Preguntas y Respuestas:
P: ¿Qué es ROSI?
R: ROSI es el Retorno Sobre la Inversión de Seguridad, derivado del conocido indicador financiero ROI, Retorno Sobre la Inversión.

P: ¿Entonces puede decirse que ROSI es un ROI especializado?
R: Efectivamente. ROSI busca justificar la inversión en seguridad de la información en términos monetarios. Para ello se tiene presente que los efectos de una implementación de seguridad en general no surgen en forma directa como beneficios económicos para una empresa, sino en todo caso como una reducción en las pérdidas que producen incidentes de seguridad como ataques, fallas o errores. ROSI puede tomarse como el componente financiero del caso de negocio de un proyecto de seguridad, con lo cual es más simple “llegar” a niveles de decisión gerenciales no precisamente técnicos.

P: ¿Cómo se maneja ROSI?
R: El esquema de trabajo parte de considerar que cada incidente produce pérdidas que se pueden estimar. Para ello se hacen cálculos del escenario original frente a cada incidente, y del que resultaría de aplicar salvaguardas o contramedidas para mitigarlo adecuadamente. La diferencia entre ambos resultados es el valor o beneficio de dichas salvaguardas. Entonces ROSI (análogamente al ROI) es igual a la relación entre el retorno y el costo de las contramedidas (o sea, la inversión en el ROI). El retorno -o ganancia incremental- resulta ser el valor (beneficio o ingreso bruto en el ROI) menos el costo de dichas contramedidas. Un ROSI aceptable debe ser positivo, es decir cuando el valor es mayor que el costo.

Read More

La diversidad de ambientes que vienen formando experiencia especialmente desde principios de esta década, muestra algunas visiones diferenciales y en parte contrastantes en temas de gran importancia para una empresa.

Seguridad Informática
Uno de esos temas, entre los más significativos, es que la mayoría de los “especialistas en seguridad” basan sus conocimientos y experticia solamente en el aspecto técnico tradicional de la seguridad, es decir del área IT, aunque una parte de ellos también consideran las cuestiones propias del “nuevo” aspecto de las comunicaciones y que ha hecho que hoy se hable de ICT o TIC.

Pero además del enfoque básicamente técnico, dichos especialistas en realidad sólo se manejan con vulnerabilidades y en parte también con amenazas bajo la forma de ataques, todo lo cual no es suficiente para hablar de los riesgos correspondientes.

Para un análisis o valuación de riesgos (risk assessment, RA) aunque se refieran a lo técnico, es necesario realizar también valuaciones de los activos, así como una identificación de las amenazas que puedan aprovechar y explotar las vulnerabilidades de esos activos. Recién entonces se pueden determinar los riesgos a partir de los tres factores mencionados, activos, vulnerabilidades y amenazas, cada uno medido en rangos apropiados de niveles (típicamente 3 para vulnerabilidades, 3 a 5 para amenazas, y 5 a 8 o aún más para activos).

Y si luego se trata de determinar qué se hace con los riesgos, en la mayoría de los casos corresponde mitigarlos a un nivel aceptable, para lo cual habrá que implementar determinadas medidas de seguridad.

El proceso es tal que, a partir de tales riesgos de características técnicas el enfoque más eficiente es realizar un análisis gap contra por ejemplo estándares técnicos como los establecidos por NIST en su serie 800, o bien una norma de enfoque corporativo como la ISO 27002 (anteriormente ISO 17799), para establecer qué controles y a qué nivel se los debe implementar para reducir aquellos riesgos a niveles aceptables.

Read More