Your SlideShare is downloading. ×
0
Return on Security Investment
Return on Security Investment
Return on Security Investment
Return on Security Investment
Return on Security Investment
Return on Security Investment
Return on Security Investment
Return on Security Investment
Return on Security Investment
Return on Security Investment
Return on Security Investment
Return on Security Investment
Return on Security Investment
Return on Security Investment
Return on Security Investment
Return on Security Investment
Return on Security Investment
Return on Security Investment
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Return on Security Investment

3,417

Published on

Return on Security Investment

Return on Security Investment

Published in: Technology, Business
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
3,417
On Slideshare
0
From Embeds
0
Number of Embeds
6
Actions
Shares
0
Downloads
50
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide
  • Algunos incidentes son provocados (ataques), otros se producen por falta de diligencia (errores), y otros son sobrevenidos (accidentes o cat á strofes).
  • Para la mayor parte de las organizaciones los activos se dividen entre críticos y no críticos.
  • En esta l á mina hay que explicar que es el dibujo. Si elegimos mal las medidas en el mejor de los casos la medida ser á poco rentable. En el peor de los casos nos dar á una falsa sensaci ó n de seguridad, sin mejorarla en absoluto. La selecci ó n de medidas depende de varios factores, como el entorno, nuestras expectativas, el valor de los activos, el presupuesto, etc. Al decidir cuales son las mejores medidas de seguridad para una organizaci ó n, debemos tener en cuenta que: Existen un riesgo residual que no puede eliminarse. Toda medida será un compromiso entre seguridad, facilidad de uso, facilidad de gestión, coste, etc. No hay medidas perfectas. Dado que no hay medidas perfectas, es mejor una solución buena hoy que una “perfecta” mañana. Para poder confiar en una medida debemos ponerla periódicamente a prueba. El coste de la selección de una medida de seguridad debería ser despreciable en comparación con el coste de la medida.
  • Cuando intentamos abrir la puerta del coche después de cerrarlo, estamos haciendo una prueba de penetración. Se puede hacer PenTest del sistema terminado, aunque normalmente nos referimos al sistema vivo. El porque es simple, la eficacia de las medidas de seguridad depende tanto de como son diseñadas como de su administración y uso. En las pruebas es importante incluir tanto casos negativos como positivos. Cuanto menos sepa el usuario autorizado, mejor. Cuanto más sepa el usuario no autorizado, mejor.
  • La curva de coste de las medidas de seguridad no es continua, dado que una medida de seguridad puede adoptarse o no, pero no adoptarse un poco.
  • “ In theory there is no difference between theory and practice. In practice, there is” T is the cost of the intrusion detection tool. E is the dollar savings gained by stopping any number of intrusions through the introduction of an intrusion detection tool. R is the cost per year to recover from any number of intrusions.
  • La selecci ó n de las medidas que seguridad que mejoren el nivel de seguridad de la organizaci ó n es un factor clave en el mantenimiento de la seguridad. Si elegimos mal en el mejor de los casos la medida ser á poco rentable. En el peor de los casos nos dar á una falsa sensaci ó n de seguridad, sin mejorarla en absoluto. La selecci ó n de medidas depende de varios factores, como el entorno, nuestras expectativas, el valor de los activos, el presupuesto, etc. Al decidir cuales son las mejores medidas de seguridad para una organizaci ó n, debemos tener en cuenta que:   Existen un riesgo residual que no puede eliminarse. Toda medida será un compromiso entre seguridad, facilidad de uso, facilidad de gestión, coste, etc. No hay medidas perfectas. Dado que no hay medidas perfectas, es mejor una solución buena hoy que una “perfecta” mañana. Para poder confiar en una medida debemos ponerla periódicamente a prueba. El coste de la selección de una medida de seguridad debería ser despreciable en comparación con el coste de la medida.
  • Es de notar que la rentabilidad de una medida cualquiera variará de organización a organización. En una organización en la que nadie roba nunca un portátil, comprar candados para evitarlo tiene rentabilidad negativa. Allá donde el robo sea frecuente, la medida será probablemente muy rentable.
  • Se ve que la medida es posiblemente efectiva, dado que hay menos robos, pero ¿ Como podemos estar seguro de que hay menos robos por ese motivo y no por otro?   Rentabilidad = (Coste por Incidente * Disminuci ó n de incidentes-Coste de la Medida)/Coste de la Medida.   La formula de rentabilidad propuesta dice “Es rentable si reduce el riesgo existente con proporción a su coste”. Estas formulas son aplicables a amenazas cuyo número de incidentes esperados al año es superior a uno. Cuando el número de incidentes esperados sea inferior a uno la mejor opción es buscar medidas que reduzcan el impacto. Estas medidas suelen ser caras, y es por esto que normalmente se utilizan sólo para proteger los activos más importantes, esto es, los que supondrían un impacto mayor y por tanto un mayor coste de la amenaza. Un ejemplo de este tipo de medidas, es disponer de un CPD para recuperación de catástrofes, con la infraestructura mínima para asegurar la supervivencia de la organización.
  • El c á lculo de rentabilidad depende fuertemente del entorno. La medida de seguridad debe impedir incidentes por un valor equivalente al propio.   Rentabilidad = (Coste por Incidente * Disminuci ó n de incidentes-Coste de la Medida)/Coste de la Medida.   La formula de rentabilidad propuesta dice “Es rentable si reduce el riesgo existente con proporción a su coste”. Estas formulas son aplicables a amenazas cuyo número de incidentes esperados al año es superior a uno. Cuando el número de incidentes esperados sea inferior a uno la mejor opción es buscar medidas que reduzcan el impacto. Estas medidas suelen ser caras, y es por esto que normalmente se utilizan sólo para proteger los activos más importantes, esto es, los que supondrían un impacto mayor y por tanto un mayor coste de la amenaza. Un ejemplo de este tipo de medidas, es disponer de un CPD para recuperación de catástrofes, con la infraestructura mínima para asegurar la supervivencia de la organización.
  • ¿Pagaríamos por un salvavidas todo lo que tenemos? ¿En cuanto valoramos nuestra vida? El gasto se hace teniendo en cuenta la protección que proporcina, no su rentabilidad.
  • Si se plantean requisitos de seguridad en el diseño, se ahorra posteriormente en medidas de seguridad no integradas con el sistema, como pueden ser firewall de nivel 7, Single Sign On, etc.
  • ¿Pagaríamos por un salvavidas todo lo que tenemos? ¿En cuanto valoramos nuestra vida? El gasto se hace teniendo en cuenta la protección que proporcina, no su rentabilidad.
  • Transcript

