Una guía metodológica para el cálculo del retorno a la inversión (ROI) en seguridad informática

Transcripción

1 Una guía metodológica para el cálculo del retorno a la inversión (ROI) en seguridad informática Nicolás Sánchez Acevedo * Juan Sebastián Segura Castañeda 1. Introducción 1.1. El problema 1.2. Estudio base de la investigación 1.3. Pregunta de investigación y objetivos 1.4. Importancia de la investigación Tabla de Contenido 2. Revisión de Literatura 2.1. Historia y evolución de la Seguridad Informática 2.2. Conceptos y modelos Actuales de la Seguridad Informática Objetivos de la Seguridad Informática Principios de la Seguridad Informática Confidencialidad Integridad Disponibilidad Servicios de la Seguridad Informática Autenticación Autorización No repudio Auditabilidad Definición de Seguridad Informática 2.3. Definición de Seguridad Informática 2.4. Retorno a la Inversión (ROI) en Seguridad Informática Modelos propuestos para el cálculo del ROI en seguridad informática 3. Análisis Preliminar 3.1. Introducción 3.2. Administración de Riesgos Cómo favorece o aporta la Administración de Riesgos en el proceso investigativo del Cálculo de ROI en seguridad informática? 3.3. Métricas en Seguridad Informática 4. Modelo propuesto para el retorno de la inversión 4.1. Introducción 4.2. Explicación del Modelo 5. Guía Metodológica 5.1. Introducción 5.2. Caracterización del ejemplo a desarrollar * nicolas.sanchez@javeriana.edu.co juan.segura@javeriana.edu.co 1

2 5.3. Guía metodológica para el cálculo del retorno de la inversión en seguridad informática (ROSI) Proceso No.1: Análisis de riesgos Caracterización de la organización Identificación de amenazas Identificación de vulnerabilidades Análisis de controles existentes Determinación del número de ocurrencias Determinación del impacto Determinación del nivel de riesgo Recomendaciones de control Proceso No.2: Estimación del ROSI Estimación para el año Estimación para el año 2 en adelante 6. Conclusión 7. Referencias 2

3 Una guía metodológica para el cálculo del retorno a la inversión (ROI) en seguridad informática Nicolás Sánchez Acevedo * Juan Sebastián Segura Castañeda Resumen El presente documento presenta los avances de la investigaciones adelantadas sobre el cálculo del retorno de la inversión en seguridad informática, para lo cual se ha revisado la evolución de la seguridad de la información, los conceptos generales de la seguridad informática y los elementos asociados con el retorno de la inversión, los cuales serán utilizados para plantear una alternativa para la estimación del ROI. La alternativa planteada fue revisada a la luz de conceptos como la administración de riesgos y las métricas de seguridad, las cuales deben ser refinadas de acuerdo con los criterios de negocio que se plantean en las organizaciones. En los últimos capítulos de este documento, se presentan los detalles del modelo propuesto, y una guía metodológica propuesta para el fin ya descrito. Palabras claves: seguridad informática, retorno, inversión, ROI, administración de riesgos, análisis de riesgos, métricas. 1 Introducción 1.1 El problema Muchas organizaciones hoy en día, son amenazadas constantemente en sus activos, lo que puede representar miles o millones de dólares en pérdidas [HARR03]. Las vulnerabilidades en los sistemas de información pueden representar problemas graves, por ello es muy importante que las empresas contemporáneas comprendan los conceptos necesarios para combatir y defenderse de los posibles ataques a su información. En la actualidad, la información es el bien de mayor valor para las empresas [ALSI05]. El progreso de la informática y de las redes de comunicación no sólo ha sido un beneficio para las mismas, debido a que tienen mayores niveles de sistematización, sino que generan un mayor nivel de prevención y responsabilidad frente a las amenazas sobre dicha información. La seguridad de la información tiene como propósito proteger la información organizacional, independiente del lugar en donde se encuentre, ya que esta se puede encontrar en diferentes medios como por ejemplo en papel impreso, en los discos duros o incluso en la memoria de las personas que la conocen [ALSI05]. Por esto, la seguridad de la información es un asunto importante para todos, pues afecta directamente a los negocios de una empresa como a los individuos que hacen parte de ella. Es por ello que hoy en día las empresas buscan la mejor forma de asegurar la organización y los recursos de la misma. En consecuencia surgen, tanto las empresas dedicadas a la seguridad informática y a los servicios de consultoría para el aseguramiento de los recursos tecnológicos y * nicolas.sanchez@javeriana.edu.co juan.segura@javeriana.edu.co 3

