Lo$ dinero$

El presupuesto de ciberseguridad

Introducción

En cualquier organización, es necesario medir la rentabilidad de las acciones, incluidas las relativas a Seguridad de la Información, para justificar su uso de recursos, y proporcionar argumentos de apoyo para su próxima reclamación presupuestaria.

Pero las organizaciones suelen tener dificultades para medir con precisión la eficacia y el coste de sus actividades de ciberseguridad. La razón es que la seguridad, no suele ser una inversión que proporciona beneficios económicos como tal, sino que permiten la prevención de pérdidas (dinerarias en forma de disminución de ingresos o sanciones regulatorias, o en cuanto a daños reputacionales).

Entonces, ¿cuál es la cantidad correcta que una organización debe invertir en la protección de la información?

El objetivo de la propuesta de ENISA es crear un modelo de herramientas básicas y mejores prácticas, para calcular el retorno de la inversión en seguridad (ROSI, Return of Security Investment). Esta noción clave, es esencial a la hora de justificar el compromiso de los costes y los presupuestos de las entidades que se ocupan de la seguridad de forma habitual: departamentos de seguridad, equipos de respuesta CERT (Computer Emergency Response Teams), etc.

Variables

En toda organización pública o privada, cada inversión presupuestaria debe justificarse, y su eficacia suele evaluarse a posteriori. En finanzas, esta evaluación se denomina rendimiento de la inversión o tasa de rendimiento. El ROI se calcula de la siguiente manera:

ROI = (Ganancia de la inversión – Coste de la inversión) / Coste de la inversión

La Seguridad de la Información cuesta dinero, y es fundamental equilibrar costes de seguridad, frente al impacto económico de los riesgos probables. Esta actividad es la base de la Gestión del Riesgo.

En los costes además, debe incorporarse no solamente diseño y configuración de los controles, sino también la formación y concienciación de los empleados.

Aplicado a la seguridad, el cálculo del retorno de la inversión en seguridad (ROSI) puede proporcionar respuestas cuantitativas a cuestiones financieras esenciales:

– ¿Está pagando una organización demasiado por su seguridad?

– ¿Qué impacto financiero en la productividad puede tener la falta de seguridad?

– ¿Cuándo es suficiente la inversión en seguridad?

– ¿Es beneficioso este producto de seguridad/organización?

La realidad, es que muchas empresas no se conciencian hasta que experimentan un ataque o una brecha de seguridad, y que las tecnologías de seguridad comienzan a popularizarse cuando son fáciles de implementar, y/o los auditores de seguridad comienzan a demandarlas.

Los elementos que entran en juego en el modelo de cálculo son:

  • Amenazas: (definición INCIBE). Circunstancia desfavorable que puede ocurrir y que cuando sucede, tiene consecuencias negativas sobre los activos provocando su indisponibilidad, funcionamiento incorrecto o pérdida de valor. Una amenaza puede tener causas naturales, y ser accidental o intencionada. Si esta circunstancia desfavorable acontece a la vez que existe una vulnerabilidad o debilidad de los sistemas o aprovechando su existencia, puede derivar en un incidente de seguridad. Ejemplo, el borrado accidental de información.
  • Ataques: intentos de exponer, alterar, desestabilizar, destruir, o eliminar sin autorización un activo o sistema. Un ciberataque o ataque informático, es cualquier maniobra ofensiva de explotación deliberada que tiene como objetivo de tomar el control, desestabilizar o dañar un sistema informático (ordenador, red privada, etcétera). Ejemplo, un ataque de ransomware.
  • Mecanismos de defensa: procedimientos o servicios que permiten la identificación, protección, detección, respuesta o recuperación ante eventos de seguridad. Ejemplo, un sistema de backup.
  • Brechas de seguridad: (definición AEPD, Agencia Española de Proteccción de Datos). Incidente de seguridad, normalmente que afecta a datos de carácter personal. Este incidente puede tener un origen accidental o intencionado y además puede afectar a datos tratados digitalmente o en formato papel. En general, se trata de un suceso que ocasione destrucción, pérdida, alteración, comunicación o acceso no autorizado a datos personales.
  • Recursos de información: activos de información de la organización que tienen valor, aquello que debemos proteger.

Costes involucrados en el modelo:

  • En el ataque, hay un coste de ruptura del mecanismo de defensa por parte del criminal, CTB (Cost to break).  Por ejemplo, para romper una contraseña por fuerza bruta, hay que invertir tiempo y esfuerzo computacional.
  • En el mecanismo de defensa, hay un coste de Construcción B, (cost to build), y un coste de Mantenimiento F (cost to fix vulnerabilities). Este último, de actualización, parcheado, rediseño, etc., de soluciones como los firewalls, IDS, etc.
  • Cuando se produce la brecha de seguridad mediante la evasión de los mecanismos de defensa, hay un coste de pérdida de beneficio inmediato (loss of revenue, L).
  • Posteriormente, se toman medidas para evitar incidentes similares, y se incurre en el coste de reconstrucción, (rebuild, R). Ejemplo: cálculo de pérdidas y reconstrucción de los sistemas, como puede ser reinstalación de equipos, o servicios profesionales de análisis forense o soporte.

Para que el atacante incurra en el coste CTB, el beneficio esperado para él debe ser superior a dicho coste. Dicha estimación del CTB, puede hacerse mediante la contratación de, por ejemplo, un servicio profesional de Test de Intrusión.