    • 1. © Vicente Aceituno Return on Security Investment FIST Conference October 2003 @
    • 2. © Vicente Aceituno vaceituno@telefonica.net 2 Why expend on security measures Just one word: INCIDENTS
    • 3. © Vicente Aceituno vaceituno@telefonica.net 3 The direct cost of incidents The direct cost of incidents is:  Income loss.  Property damage and loss.  Direct economic loss. Plus the cost to return the system to the pre-incident state. Other direct cost could be:  Human life.  Information loss.  Penalties.
    • 4. © Vicente Aceituno vaceituno@telefonica.net 4 The indirect cost of incidents  Damaged Image.  Loss of Trust.  Treasury problems.  Breaching of contracts and other legal responsibilities.  Social and moral obligations breaching.  Additional costs.
    • 5. © Vicente Aceituno vaceituno@telefonica.net 5 Lifecycle of Information Systems  Requirements (Business, User, Technical, Security).  Analysis.  Design.  Construction.  Quality Assurance (Testing).  Implementation. More often than not security requirements are not considered.
    • 6. © Vicente Aceituno vaceituno@telefonica.net 6 Quality Assurance Testers emulate authorized users performing  Business Requirements Tests.  User Requirements Tests.  Technical Requirements Tests.  Security Requirements Tests. PenTesters emulate unauthorized users trying to overcome security measures. Auditors mostly check existing evidence
    • 7. © Vicente Aceituno vaceituno@telefonica.net 7 How to turn intuition into hard data? Window of Opportunity (Value for the Attacker) SmallerCostperincident AssetsInventory AssetsValue Fewer Incidents Cost of the Threat Cost of the Measure Usability ManagementEase
    • 8. © Vicente Aceituno vaceituno@telefonica.net 8 Mayfield’s Paradox  It cost an infinite amount of money both to give everyone access to a system, and to prevent everyone access the same system. CMU – CERT study:  The more you spend, the less difference it makes on your security. Idaho University formula.  (R-E)+T= ALE  R-ALE=ROSI.  ROSI=E-T, but where do you get E? Problem: Lack of real Data & too many assumptions:  Risk Cost monotonically decreases with investment.  Risk Cost is subject to diminishing return on investment.  ROSI is positive for all levels of investment. Widespread knowledge Security Investment Cost % People
    • 9. © Vicente Aceituno vaceituno@telefonica.net 9 What is ROSI for? ¡It’s not about how much you make, it’s about where do you put your budget! Nowadays, security measures are selected based on:  Fear Uncertainty and Doubt decisions.  Paranoid decisions.  Coolness decisions.  Random decisions. A ROSI based decision allows for:  Selecting the best security measures with a given budget.  Determine if a budget is enough to meet security targets. No security measure is ever selected based on profitability.
    • 10. © Vicente Aceituno vaceituno@telefonica.net 10 Security Measures There are two distinctive kinds of Security Measures.  Vulnerability reduction of specific risks. (aka Preventive)  Firewalls.  Locks.  Access Control.  …  Impact reduction of unspecific risks. (aka Paliative)  RAID.  Data Backup.  Redundant communications links.  …
    • 11. © Vicente Aceituno vaceituno@telefonica.net 11 Vulnerability Reduction Security Measures Benefits Vulnerability reduction means less incidents. ROSI = ( RCbefore – RCafter) / SMcost  When ROSI > 1, the security measure gives a return.  RiskCost = Number of Incidents*Cost of an Incident. It depends strongly on the environment and number of potential targets.  You need hard data to calculate RC.To get hard data you need Information Gathering.  The security measure must prevent incidents for at least what it is worth per investment period.
