Preguntas y Respuestas:
P: ¿Qué es ROSI?
R: ROSI es el Retorno Sobre la Inversión de Seguridad, derivado del conocido indicador financiero ROI, Retorno Sobre la Inversión.

P: ¿Entonces puede decirse que ROSI es un ROI especializado?
R: Efectivamente. ROSI busca justificar la inversión en seguridad de la información en términos monetarios. Para ello se tiene presente que los efectos de una implementación de seguridad en general no surgen en forma directa como beneficios económicos para una empresa, sino en todo caso como una reducción en las pérdidas que producen incidentes de seguridad como ataques, fallas o errores. ROSI puede tomarse como el componente financiero del caso de negocio de un proyecto de seguridad, con lo cual es más simple “llegar” a niveles de decisión gerenciales no precisamente técnicos.

P: ¿Cómo se maneja ROSI?
R: El esquema de trabajo parte de considerar que cada incidente produce pérdidas que se pueden estimar. Para ello se hacen cálculos del escenario original frente a cada incidente, y del que resultaría de aplicar salvaguardas o contramedidas para mitigarlo adecuadamente. La diferencia entre ambos resultados es el valor o beneficio de dichas salvaguardas. Entonces ROSI (análogamente al ROI) es igual a la relación entre el retorno y el costo de las contramedidas (o sea, la inversión en el ROI). El retorno -o ganancia incremental- resulta ser el valor (beneficio o ingreso bruto en el ROI) menos el costo de dichas contramedidas. Un ROSI aceptable debe ser positivo, es decir cuando el valor es mayor que el costo.

P: ¿Cómo se calculan las pérdidas por ataques o fallas?
R: Generalmente se trabaja con la métrica de gestión de riesgos conocida como ALE. Para ello se estiman los valores probables del impacto monetario y de la frecuencia anual de ocurrencia para cada incidente, de modo tal que el producto de ambas variables resulta ser el ALE correspondiente. Finalmente se suman los ALE individuales para obtener así las pérdidas probables totales a lo largo de un año.
Este procedimiento se aplica al estado de seguridad original sin tratar y al tratado con salvaguardas adecuadas, para determinar así lo que permiten ahorrar dichas salvaguardas, o sea el valor de las mismas.
Debido a las estimaciones y los valores discretos considerados, el ROSI obtenido guarda un margen importante de incertidumbre que dificulta el análisis y aprobación de un proyecto de esta naturaleza.

P: ¿Qué hacer entonces?
R: Una forma adecuada de producir estimados cuantitativos razonables consiste en aplicar probabilidades y estadística más la simulación Monte Carlo. Esta simulación es un método de producir múltiples muestras de los resultados a partir de números generados aleatoria e independientemente una y otra vez, que se aplican en cada caso a las variables de entrada en base a la distribución estadística que las caracterice.

P: ¿Cómo se aplica en este caso la simulación Monte Carlo?
R: Primero se establecen los tipos de distribución estadística de ambas variables, generalmente una distribución triangular para los impactos y una uniforme para las frecuencias de ocurrencia.
Además, en lugar de fijar una serie de valores discretos para ambas variables, se establecen rangos continuos cada uno con su mínimo y máximo, así como adicionalmente el valor más probable en el caso de la distribución triangular.
La simulación Monte Carlo, por su parte, trabajará dentro de los rangos de cada variable de entrada así como con la distribución estadística correspondiente.
Los resultados se presentan como un histograma de las distribuciones de frecuencias de probabilidades para los diferentes rangos de la variable de salida, así como las frecuencias acumuladas correspondientes.
Al finalizar el proceso se puede establecer con un elevado nivel de certidumbre, que el Valor de las salvaguardas (es decir el Ahorro a obtener por la aplicación de las medidas de seguridad) estará aceptablemente acotado entre un mínimo y máximo por ejemplo de un 10 y 90% respectivamente, o también caracterizado por el valor medio de la distribución. Otra medida es el Valor en Riesgo, VaR, que se toma para un percentil tan alto como 95 o más, con lo que se define respectivamente un 95% o más de confianza en dicho VaR.

P: ¿Y de todo esto cómo surge el ROSI?
R: Tal como comentara antes, el resultado final surge en dos pasos. Primero se determina el Retorno como igual a la diferencia entre el Valor recién determinado y el Costo de las salvaguardas. Y en segundo término el ROSI resulta de dividir dicho Retorno por el Costo en cuestión.

P: ¿Con todo lo comentado hasta aquí, se puede decir entonces que el análisis ROSI realizado es suficiente para justificar una inversión en seguridad de la información?
R: En muchos casos así será seguramente. Incluso el ROSI así determinado puede constituir el componente financiero adecuado de un business case sobre el caso.
De cualquier manera, pueden aplicarse algunas mejoras. Una de ellas puede ser significativa y aún importante en algunos casos muy especiales.

P: ¿Cuál sería esa mejora?
R: Este paso adicional consiste en considerar eventos de seguridad cuyo ALE normalmente no sumaría al VaR. Esos eventos se corresponden con incidentes de alto impacto pero de muy baja probabilidad de ocurrencia. Este escenario tan especial implica considerar distribuciones estadísticas de pérdidas con “colas anchas” (fat-tails) en los percentiles más altos, para lo cual se hace necesario aplicar la teoría de los valores extremos para reconocer así su efecto.

© Ing. Carlos Ormella Meyer