4 humanos que se ven involucrados en la organización, como los departamentos encargados de la seguridad de tecnología de información de las organizaciones. En ambos casos, es creciente la necesidad de establecer formas para justificar frente a los clientes, o a la alta gerencia, las ganancias o beneficios que se pueden llegar a obtener al implementar un proyecto de seguridad de la información realizando las respectivas inversiones en ellos [WILS03]. Existen algunas iniciativas de guías, modelos, estándares, metodologías definidas que permiten calcular los beneficios (tangibles e intangibles) que la organización podría percibir por concepto de una inversión realizada en seguridad informática [SCHW03], es decir el ROI de la seguridad informática, pero generalmente son de uso privado y es necesario pagar por ellas. Por tanto, y considerando estos esfuerzos iniciales, se plantea esta investigación para proponer una guía metodológica abierta a la comunidad para sugerir una manera básica de calcular el retorno a la inversión en seguridad informática. 1.2 Estudio base de la investigación Cuando se habla del retorno a la inversión, en cualquier área del conocimiento, se hace referencia al rendimiento o ganancia que una o más inversiones, retorna en un momento dado, y que es más rentable que no haber hecho dichas inversiones. De esta manera, al referirse al retorno a la inversión en seguridad informática, se está hablando de todas las inversiones que encierra esta área para una organización; y un área como éstas se ha caracterizado por ser una fuente de gastos, debido a todos los requerimientos de la seguridad de la información y la tecnología [WILS03]. Para entender los aspectos relevantes de la seguridad informática con respecto a las inversiones, y los requerimientos que llevan a estas, se necesitan examinar los principales conceptos e implicaciones que la seguridad informática tiene en una organización, como son, sus objetivos, principios, servicios y los recursos que soportan dichos conceptos. Se comienza con una revisión de la historia y la evolución a través de los años de la seguridad informática, para observar y analizar el crecimiento de los aspectos positivos y negativos, así como la evolución del área tratada en esta investigación. A continuación, los conceptos, objetivos, principios, y servicios de la seguridad informática, ayudan a crear una base para la definición de la misma, y a comprender el modelo actual de la seguridad informática. Luego, se hace una revisión de cómo la administración de la seguridad informática ayuda a hacer un acercamiento y cumplimiento de los objetivos y principios antes mencionados, y qué implica ejecutar una gestión de administración de este estilo: tareas, responsabilidades, conocimientos, etc. En seguida, se explora el concepto básico de ROI (siglas en inglés de, Return on Investment), con una definición elemental aplicable a cualquier área del conocimiento. Y finalmente, la revisión de la literatura base para la investigación, concluye con un estado del arte de los principales avances y propuestas existentes alrededor de la medición y cálculo del ROI en seguridad informática, algunos modelos y críticas al tema. Con base en los temas anteriormente mencionados, la propuesta de esta investigación busca proponer una guía metodológica para el cálculo del retorno a la inversión (ROI), basada en la administración de la seguridad informática, que incluye la administración de riesgos en la organización, en busca del cumplimiento de los objetivos y principios de esta área. 4

5 1.3 Pregunta de investigación y Objetivos El objetivo principal de esta investigación es proponer y evaluar una guía metodológica para el cálculo del Retorno a la Inversión (ROI) en Seguridad Informática, aplicando dicha guía a un caso de estudio específico. Esta investigación trata de dar respuesta a la pregunta: cómo calcular el retorno a la inversión en seguridad informática? Para responder a esta pregunta, primero se realiza una revisión y síntesis de temas como, la historia de la seguridad informática, sus conceptos y modelo, su administración y un estado del arte de las investigaciones y modelos propuestos para el cálculo del ROI en dicha área. La síntesis de los temas anteriores, provee una base y los medios para proponer una guía, que en este caso es una guía metodológica, que luego será probada y analizada según sus resultados. Finalmente se evalúa la viabilidad y aplicabilidad de la guía propuesta, dentro de los límites especificados para el caso de estudio. 1.4 Importancia de la investigación La presente investigación está inmersa en uno de los temas actuales del campo de la tecnología, más debatidos y con más campo abierto de investigación. El retorno a la inversión en la seguridad informática, ha sido un tema interesante, y que según los juicios de algunos, es una pérdida de tiempo [WILS03], por la dificultad que representa medir algunos aspectos intangibles que contiene esta área. Esta investigación hace un aporte al tema de ROI en seguridad informática, sintetizando algunas de las propuestas realizadas, conceptos y teoría básica necesaria para el estudio de dicho tema, finalizando con una propuesta de una guía metodológica para realizar dichos cálculos, con su respectiva evaluación y análisis, que puede ser base para futuras investigaciones. 5

