Competitividad País Alfredo Barriga - Cloud Computing y Competitividad País
Alfredo Barriga - Cloud Computing y Competitividad País Foro Global Crossing
 
Presentación Marmora, Hanawa & Repetti - Foro Global Crossing Perú 2011
Presentación Marmora, Hanawa & Repetti - Foro Global Crossing Perú 2011Presentación Marmora, Hanawa & Repetti - Foro Global Crossing Perú 2011
Presentación Marmora, Hanawa & Repetti - Foro Global Crossing Perú 2011Foro Global Crossing
 
Octavio Novoa Textil del Valle - Foro Global Crossing Peru 2011
Octavio Novoa Textil del Valle - Foro Global Crossing Peru 2011Octavio Novoa Textil del Valle - Foro Global Crossing Peru 2011
Octavio Novoa Textil del Valle - Foro Global Crossing Peru 2011Foro Global Crossing
 
Elder Cama Ernst & Young - Foro Global Crossing Peru 2011
Elder Cama Ernst & Young - Foro Global Crossing Peru 2011Elder Cama Ernst & Young - Foro Global Crossing Peru 2011
Elder Cama Ernst & Young - Foro Global Crossing Peru 2011Foro Global Crossing
 
Oscar Schmitz CXO Community - Foro Global Crossing Peru 2011
Oscar Schmitz CXO Community - Foro Global Crossing Peru 2011Oscar Schmitz CXO Community - Foro Global Crossing Peru 2011
Oscar Schmitz CXO Community - Foro Global Crossing Peru 2011Foro Global Crossing
 
miguel cisterna como ordenarnos metodologicamente
miguel cisterna como ordenarnos metodologicamentemiguel cisterna como ordenarnos metodologicamente
miguel cisterna como ordenarnos metodologicamenteForo Global Crossing
 
Culpa o caso fortuito - Rodrigo Rojas
Culpa o caso fortuito - Rodrigo Rojas Culpa o caso fortuito - Rodrigo Rojas
Culpa o caso fortuito - Rodrigo Rojas Foro Global Crossing
 
10 Mandamientos de la Continuidad de Negocios - Luis Piccolo
10 Mandamientos de la Continuidad de Negocios - Luis Piccolo 10 Mandamientos de la Continuidad de Negocios - Luis Piccolo
10 Mandamientos de la Continuidad de Negocios - Luis Piccolo Foro Global Crossing
 
Continuidad de Negocios: Aportando valor a la empresa - Marcela Nuñez
Continuidad de Negocios: Aportando valor a la empresa - Marcela NuñezContinuidad de Negocios: Aportando valor a la empresa - Marcela Nuñez
Continuidad de Negocios: Aportando valor a la empresa - Marcela NuñezForo Global Crossing
 

Más de Foro Global Crossing (20)

Presentación consolidada 3er Foro Global Crossing - Ecuador
Presentación consolidada 3er Foro Global Crossing - EcuadorPresentación consolidada 3er Foro Global Crossing - Ecuador
Presentación consolidada 3er Foro Global Crossing - Ecuador
 
Miguel Cisterna - Outsourcing IT: cuando implementarlo
Miguel Cisterna - Outsourcing IT: cuando implementarloMiguel Cisterna - Outsourcing IT: cuando implementarlo
Miguel Cisterna - Outsourcing IT: cuando implementarlo
 
David Delgado - Microsoft: el camino hacia la nube con nuestros socios tecno...
David Delgado - Microsoft: el camino hacia la nube con nuestros socios tecno...David Delgado - Microsoft: el camino hacia la nube con nuestros socios tecno...
David Delgado - Microsoft: el camino hacia la nube con nuestros socios tecno...
 
Marcelo Ruiz (Frost & Sullivan) - Outsourcing tic vision y tendencias
Marcelo Ruiz (Frost & Sullivan) - Outsourcing tic vision y tendenciasMarcelo Ruiz (Frost & Sullivan) - Outsourcing tic vision y tendencias
Marcelo Ruiz (Frost & Sullivan) - Outsourcing tic vision y tendencias
 
Gabriel Marcos - Soluciones en la nube, decisiones aterrizadas
Gabriel Marcos - Soluciones en la nube, decisiones aterrizadasGabriel Marcos - Soluciones en la nube, decisiones aterrizadas
Gabriel Marcos - Soluciones en la nube, decisiones aterrizadas
 
Puppy Rojas - Banda Ancha para todos, mas allá de la Infraestructura
Puppy Rojas - Banda Ancha para todos, mas allá de la InfraestructuraPuppy Rojas - Banda Ancha para todos, mas allá de la Infraestructura
Puppy Rojas - Banda Ancha para todos, mas allá de la Infraestructura
 