El modelo de evaluación de la inversión en seguridad, consiste en valorar cuánta pérdida potencial podría ahorrarse con una inversión. Por lo tanto, el valor monetario de la inversión tiene que compararse con el valor monetario de la reducción del riesgo (entendiendo como riesgo, la probabilidad e impacto de que una determinada amenaza se materialice). Este valor monetario del riesgo, puede estimarse mediante una evaluación cuantitativa.

La evaluación cuantitativa del riesgo, se consigue determinando varios componentes de un riesgo. Definamos tres conceptos:

  1. Expectativa de pérdida única (SLE, Single Loss Expectancy). La SLE es la cantidad de dinero que se espera perder cuando se materializa un riesgo. En este enfoque, la SLE puede considerarse como el coste total de un incidente, suponiendo su única ocurrencia.Debido a la naturaleza específica de los ciberincidentes, la mayor complejidad es tener en cuenta todos los activos a los que afecta el incidente. Por ejemplo, un portátil robado no sólo costará la sustitución del propio portátil, sino que también supondrá una pérdida de productividad, de reputación, de tiempo de soporte informático y, posiblemente, el coste de la pérdida de propiedad intelectual.El coste total de un incidente debe incluir el coste de las pérdidas directas (tiempo de inactividad del sitio web, sustitución del hardware, sustitución de la pérdida de datos, etc.) y el coste de las pérdidas indirectas (tiempo de investigación, pérdida de reputación, impacto en la imagen, etc.).No existen valores universales para los SLE. Lo que se incluirá en el cálculo del SLE de una amenaza dependerá de los objetivos de la empresa, los valores culturales y las medidas de seguridad existentes. Una entidad podría estimar el SLE de un portátil robado al valor del portátil en sí mismo (es decir, 2.000 euros), mientras que otra organización que trate con información altamente sensible valoraría esta pérdida en 100.000 euros, ya que afectaría a su imagen, sus posibles contratos y su ventaja competitiva.Aunque la SLE puede evaluarse de diferentes maneras, el cálculo del ROSI suele implicar comparación de diferentes SLE. Por lo tanto, es importante ser coherente en la forma de cálculo.
  2. Tasa anual de ocurrencia (ARO, Annual Rate of Occurrence). La ARO es una medida de la probabilidad de que un riesgo ocurra en un año. De nuevo, este dato es una aproximación y puede depender de muchos factores: la ARO de una terremoto, dependerá de factores múltiples, como la ubicación geográfica. La ARO de un fallo de disco está influido por la temperatura de funcionamiento y la intensidad de uso, la ARO de un robo dependerá de la ubicación del activo, etc.Y, por supuesto, la ARO también es dependiente de las medidas de defensa implantadas: la de un ataque de malware, disminuirá significativamente si existe un antivirus instalado en los equipos.
  3. Expectativa de pérdida anual (ALE, Annual Loss Expectancy). Representa la pérdida económica anual esperada de un riesgo específico en un activo concreto. Se calcula como: ALE = ARO * SLE

Cálculo del ROSI

Combina la evaluación cuantitativa del riesgo, y el coste de implementación de las medidas de seguridad para dicho riesgo. Compara el ALE, con el ahorro de costes asociados a la no pérdida.

ROSI = (Reducción de pérdidas ALE – Coste de solución) / Coste de solución

Implementar una solución de seguridad eficaz, reduce el ALE.  Por tanto, la reducción de pérdidas será igual al ALE original menos el modificado (mALE):

ROSI = (ALE – mALE – Coste de la solución) / Coste de solución

Equivalente a:

ROSI = (ALE * Ratio de mitigación – Coste de la solución) / Coste de solución

Pongamos un ejemplo. Una empresa está considerando invertir en una solución antivirus. Cada año, sufren 5 ataques de virus (ARO=5). El CISO, estima que cada ataque cuesta aproximadamente 15.000 euros en pérdidas de datos y productividad (SLE=15.000). Se espera que la solución antivirus bloquee el 80% de los ataques (ratio de mitigación=80%) y cuesta 25.000€ al año (tasas de licencia 15.000€ + 10.000€ para formación, instalación, mantenimiento, etc.). El rendimiento de la inversión en seguridad para esta solución se calcula de la siguiente manera:

ROSI = ((5 * 15000) * 0,8 – 25000) / 25000 = 140%

Por tanto, el antivirus es una solución efectiva en costes.

Espero que haya resultado interesante. Como se ve, existen modelos para evaluar el retorno de la inversión en ciberseguridad, lo que en entornos presupuestarios cada vez más restringidos, es de gran importancia para que los equipos de TI/Seguridad puedan solicitar los recursos que necesitan para cumplir con los objetivos estratégicos.


Suscríbete sin compromiso para recibir nuevos posts, y recibirás acceso gratuito a una Masterclass acerca de qué es la ciberseguridad, por qué es tan importante, y cómo acceder a un puesto en dicho sector. Si estás pensando en formarte en ese ámbito o reciclarte, te vendrá estupendamente.



Comparte esto con quien consideres que puede estar interesado!

Si quieres contactar por privado: oscar.iglesias@daferrasecure.com.

Gracias por leernos. Stay secure!

ETD

Deja un comentario