6 2 Revisión de Literatura La base literaria de esta investigación está sustentada en diversos temas, pero centrada fundamentalmente en los conceptos principales de la seguridad informática, retorno a la inversión y algunos modelos de cálculo. Sin embargo, como se verá a lo largo de la investigación, esta revisión de literatura provee solo un fragmento de la información necesaria para el desarrollo de la guía metodológica. La siguiente revisión de literatura, busca construir una base de conocimiento y una perspectiva sobre los temas concernientes a la investigación. Este capítulo está organizado en 4 secciones. En la primera de ellas, se encuentra una discusión acerca de la evolución de la seguridad informática, seguida de los conceptos y modelo actual de la seguridad informática, que sirven como base a la administración de la misma, para finalmente concluir con la revisión de los conceptos y referencias relativas al retorno a la inversión Historia y evolución de la Seguridad Informática Los problemas de seguridad surgen desde antes de la interconexión de computadoras en los años 70 s y 80 s; estos problemas se remontan a los inicios del desarrollo de las máquinas de tiempo compartido, en donde se presentaban riesgos de acceso no autorizado y modificación de información. Previo a estos desarrollos, se hablaba de seguridad desde los inicios de la Segunda Guerra Mundial, donde surgieron los problemas de comunicación segura entre las diferentes tropas en misión; para solucionar estos problemas se empezó a hablar del cifrado de mensajes. Aunque la seguridad computacional, realmente tuvo un auge importante cuando se conectaron los computadores entre sí para compartir información, poco a poco se conectaban mayor cantidad de equipos llegando a un crecimiento exponencial, que presentaban cada vez mayor riesgo para asegurar la información. A continuación se describen algunos de los hechos históricos que han marcado los inicios y evolución de la seguridad informática [MACM02]: A finales de los años 50 los computadores trabajaban con registros especiales para definir particiones en memoria para el uso de programas separados y asegurar que un programa en ejecución no pueda acceder a particiones de otro programa. La memoria virtual ofrece mecanismos que permiten proteger la información como si estuviese es su propia partición de memoria; las particiones y el concepto de memoria virtual proveen una de las primeras medidas de protección de seguridad en ambientes multi-usuarios. A principios de los años 60, los sistemas de tiempo compartido proveían almacenamiento de información a usuarios individuales. Este sistema fue seguro usando control de acceso, que permitía al dueño de la información, especificar y autorizar accesos a otros diferentes usuarios. La primera característica de la seguridad fue la protección de contraseñas de usuarios, en donde los sistemas de autenticación codificaban la imagen de estas. En 1968 el sistema Multics del MIT, presentó algunas características de seguridad y privacidad, donde se prestó mucha atención a identificar un pequeño kernel en el sistema operativo, que garantizara que todas las políticas de seguridad del sistema fueran permitidas. En 1969, vino la aparición de ARPANET (Advanced Research Project Agency Network) comenzando con cuatro nodos, hasta convertirse en lo que es hoy en día Internet. Este continuo 6