Tomás Grassi - Communications as a Service
Tomás Grassi - Communications as a ServiceTomás Grassi - Communications as a Service
Tomás Grassi - Communications as a Service
 
Gabriela Franchetto - Innovación a la velocidad 100% web
Gabriela Franchetto - Innovación a la velocidad 100% webGabriela Franchetto - Innovación a la velocidad 100% web
Gabriela Franchetto - Innovación a la velocidad 100% web
 
Gianni Hanawa - Accediendo a la nube: Network Solutions
Gianni Hanawa - Accediendo a la nube: Network SolutionsGianni Hanawa - Accediendo a la nube: Network Solutions
Gianni Hanawa - Accediendo a la nube: Network Solutions
 
Marcela Núñez - Cloud Computing: Aterrizando la nube
Marcela Núñez - Cloud Computing: Aterrizando la nubeMarcela Núñez - Cloud Computing: Aterrizando la nube
Marcela Núñez - Cloud Computing: Aterrizando la nube
 
Rodrigo Rojas - "To share or not to share"
Rodrigo Rojas - "To share or not to share"Rodrigo Rojas - "To share or not to share"
Rodrigo Rojas - "To share or not to share"
 
Alfredo Barriga - Cloud Computing y Competitividad País
Alfredo Barriga - Cloud Computing y Competitividad País Alfredo Barriga - Cloud Computing y Competitividad País
Alfredo Barriga - Cloud Computing y Competitividad País
 
Presentación Marmora, Hanawa & Repetti - Foro Global Crossing Perú 2011
Presentación Marmora, Hanawa & Repetti - Foro Global Crossing Perú 2011Presentación Marmora, Hanawa & Repetti - Foro Global Crossing Perú 2011
Presentación Marmora, Hanawa & Repetti - Foro Global Crossing Perú 2011
 
Octavio Novoa Textil del Valle - Foro Global Crossing Peru 2011
Octavio Novoa Textil del Valle - Foro Global Crossing Peru 2011Octavio Novoa Textil del Valle - Foro Global Crossing Peru 2011
Octavio Novoa Textil del Valle - Foro Global Crossing Peru 2011
 
Elder Cama Ernst & Young - Foro Global Crossing Peru 2011
Elder Cama Ernst & Young - Foro Global Crossing Peru 2011Elder Cama Ernst & Young - Foro Global Crossing Peru 2011
Elder Cama Ernst & Young - Foro Global Crossing Peru 2011
 
Oscar Schmitz CXO Community - Foro Global Crossing Peru 2011
Oscar Schmitz CXO Community - Foro Global Crossing Peru 2011Oscar Schmitz CXO Community - Foro Global Crossing Peru 2011
Oscar Schmitz CXO Community - Foro Global Crossing Peru 2011
 
miguel cisterna como ordenarnos metodologicamente
miguel cisterna como ordenarnos metodologicamentemiguel cisterna como ordenarnos metodologicamente
miguel cisterna como ordenarnos metodologicamente
 
Culpa o caso fortuito - Rodrigo Rojas
Culpa o caso fortuito - Rodrigo Rojas Culpa o caso fortuito - Rodrigo Rojas
Culpa o caso fortuito - Rodrigo Rojas
 
10 Mandamientos de la Continuidad de Negocios - Luis Piccolo
10 Mandamientos de la Continuidad de Negocios - Luis Piccolo 10 Mandamientos de la Continuidad de Negocios - Luis Piccolo
10 Mandamientos de la Continuidad de Negocios - Luis Piccolo
 
Continuidad de Negocios: Aportando valor a la empresa - Marcela Nuñez
Continuidad de Negocios: Aportando valor a la empresa - Marcela NuñezContinuidad de Negocios: Aportando valor a la empresa - Marcela Nuñez
Continuidad de Negocios: Aportando valor a la empresa - Marcela Nuñez
 

Último

trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 

Último (16)

trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 

Cómo justificar las inversiones en seguridad de la información, por Christian Izarra