    • 12. © Vicente Aceituno vaceituno@telefonica.net 12 Vulnerability Reduction Measures ROI Example:  There are two laptop thefts out of 50 in a year.  A laptop replacement cost is 1800 euros.  The following year there are 75 laptops in the company.  60€ latches protect every laptop.  There is only 1 laptop theft the following, when the latches are installed.
    • 13. © Vicente Aceituno vaceituno@telefonica.net 13 Vulnerability Reduction Measures ROI ROSI = ( RCbefore – RCafter) / Smcost ROSI = ((1800+Iv)*3-((1800+Iv)*1+75*60))/(75*60), Iv=0, ROSI < 1. *Incidents are adjusted for increased number of “targets”.  If a laptop’s information worth is nil, the security measure return is unprofitable.  For this example, 60€ latches give a return when any laptop’s Information value is over 2700€, or when you expect 5 thefts for this year (based on historic info). With this kind of analysis, you could:  Decide to use latches only for laptops that hold valuable information.  Calculate the maximum you should pay for latches for all laptops (24€ when Iv=0).
    • 14. © Vicente Aceituno vaceituno@telefonica.net 14 Impact reduction is like insurance: It puts a cap on your maximum loss.  You can’t measure impact reduction investment return.  When the best happens it is never used. When the worst happens twice, it seems to be worth twice the value of your assets, but who would spend twice the worth of anything in security measures?  The real factor is what protection do you get for your money.  You can measure efficiency. For Time to Recover efficiency, you have off-site backups (some extra cost) on one end, and fully redundant systems (over 2X cost) on the other.  Ideally this security measures are never used. Impact Reduction Security Measures Benefits
    • 15. © Vicente Aceituno vaceituno@telefonica.net 15 Hard Data based Choices Direct cost Indirect cost Vulnerability Reduction Choice based on risk cost reduction ROSI > 1 Quality Assurance: Penetration Testing. Auditing. Information Gathering from IDS, Honeypots, logs, etc. Impact Reduction Choice based on Efficiency (“bang for the buck”, normally Time to Recover) Quality Assurance: Incidents Emulation. Forensics. Information Gathering from Incidents Evaluation. Information System Lifecycle Choice of Security Requirements Quality Assurance: Security Requirements Testing. Code Auditing.
    • 16. © Vicente Aceituno vaceituno@telefonica.net 16 Afterthoughts.  To take hard data based decisions you have to assume the indirect cost of information gathering.  Information systems designed with security requirements in mind are cheaper in the long run.  Your neighbour’s security measure with the best ROSI won’t necessarily be yours too.  Don’t be tight: Use impact reduction measures for critical assets.  Assume testing and trial of your security measures as an indirect cost.
    • 17. © Vicente Aceituno 25 October 2003 FIST Conference Return on Security Investment
    • 18. © Vicente Aceituno vaceituno@telefonica.net Learn to implement High Performance Security Management Processes http://cli.gs/ism3 Web www.inovement.es Video Blog youtube.com/user/vaceituno Blog ism3.com Twitter twitter.com/vaceituno Presentations slideshare.net/vaceituno/presentations Articles slideshare.net/vaceituno/documents

    ×