7 aumento de interconexiones, incrementó el riesgo de acceso a usuarios externos no autorizados y asimismo, el conocimiento sobre temas de seguridad a los administradores y propietarios de las redes. El Unix-Unix System Mail (UUCP) en 1975 permitía a usuarios Unix ejecutar comandos en un sistema Unix secundario. Este permitía que, correos electrónicos y archivos fuesen transferidos automáticamente entre sistemas, lo que también permitía a los atacantes borrar o sobre escribir los archivos de configuración. Como no había una administración central del UUCP en la red, el ARPANET hizo un acercamiento al control de los problemas de seguridad que no se aplicaban. En los siguientes años se empezó a hablar sobre criptografía con llave pública y firmas digitales, debido a la necesidad de permitir comunicación confidencial entre dos usuarios. Esto ha generado que la criptografía sea un tema importante en el desarrollo de la seguridad informática. En 1978 (Morris y Thompson) se realizó un estudio que demostraba que adivinar contraseñas a partir de datos personales de los usuarios, como son el nombre, teléfono, fecha de nacimiento, era más eficiente que decodificar las imágenes de dichas contraseñas. Estos fueron los primeros pasos de la ingeniería social, dentro del área de seguridad informática, y en donde evolucionan así mismo, los principios de la misma, y en específico, la confidencialidad. En el mismo año nace una nueva preocupación de la seguridad informática, que consiste en la protección de los pagos electrónicos a través de la red que comenzaron a hacerse disponibles a los clientes. Este tipo de transacciones se tradujo en la necesidad de un alto nivel de seguridad, evolucionando así los conceptos de confidencialidad e integridad. El crecimiento exponencial de la red, comenzó a requerir un DNS (Directory Name Server) dinámico, que actualizara la base de datos de asociación de nombres y direcciones. Estos nuevos servidores se convierten en otro blanco para las atacantes y suplantadores. Los virus informáticos tienen un crecimiento notable y se convierten en una seria amenaza para los administradores de seguridad informática y para los usuarios. En 1988, se destaca el primer ataque a gran escala, a través de gusanos cibernéticos, que podrían llegar a infectar en horas un porcentaje significativo de la red. Este hecho permite reconocer las vulnerabilidades que se tienen en la red. La seguridad encuentra otro interés profundo en los años previos a 1993, donde los atacantes utilizan métodos de sniffing (rastreo) para detectar contraseñas, y spoofing (suplantación) o usan los mismos computadores con identificadores falsos para transmitir sus propios paquetes al ganar accesos al sistema. A raíz de dicho crecimiento de las redes, se comenzaron a presentar abusos computacionales causados por los mismos usuarios. Estos abusos se pueden clasificar en [BAIL95]: robo de recursos computacionales, interrupción de servicio, divulgación no autorizada de información y modificación no autorizada de información. A partir de estos abusos, y a partir de la evolución de los principios de la seguridad informática a través del tiempo, hoy en día se tiene un modelo actual basado en dichos principios de confidencialidad, integridad y disponibilidad, que buscan proteger la información, recursos y personas que hacen uso de esta, tratando así de evitar el continuo crecimiento a dichos abusos. Dichos principios han ido evolucionando a través del tiempo, lo que no significa que hayan surgido solo hasta esta época. Se pueden definir además seis clases de abusos técnicos por los que debe preocuparse la seguridad informática [BAIL95]: Errores humanos, abuso de usuarios autorizados, exploración directa, 7

8 exploración con software especializado, penetración directa, mecanismos de subversión de seguridad. En el caso de errores humanos, son simples errores cometidos por los usuarios que pueden llegar a representar grandes daños al sistema. El abuso de usuarios autorizados, se refiere a los abusos que hacen los usuarios al entregarles demasiada confianza o privilegios sobre algún sistema. La exploración directa, se presenta cuando el usuario ingresa teniendo autorización, pero sin ser previsto por los operadores del sistema. Por su parte, la exploración con software especializado, consiste en exploraciones en donde se hace uso de herramientas especializadas para acceder a recursos no autorizados o generar irregularidades en los sistemas. Algunos de estos software empleados son: los troyanos que son ocultados en aplicaciones comunes y comerciales, los virus que tienen la capacidad de reproducirse, las bombas de tiempo, entre otros. Ahora bien, en la penetración directa, a diferencia de la exploración directa, no se tiene autorización, pero los intrusos encuentran alguna falla o vulnerabilidad, y generan algún tipo de código malicioso para explotarla y obtener el control del sistema. Por último en los mecanismos de subversión de seguridad, se ataca el control interno para entrar sin autorización a un sistema, sin ser detectado. Hoy en día, y con el paso del tiempo, los avances tecnológicos y la investigación, la seguridad informática ha venido estructurándose de manera tal que se ha convertido en un arte y ciencia, con principios fundamentales y una importante cantidad de teoría en todos sus aspectos. Con esta historia, como base literaria de la investigación, se busca entonces, comprender la evolución de los objetivos y principios de la seguridad informática vigentes en los modelos actuales, para aplicarlos y tenerlos como base para el desarrollo de la guía metodológica Conceptos y Modelo Actual de la Seguridad Informática La Seguridad Informática ha sido uno de los temas más mencionados en la literatura en la última década, debido a su dinamismo y constantes cambios e innovaciones. Todo sistema es desarrollado y cambiado varias veces a lo largo de su ciclo de vida [BAIL95], debido a nuevas funcionalidades que son adicionadas, políticas, mejoras, etc. Todos estos cambios y nuevas funcionalidades alteran los requerimientos de seguridad de los sistemas, y obligan a una reevaluación de dichos requerimientos del sistema [BAIL95], para lograr una revaloración de las nuevas vulnerabilidades y debilidades del nuevo sistema o sistema modificado, y así implementar soluciones ante estos nuevos requerimientos. Junto a estos grandes cambios que actualmente atañen a todas las organizaciones, han venido surgiendo cada vez más retos, que se convierten no sólo en un problema tecnológico sino también en un problema cultural de dichas organizaciones [ALSI05]; y entre dichos desafíos se encuentra la seguridad informática, o también caracterizada como, Seguridad de Tecnología de Información (Seguridad de TI) [BRIN95b], punto a discutir en la presente sección Objetivo de la Seguridad Informática Los continuos desafíos de la Seguridad Informática que han venido surgido, han llevado a esta área a definir metas y propósitos, los cuales han sido resumidos en su objetivo principal, y que permite hacer un acercamiento al cumplimiento de los nuevos y cambiantes retos. Es así como la Seguridad Informática busca dar apoyo a los objetivos y misión de las organizaciones, a través de la protección de sus principales recursos y activos: la información, la tecnología que la soporta 8