  • 1. Cómo justificar las inversiones en seguridad de la información Christian Izarra, Director de Negocios © 2007 Global Crossing - Proprietary
  • 2. Estimación del ROSI - Return on Security Information © 2007 Global Crossing - Proprietary
  • 3. ¿Por qué hablamos de Inversión? Algunos interrogantes • ¿Se conoce realmente la importancia de los activos de información de la organización? •¿Qué podría ocurrir que afectara estos activos? •Si ocurre, ¿cuan malo sería? •Si ocurre, ¿podría repetirse? •¿Qué se puede hacer para evitarlo? • ¿Cuánto puede costar su remediación? •¿Es costo efectivo? © 2007 Global Crossing - Proprietary 3
  • 4. ¿Por qué hablamos de Inversión? Amenazas • Naturales: • Incendio. • Inundación. • Terremoto. • De IT: • etc. • Fallas de HW. • Físicas: • Fallas de SW. • Fallas de energía. • Fallas de Comunicaciones. • Explosivos. • Hacking (con sus técnicas y • etc. variantes). • etc. • Humanas: • Errores y/o fallas por negligencia. • Falta de conciencia respecto a Seguridad de la Información. • Fraudes internos. • etc. © 2007 Global Crossing - Proprietary 4
  • 5. Concepto de ROSI Similitudes y diferencias entre ROI y ROSI • ROI: Retorno sobre la Inversión • Busca determinar el retorno o beneficio a partir de ingresos monetarios. • Para esto se cuenta con flujos de caja los cuales se traducen en beneficios directos. • ROSI: Retorno sobre la Inversión de Seguridad • Busca justificar la inversión en seguridad de la información en términos monetarios. • Los beneficios no surgen directamente como beneficios contables, sino en todo caso como reducción de pérdidas. • Retorno = Valor – Costo ROSI (%) = (Valor – Costo) / Costo © 2007 Global Crossing - Proprietary 5
  • 6. Concepto de ROSI Obstáculos y dificultades del ROSI • La seguridad de la información en si misma no genera una real o apreciable mejora en la eficiencia operacional: • No incrementa la productividad ni disminuye los costos. • Estimación de la reducción de pérdidas: • Que surgen como resultado de la implantación de contramedidas que evitan o mitigan la ocurrencia de incidentes de seguridad. • ¿Cual sería el impacto y su probabilidad de ocurrencia? • Existen tanto factores cuantitativos como cualitativos a considerar: • Cuantitativos. Por ejemplo: horas no productivas por incidente. • Cualitativos. Por ejemplo: pérdida de imagen o confianza. © 2007 Global Crossing - Proprietary 6
  • 7. Administración de Riesgos ¿Como se relacionan los Riesgos con el ROSI? • Administración de Riesgos: • Es el proceso de identificación, valoración y mitigación de riesgos asociados con una actividad o función a fin de minimizar las pérdidas hasta un nivel aceptable por la organización. • Asiste en la determinación del “Valor” dentro de la expresión del ROSI ya que, como resultado de mitigar los efectos de incidentes de seguridad se reducen las pérdidas originalmente evaluadas. • Análisis de Riesgos: • Permite identificar, valorar y priorizar los riesgos detectados a partir de la determinación de amenazas, vulnerabilidades, impactos y probabilidad de ocurrencia de incidentes de seguridad. © 2007 Global Crossing - Proprietary 7
  • 8. Probabilidad e Impacto ¿Cómo se relacionan? • Pérdidas Anualizadas Esperadas (ALE): • Es la métrica de gestión de riesgos por la cual se estiman las pérdidas producto de los riesgos determinados. • Trabaja con dos variables: la frecuencia anual de ocurrencia de un riesgo determinado, y el impacto monetario que produciría el mismo sobre el activo afectado. ALE = Impacto (unitario) x Probabilidad (anual) • ALE se aplica a dos escenarios posibles: • El “original” sin contramedidas implantadas y el “tratado” o con riesgos mitigados. • Se busca determinar así el “valor” (cuantificable monetario), diferencia entre uno y otro escenario dentro de la fórmula del ROSI. •ALE se basa en “estimaciones de expectativas”: • Por lo general son valores discretos con sus imprecisiones y errores en su determinación, lo cual genera incertidumbre. Por esta razón se suele utilizar la Simulación Monte Carlo. © 2007 Global Crossing - Proprietary 10
