Alternativas al RoSI para la toma de decisiones en seguridad

La utilización del Return on Security Investment (RoSI) o Retorno de la Inversión en Seguridad ha sido bastante utilizada en el pasado con la intención de dar respuesta a la problemática de decidir la inversión en este área. El RoSI es muy similar en estructura y objetivos al concepto de Retorno de la Inversión (ROI […]

La utilización del Return on Security Investment (RoSI) o Retorno de la Inversión en Seguridad ha sido bastante utilizada en el pasado con la intención de dar respuesta a la problemática de decidir la inversión en este área. El RoSI es muy similar en estructura y objetivos al concepto de Retorno de la Inversión (ROI – Return on Investment) que se utiliza para justificar las decisiones de inversión tradicionales.

El cálculo del RoSI tiene cuatro etapas que se repiten para cada uno de los riesgos a estudiar [1]:

  1. Se define la Tase Anual de Ocurrencia (ARO – Annualized Rate of Ocurrence).
  2. Se identifica la Expectativa de Pérdida Simple (SLE – Single Loss Expectancy).
  3. Se calcula la Expectativa de Pérdida Anual (ALE – Annual Loss Expectancy)  como el resultado de ARO x SLE.
  4. Se compara la ALE sin inversión con la ALE si se realiza la inversión en seguridad + el coste de la inversión.

El gran problema que tiene el RoSI [y que hemos sufrido los que alguna vez hemos tratado de utilizarla] es que sólo tiene sentido cuando los cálculos se basan en datos existentes que sean estadísticamente significativos (para los que queráis un análisis detallado de esto, os recomiendo [2; 3 y 4]). Por este motivo, en Basilea II se hace tanto énfasis en los datos que se utilizan como base para los cálculos de riesgo operacional. No valen cualesquiera datos y además, demostrar que son válidos no es trivial, se deben realizar pruebas estadísticas que soporten su utilización.

En este sentido, enfrentados a la cruda realidad en la que NO contaremos con datos suficientes y estadísticamente significativos, tendremos que utilizar otros métodos como, por ejemplo, el denominado Hojas Coste Beneficio (CoBS – Cost Benefit Sheets) [5] que es muy similar al esquema propuesto por B. Schneier en 2006 [6] pero que impone un modelo con un orden que refleja los aspectos psicológicos de las evaluaciones y de forma que, una respuesta negativa a cualquiera de las preguntas, hace que, directamente, la propuesta de inversión sea rechazada.

El modelo consiste en, para cada una de las inversiones analizadas, hacerse las siguientes preguntas:

  1. ¿Cuáles son los riesgos que contempla?
  2. ¿Cuál es la intención de la inversión?
  3. ¿Cuál es el grado de efectividad de la inversión?
  4. ¿Cuál es la pérdida financiera y la probabilidad de ocurrencia?
  5. ¿Qué podría ocurrir si se rechazara la inversión?

La utilización de CoBS nos permitiría considerar todos los datos existentes a la hora de realizar las hojas y disponer de una documentación sistemática que permita justificar debidamente y revisar las decisiones de inversión. En definitiva se trataría de una particularización de un método más general utilizado desde el siglo XXI para la valoración de las inversiones públicas, el análisis coste-beneficio.

Síguenos en twitter.com/enplusone

Referencias: 

[1] Wei, Huaqiang; Frinke, Deb; Carter, Olivia; Ritter, Chris: Cost-Benefit Analysis for Network Intrusion Detection Systems. CSI 28th Annual Computer Security Conference, October 29-31, 2011, Washington, D.C. (2001)

[2] Klempt, Phillip; Schmidpeter, Hannes; Sowa, Sebstian; Tsinas, Lampros: Business Oriented Information Security Management – A Layered Approach. In: Proceedings of the 2nd International Symposium on Information Security (IS’07), Vilamoura (2007) 1835-1852.

[3] Tiller, Jim: The Business of Security. In: Information Systemas Security, Vol. 12, No. 5 (2003) 2-4

[4] Schneier, Bruce: Security ROI. In: Schneier on Security blog, 2 Sept 2008

[5]   Sowa, Sebastian; Tsinas, Lampros; Gabriel, Roland: BORIS – Business Oriented management of Information Security. In: WEIS, 2008

[6] Schneier, Bruce: Beyond Fear, Thinking Sensibly About Security in an Uncertain World. New York (2006)