9 (hardware y software) y las personas que la utilizan y/o conocen [ALSI05] [STON01], a través de la selección y aplicación de protecciones adecuadas, manteniendo así, el debido cuidado de sus recursos físicos, financieros, reputación, y otros activos tangibles e intangibles [NIST95]. Para el cumplimiento de dicho objetivo, la Seguridad Informática ha definido tres principios básicos (confidencialidad, integridad y disponibilidad) y 4 servicios (autenticación, autorización, no repudio y auditabilidad), los cuales serán detallados en secciones posteriores. Desafortunadamente, la Seguridad Informática algunas veces ha sido vista, no sólo como una fuente de gastos y grandes inversiones [WILS03], sino como un obstáculo para la misión de la organización, debido a la imposición de reglas, procedimientos y protecciones mal seleccionadas, que llegan a ser molestos para los usuarios, administradores, y para los mismos sistemas y su respectiva administración. [NIST95]. Sin embargo, al procurar una buena administración de la Seguridad Informática, y hacer una adecuada selección de procedimientos, reglas y protecciones, puestas en su debido lugar, se dará apoyo a la organización al cumplimiento de su misión. [NIST95] Principios de la Seguridad Informática Al ser la protección de los activos, uno de los objetivos principales de la seguridad informática, esto significa mantenerlos seguros frente a las diversas amenazas a las que se enfrentan y que pueden afectar su funcionalidad de diferentes maneras: corrupción, acceso indebido e incluso hurto y eliminación. [ALSI05], la Seguridad Informática se basa en la preservación de unos principios básicos, los cuales son enumerados y definidos por diferentes autores, con algunas variantes y algunas constantes. Cada uno de dichos principios tiene un propósito específico dentro del marco del objetivo de la seguridad informática [HARR03]. Para el desarrollo de esta investigación, se definen los siguientes principios básicos: Confidencialidad Este principio tiene como propósito asegurar que sólo la persona o personas autorizadas tengan acceso a cierta información. La información, dentro y fuera de una organización, no siempre puede ser conocida por cualquier individuo, si no por el contrario, está destinada para cierto grupo de personas, y en muchas ocasiones, a una sola persona. Esto significa que se debe asegurar que las personas no autorizadas, no tengan acceso a la información restringida para ellos. La confidencialidad de la información debe prevalecer y permanecer, por espacios de tiempo determinados, tanto en su lugar de almacenamiento, es decir en los sistemas y dispositivos en los que reside dentro la red, como durante su procesamiento y tránsito, hasta llegar a su destino final [STON01] Integridad La integridad tiene como propósito principal, garantizar que la información no sea modificada o alterada en su contenido por sujetos no autorizados o de forma indebida. Así mismo, la integridad se aplica a los sistemas, teniendo como propósito garantizar la exactitud y confiabilidad de los mismos. Debido a esto, la integridad como principio de la Seguridad Informática, se ha definido en dos partes: integridad de los datos e integridad de los sistemas. 9