  • 9. Pérdidas Anualizadas Esperadas Algunos ejemplos • Con valores discretos: • El especialista en riesgos ha determinado para el R1 lo siguiente: • Escenario original: • Impacto (unitario) = $100.000/incidente • Probabilidad (anual) = 2 incidentes/año • ALE original = $200.000/año • Escenario tratado: • Impacto (unitario) = $100.000/incidente • Probabilidad (anual) = 0,5 incidentes/año • ALE tratado = $50.000/año • Valor = ALE original – ALE tratado = $150.000/año La disminución de las pérdidas es $150.000 por año para el R1. © 2007 Global Crossing - Proprietary 11
  • 10. Pérdidas Anualizadas Esperadas Algunos ejemplos • Con Simulación de Monte Carlo: • El especialista en riesgos ha determinado para el R1 lo siguiente: • Escenario original: • Impacto = entre $60.000 a $140.000/incidente • Probabilidad = entre 1 y 3 incidentes/año • ALE original = $¿?/año • Escenario tratado: • Impacto = entre $60.000 a $140.000/incidente • Probabilidad = entre 0,25 y 0,75 incidentes/año • ALE tratado = $¿?/año • Valor = ALE original – ALE tratado = $¿?/año La disminución de las pérdidas se representa ahora como una © 2007 Global Crossing - Proprietary distribución estadística… 12
  • 11. Pérdidas Anuales Esperadas Algunos ejemplos • Con Simulación de Monte Carlo: Valor Neto (miles $) 60 100,00% 90,00% • Valor más probable de 50 80,00% ALE original – ALE tratado: 70,00% 40 60,00% • $145.000/año con una Acumulado% Probabilidad 30 50,00% desviación de $25.000. 40,00% 20 30,00% o bien… 20,00% 10 10,00% • entre $130.000 a 0 0,00% $160.000/año con una certidumbre del 80%. Rango Probabilidad Acumulado% © 2007 Global Crossing - Proprietary 13
  • 12. Simulación Monte Carlo ¿Menor incertidumbre? • El rol del Experto: • Este modelo requiere que el Experto en Análisis de Riesgo describa su incerteza. • Su descripción definirá la curva y los parámetros definitivos para estimar la distribución. • Por esta razón el Experto debe estar abierto a comunicar su incertidumbre a fin de dejar bien establecido que el “valor esperado” definido por ellos es simplemente representativo de una posibilidad. La determinación de la disminución de las pérdidas depende de la habilidad del Experto en determinar la distribución estadística que más se aproxime a sus observaciones. © 2007 Global Crossing - Proprietary 14
  • 13. Estimación del ROSI Usando valores discretos • Determinación del Ahorro Bruto Anual • Ya estimado anteriormente. • Determinación de los Costos anualizados de las contramedidas: • Costo Inicial de Contramedias = $120.000 • Costos Anuales Recurrentes Contramedidas = $10.000/año © 2007 Global Crossing - Proprietary 15
  • 14. Estimación del ROSI Cálculo del ROSI © 2007 Global Crossing - Proprietary 16
  • 15. Conclusiones ¡Es posible estimar el ROSI! • La Administración del Riesgo es parte fundamental del ROSI. • El punto más complejo es el poder determinar el Ahorro o Valor resultante de la aplicación de contramedidas (mitigación). • Para reducir la incertidumbre se utiliza diferentes métodos como la Simulación de Monte Carlo. • Es preciso contar con un Experto en riesgos que asista en la determinación del ALE y defina sus incertezas. • Invertir en seguridad no es fácil y demostrar que dicha inversión es rentable, mucho menos… … ¡pero se puede! © 2007 Global Crossing - Proprietary 17
  • 16. Caso Real sobre Estimación del ROSI Hernando Castiglioni, Security Pre Sales Engineer - Global Crossing © 2007 Global Crossing - Proprietary
  • 17. Caso real: Estado de Situación PELIGRO! Sistema SIN detección de intrusos PELIGRO! Sitio NO analizado PELIGRO! Servidor Desactualizado © 2007 Global Crossing - Proprietary 19
  • 18. Caso real: Análisis de Impacto Revenues = 340K Ganancias al 1 de Mayo: U$ 100.000 Ganancias desde el 1 de Mayo al 31 de Diciembre: U$ 30.000 Impacto lineal al 31 Diciembre: 33k x 7 – 30k = U$ 201.000 Perdida de imagen y confianza = U$ 201.000 + (X) © 2007 Global Crossing - Proprietary 20
  • 19. Caso real: Costo de Contramedida Equipo Dedicado Sistema IDP integrado, Reporting, monitoreo © 2007 Global Crossing - Proprietary 21
  • 20. Caso real: Análisis de las Pérdida Inversión en Seguridad Léase -0,85 Ganancia Ideal a 1 año Aproximado REVENUE Ganancia 0,3% 3% 130K (Lo ganado) 201K (Lo perdido) 10,2K U$ 320.800 (X) (crecimiento) (0,85 x 12) U$ 331.000 © 2007 Global Crossing - Proprietary 22
  • 21. Caso real: Estimación del ROSI © 2007 Global Crossing - Proprietary 23
  • 22. Muchas Gracias © 2007 Global Crossing - Proprietary