Cuantificación del Riesgo Mitigado
Determinar los beneficios de mitigar el riesgo es tan complicado como la exposición del riesgo. La mayoría de los problemas surgen del hecho de que la seguridad no crea directamente algo tangible –mas bien, previene una perdida–. Por ejemplo, el sistema de detección de intrusos de una organización mostró que contuvo 10 ataques el año pasado, pero en este año sólo hubo cinco. La gran pregunta sería ¿Fue debido al dispositivo de seguridad ( Detector de Intrusos ) que la compañía compró?, o ¿hubo cinco hackers menos atacando el sistema?
Otra pregunta sería: ¿Qué cantidad de daño o perdida ocurre si una solución de seguridad falla? Mientras pocas violaciones pueden ser el resultado de ataques directos, hechos con toda la intención de perjudicar o por delincuentes cibernéticos, la mayoría no son intencionalmente maliciosas sino que son resultado de programas automatizados y atacantes sin la intención de perjudicar.
El siguiente argumento ha sido utilizado para justificar un porcentaje del presupuesto para la mitigación del riesgo.
Desafortunadamente, hay un número de serios problemas con este “enfoque”:
Un mejor enfoque, en mi punto de vista, sería conducir una evaluación de seguridad basada en un análisis de vulnerabilidades. Esta evaluación puede representar parte el riesgo que está siendo mitigado actualmente desde un enfoque totalmente simplista debido a que la mitigación del riesgo depende de hacer todo el proceso del Risk Management.
Es decir, evaluar la mitigación del riesgo dentro del contexto de la seguridad en este caso para la red de la organización y los problemas de aislamiento mencionados. Una buena evaluación tendrá también el nivel de impacto de seguridad en la implementación de las soluciones hechas ya sea por motivos de uso y productividad.
Al evaluar una solución de seguridad, la evaluación puede ser realizada como si la solución ya estuviera implantada. La diferencia entre este resultado y el resultado actual es la cantidad de riesgo mitigado por la solución.
Al calcular el ROSI, el resultado pronosticado (no la diferencia) debería ser usado como toda la mitigación del riesgo recordando en todo momento el enfoque simplista, ahondaremos en este punto en las conclusiones. La exactitud de los resultados como dependerá de la calidad de la evaluación. Siguiendo los lineamientos de evaluación publicadas por grupos de estándares tales como el Foro Internacional de Seguridad (ISF), Instituto Nacional de Standards en Tecnología (NIST), y la Organización Internacional de Standards (ISO).
Cuantificando el costo de la solución
En este punto, debemos de visualizar que el costo de una solución no es sólo el precio que tiene en su etiqueta. Por lo menos, el costo asociado con la implementación de la solución y el entrenamiento así como mantenimientos y soporte (en casos de ser necesario) se deben tomar en cuenta. Pero esto tampoco es suficiente. Una vez más, la productividad y la funcionalidad aparecerán en escena.
La productividad es importante porque la seguridad casi siempre se asocia con el costo del beneficio. Recordemos que hoy día la seguridad es vista como un mal necesario y algo que no aporta un real valor a la organización. La mayoría de las soluciones de seguridad terminan creando barreras que los empleados necesitan saltar para poder hacer su trabajo. Dependiendo del tamaño y frecuencia de estas barreras, el costo de la perdida de productividad puede aumentar muy seriamente.
La tabla 3 muestra cómo con relativa facilidad se pierde el tiempo, debido a los problemas creados por las soluciones implantadas para corregir otros problemas de seguridad:
Tabla 3: Perdida de productividad debido a las Soluciones de Seguridad. *
| Problema | Tiempo muerto promedio |
| Caídas del sistema y aplicaciones | 10 mins |
| Políticas de seguridad restrictivas | 10 mins |
| Parches de seguridad para Sistemas Operativos | 10 mins |
| Problemas o conflictos de compatibilidad – hardware y software | 15 mins |
| Demasiados passwords | 15 mins |
| Eficiencia de ancho de banda y procesamiento | 10 mins |
| Mejoras en el sistema de IT | 10 mins |
| Problemas de descarga de archivos debido al Scaneo de virus | 10 mins |
* Datos reales de una organización en México
Pero tenemos el otro lado de la moneda, en el que es posible que una solución de seguridad incremente la productividad. Esto sucede cuando un efecto secundario de la solución llega a eliminar otros problemas significativos que obstaculizaban la productividad. Por ejemplo, la implementación de un firewall puede requerir la reestructuración de la red. La nueva estructura puede resolver serios problemas de ancho de banda que previamente generaban mucho tiempo muerto.