10 La integridad de los datos, se refiere a que la información y los programas solo deben ser modificados de manera autorizada por las personas indicadas para ello. Estas alteraciones pueden darse por inserciones, sustituciones o eliminaciones de contenido de la información. Por su parte, la integridad de los sistemas, hace referencia a que todo sistema debe poder cumplir su función a cabalidad, sin ninguna violación o modificación del mismo, en su estructura física y/o lógica, sin perder necesariamente su disponibilidad [NIST95] [ALSI05] Disponibilidad Este principio tiene como propósito, asegurar que la información y los sistemas que la soportan, estén disponibles en el momento en que se necesiten, para los usuarios autorizados a utilizarlos. Al referirse a los sistemas que soportan la información, se trata de toda la estructura física y tecnológica que permite el acceso, tránsito y almacenamiento de la información [ALSI05]. Adicionalmente, la disponibilidad hace referencia a la capacidad que deben tener los sistemas de recuperarse ante interrupciones del servicio, de una manera segura que garantice el continuo desarrollo de la productividad de la organización sin mayores inconvenientes [HARR03]. Se han presentado varias interpretaciones y discusiones alrededor de los principios de integridad y confidencialidad; dichas discusiones radican en la pertinencia de dichos principios a los sistemas que soportan la información. Algunos autores argumentan que la confidencialidad y la integridad conciernen únicamente a la información, mientras que la disponibilidad atañe a la información y a los sistemas que la soportan [BRIN95b]. Mientras que otros, plantean la integridad y la disponibilidad como principios relativos a dichos sistemas que soportan la información [ALSI05] [HARR03] [STON01]. En la presente investigación se tienen en cuenta los dos principios mencionados anteriormente, como fundamentales para los sistemas que soportan la información, debido a que la violación de la integridad de un sistema, física o lógicamente, no significa necesariamente su pérdida de disponibilidad, aunque de forma contraria, la falta de disponibilidad de un sistema, posiblemente puede estar ligada a una violación previa de su integridad, ya sea en su estructura física o lógica. En conclusión, disponibilidad, integridad y confidencialidad son principios básicos de la seguridad informática, y su adecuada comprensión es necesaria en esta investigación, para la correcta identificación de problemas y las soluciones apropiadas a ellos a través de la administración de la seguridad, con el objetivo de calcular el retorno a la inversión sobre dichas soluciones, [HARR03] Servicios de la Seguridad Informática Para lograr hacer cumplir la preservación y el cumplimiento de los tres principios básicos de la seguridad informática, discutidos anteriormente, se han planteado cuatro servicios principales, que sirven como base para la implementación de una infraestructura de seguridad de TI en una organización [STON01]. Las definiciones planteadas a continuación, son resultado del compendio de las definiciones dadas por los siguientes autores [NIST95], [STON01], [GASS88], [ALSI05], [BRIN95b], [HARR03]. 10

11 Autenticación Este servicio busca asegurar la validez de una identificación proporcionada para acceder cierta información, proveyendo medios para verificar la identidad de un sujeto, básicamente, de tres formas: por algo que el sujeto es, por algo que el sujeto tiene o por algo que el sujeto conoce Autorización El servicio de autorización permite la especificación y continua administración de las acciones permitidas por ciertos sujetos, para el acceso, modificación, o inserción de información de un sistema, principalmente, mediante permisos de acceso sobre los mismos No repudio La administración de un sistema de información debe estar en capacidad de asegurar quién o quiénes son los remitentes y destinatarios de cualquier información. Es por esto que este servicio provee los medios y mecanismos para poder identificar quien ha llevado a cabo una o varias acciones en un sistema, para que los usuarios no puedan negar las responsabilidades de las acciones que han llevado a cabo Auditabilidad Este servicio proporciona los mecanismos para la detección y recuperación ante posibles fallas o incidentes de seguridad, mediante el registro de todos los eventos y acciones hechas en un sistema Definición de Seguridad Informática Luego de comprender los objetivos principales y los principios básicos de la seguridad informática, esta se puede definir como, la definición y posterior implementación de protecciones, políticas y procedimientos, en búsqueda de la preservación de la integridad, disponibilidad y confidencialidad de la información, los recursos que la soportan (hardware, software, firmware, dispositivos de comunicación) y los individuos que la utilizan o conocen. Para llegar a cumplir los principios de la seguridad informática y lograr un buen funcionamiento de sus servicios, se debe tener una buena base de administración de los recursos, tanto tecnológicos como humanos, así como la información y los procesos que la seguridad busca proteger, tratando de llevar un manejo de eficiente y eficaz de dichos recursos. En el siguiente capítulo, se presentarán los conceptos generales de la administración de la seguridad informática, y cómo ésta apoya los procesos de seguridad informática en una organización Administración de la Seguridad Informática Diariamente se escucha en varios medios (periódicos, televisión, Internet, foros de discusión, reportes de fabricantes de productos y proveedores de servicios, etc.) acerca de incidentes de seguridad informática, como ataques de virus que causan pérdidas y daños que pueden llegar a representar grandes sumas de dinero para una organización, ataques remotos de hackers a instituciones financieras, ataques a los sitios Web de grandes y prestigiosas empresas y corporaciones, etc. Este tipo de incidentes son los que hacen cada vez más interesante la seguridad informática, pero así mismo significa tareas y responsabilidades diarias de esta área para prevenir 11

12 ataques como los antes mencionados. Es por esto que la administración de la seguridad informática es uno de los temas más importantes en la estructura de seguridad informática de una organización [HARR03]. Administrar la Seguridad Informática de una organización, es un trabajo fundamental para conservar confiables, los sistemas de la misma. La tarea de administración, comprende la administración de riesgos, definición, creación e implementación de políticas de seguridad, procedimientos, estándares, guías, clasificación de información, organización de la estructura de seguridad de la compañía, y la educación de los individuos de la organización, entre otras. [HARR03] [ALSI05] Como se mencionó en la sección anterior, la clave de un programa de seguridad informática, es la protección de los activos más importantes de la compañía. Estos activos pueden ser identificados mediante los análisis de riesgos, además de la identificación de las vulnerabilidades y amenazas que pueden llegar a afectar dichos activos, y estimar los costos y daños que tendría para la compañía, la materialización de una o más de dichas amenazas. Como resultado de los análisis de riesgos se puede lograr tener un presupuesto de las inversiones necesarias para la protección de dichos activos, contra los riesgos anteriormente identificados, no solo en cosas materiales, sino también en implementación de políticas, educación del personal, desarrollo de guías o estándares, etc. [ALSI05]. El administrador no es un simple observador de un sistema y de sus operaciones posteriores a su instalación. Esta labor también incluye tareas previas de la instalación del sistema, tales como validar y estructurar las políticas de seguridad para el mismo, aunque esto no quiere decir que esta administración pertenece solo al área técnica, también tiene tareas administrativas como son la creación de políticas, hacer que se cumplan y actualizarlas cuando sea necesario. La administración de seguridad debe tener en cuenta que el desarrollo y crecimiento de un sistema, las redes, etc., producen cambios constantes en las políticas de seguridad, en la protección de bienes y las amenazas establecidas, lo cual requiere también de una debida gestión y administración. [HARR03] Una de las formas más utilizadas para hacer administración de la seguridad informática, se basa en la utilización de estándares. El crecimiento de las necesidades de gestión de la seguridad informática en las organizaciones, ha motivado la creación de estándares locales e internacionales para la administración de tecnología de información, y en particular la seguridad de dicha información, y todo lo que a ésta concierne [OUD05]. La historia de los estándares se remonta a los inicios del siglo XX, con los primeros usos que se dieron a la electricidad; se comenzaron a desarrollar entonces aplicaciones eléctricas bajo los primero estándares establecidos por la International Electronic Committee (IEC). Más adelante con el paso del tiempo, fue surgiendo la necesidad de nuevos y mejores estándares en más y más áreas del conocimiento, y así nació la International Organisation of Standarisation (ISO) [OUD05]. Pero no sólo existen estándares reconocidos internacionalmente, sino también han surgido estándares locales o nacionales, referentes a la administración de seguridad informática. La razón principal de la creación de estos estándares locales, radica en la casuística y especificidad que pueden llegar a tener las mejores prácticas en el área, en un país o región determinada [OUD05]. Uno de los factores positivos de la existencia actual de los estándares, es la cantidad que hay de los mismos, ya que esto permite a una organización particular, acoplarse o acomodarse a uno de estos 12