Este impacto en la productividad puede ser medido por medio de volver a realizar los estudios de productividad usados para estimar la exposición del riesgo (articulo anterior). Las respuestas dadas son ajustadas para asumir que la solución se ha implementado en su lugar. La diferencia entre la productividad actual y la proyectada es el factor de impacto que necesita ser incluido en este cálculo.
Factoricemos la productividad dentro de nuestro reciente ejemplo con el scanner de virus de ViriCorp’s. Podemos ver que si el costo de la solución excede los $60,000 dólares el ROI es del 0% y, por lo tanto, no es sujeto de compra. Al asumir el costo total del sistema permanece en $30,000 dólares, es decir hay un margen de $30,000 dólares. Esto por 100 empleados ganando en promedio $20 dólares por hora, ese margen se compara a 3.5 minutos de perdida de tiempo muerto por día. Si al implementar el scanner de virus se crean más de 3.5 minutos de tiempo muerto cada día, resulta más efectivo no comprar el scanner. Por otro lado, si el scanner puede eliminar el tiempo muerto evitando el impacto del virus, podría hacer al scanner menos atractivo en términos del ROSI.
Tener una visión a largo plazo
Para las inversiones a largo plazo, la mayoría de los ejecutivos financieros querrán factorizar el valor del dinero en el tiempo. El dinero gastado en seguridad es dinero que pudieron haber invertido en otros lugares. Por ejemplo, imagine que usted debe elegir entre dos soluciones de seguridad donde una cuesta $100,000 dólares al año y la otra $50,000 dólares anualmente por dos años. Ambas soluciones cuestan al final $100,000 dólares. Pero la segunda solución se vuelve más atractiva ya que usted puede invertir los otros $50,000 dólares en algo más por un año. El verdadero costo de la segunda solución es en realidad menos de $100,000 dólares, cuando la inversión potencial está factorizada. Este costo de “ajuste” es llamado Valor Presente Neto (NPV, en inglés).
Uno de los factores más importantes al calcular el NPV es el porcentaje de descuento, que es el porcentaje estimado de la ganancia que usted podría obtener al colocar el dinero en alguna otra forma de inversión. Otra elemento interesante de información puede ser obtenido al imaginar qué porcentaje de descuento es necesario para que el resultado en un NPV sea cero. Este es llamado Porcentaje de Ganancias Internas (PGI) y básicamente indica qué porcentaje ha ganando la inversión. En general, el tener un PGI arriba del porcentaje de descuento es una buena señal.
En la mayoría de los casos, el NPV y el PGI son mejores indicadores que un simple calculo de Ganancias de la Inversión. Pero si usted no puede pronosticar exactamente el tiempo o magnitud de los costos y beneficios sobre el tiempo de vida de la inversión obtendrá resultados engañosos.
Para ilustrar el problema veamos el NPV y el PGI de un dispositivo de seguridad con un costo de $10,000 dólares. En el primer ejemplo el dispositivo previene un incidente estimado en $50,000 dólares en el quinto año después de su instalación. En el segundo ejemplo el mismo desastre es prevenido durante el primer año.
% COSTO Y1 Y2 Y3 Y4 Y5 NPV PGI ROSI
#1 0.05 -10000 0 0 0 0 50000 $27,786 38% 400%
#2 0.05 -10000 50000 0 0 0 0 $35,827 400% 400%
Desafortunadamente, nadie puede predecir cuándo un dispositivo de seguridad puede prevenir un incidente de seguridad. Como resultado, una solución es para garantizar los ahorros a través del ciclo de vida del dispositivo. Usted podría también garantizar los ahorros asumiendo que el dispositivo será más efectivo al inicio de su vida, y perderá la efectividad con el paso de los años:
% COSTO Y1 Y2 Y3 Y4 Y5 NPV PGI ROSI
#3 0.05 -10000 10000 10000 10000 10000 10000 $31,709 97% 400%
#4 0.05 -10000 17500 15000 10000 5000 2500 $33,316 153% 400%
El problema al usar el Valor Presente Neto para inversiones de seguridad es que la exactitud es crítica para la obtención de resultados comparativos significativos. Mientras que el ROSI no factoriza en el valor del dinero en el tiempo, puede proveer por lo menos figuras comparables con datos inexactos (pero consistentes). Este puede ser un caso donde es mejor ser significativo que preciso.
Adrián Palma es licenciado en Informática cuenta con más de 23 años de experiencia en TI y Seguridad Informática, Actualmente es Director General de Integridata, tiene las certificaciones CISSP,CISA,CISM,CRISC,BSA, conferencista a nivel internacional y catedrático del diplomado de Seguridad en el ITESM, Ex presidente de la ALAPSI Internacional.
SÍGUENOS
© 2012 Netmedia S.A. de C.V.
Políticas de privacidad
Sócrates 128 4to piso, Polanco
CP 11560, México D.F.
Tel: 2629 7260