13 estándares, según sus características y necesidades, o en una situación determinada. Adicionalmente, otro punto a favor de las organizaciones gracias a los estándares, no sólo es el ahorro de recursos, tanto de dinero, como de personas y tiempo, en desarrollar estándares propios, sino que pueden utilizar estándares que han sido demostrados a partir de las mejores prácticas en el área, que para el caso de esta investigación, son las mejores prácticas en administración de la seguridad informática [OUD05]. En dicha área, la administración de seguridad informática, existen varios estándares, nacionales e internacionales, que están orientados a ser una guía para las organizaciones en la formación y mantenimiento de la infraestructura de seguridad informática de las empresas. A continuación se listan algunos de los estándares más importantes que existen en el área: ISO/IEC :2004 : Information technology -- Security techniques -- Management of information and communications technology security -- Part 1: Concepts and models for information and communications technology security management ISO/IEC TR :1998 : Information technology -- Guidelines for the management of IT Security -- Part 3: Techniques for the management of IT Security ISO/IEC TR :2000 : Information technology -- Guidelines for the management of IT Security -- Part 4: Selection of safeguards ISO/IEC TR :2001 : Information technology -- Guidelines for the management of IT Security -- Part 5: Management guidance on network security ISO/IEC 17799:2005 : Information technology -- Security techniques -- Code of practice for information security management British Standard 7799 BS7799 Estándares publicados por NIST (Nacional Institute of Standards and Technology) COBIT Security Baseline ISF Standard of Good Practice Para lograr los objetivos de la administración de la seguridad informática, ésta se vale de controles que se utilizan para hacer cumplir las directivas que esta área ha fijado para la organización. Dichos controles se clasifican en: controles administrativos, controles técnicos y controles físicos. [HARR03] Los controles administrativos, hacen referencia al desarrollo y publicación de políticas, estándares, procedimientos, investigación del personal, entrenamiento y el cambio de los procedimientos de control. Los controles técnicos, se refieren a los mecanismos de control de acceso, administración de recursos y contraseñas para su acceso, métodos de autenticación y autorización, dispositivos de seguridad, y la configuración de la infraestructura técnica de seguridad de la organización. Los controles físicos corresponden a los controles físicos de acceso a diferentes locaciones de la organización, bloqueo de sistemas, monitoreo de los lugares críticos de almacenamiento y manejo de información, etc. [HARR03] Dentro de la administración de la seguridad de la información, se deberían tener en cuenta las inversiones requeridas para el desarrollo de los procedimientos, políticas, estándares, etc., anteriormente mencionados, y para que dichas inversiones lleguen a retornar los beneficios o ganancias esperadas, se debería también conocer la forma de estimar las ganancias o posibles pérdidas de dichas inversiones. Posteriormente en la sección a continuación, se expondrán algunas 13

14 ideas y acercamientos planteados por diferentes autores acerca del cálculo del retorno de las inversiones en seguridad informática Retorno a la Inversión (ROI) en Seguridad Informática Retorno sobre la inversión: Métrica financiera de rentabilidad que muestra el número de veces que una inversión retornará a la empresa en determinado período de tiempo. [MEKA] El ROI consiste en la ganancia que se obtendrá en un periodo de tiempo, debido a una inversión realizada. La estimación de ROI no es una tarea fácil, ya que deben tenerse en cuenta dos factores importantes, los cuantitativos y los cualitativos, Los factores cuantitativos, se refieren a lo que puede ser medido numéricamente, los factores cualitativos, están orientados hacia los aspectos intangibles, como son el valor de pérdida de datos o un mejoramiento esperado en eficiencia operacional. [MCLE03]. Greg McLean y Jason Brown [MCLE03], afirman que la seguridad no debe ser planeada alrededor del suministro de un retorno en la inversión en dólares devueltos en la administración de procesos, debe ser planeada con el objetivo de proporcionar un nivel de comodidad a la alta gerencia, mantener a los intrusos fuera de la red, y los errores u omisiones deben mantenerse a un nivel de riesgo aceptable, etc. Estos factores deben tenerse en cuenta al estimar el retorno de la inversión, siendo que son factores intangibles, por lo tanto difíciles de medir, estos pueden presentar problemas inherentes en tratar de crear una fórmula para estimar su inversión, debido a que dichos factores pueden presentar diferentes niveles de preocupación para cada tipo de organización. Puede que muchas organizaciones tengan la misma infraestructura, pero cada una puede tener un conjunto único de requerimientos de seguridad, y sus bienes pueden requerir diferentes niveles de atención [FOST04]. Como ejemplo podemos ver los diferentes daños que puede causar un mismo tipo de ataque a un servidor de un banco, o a un servidor de hosting. Las técnicas de ataque pueden ser similares, pero las diferencias de pérdidas a dichos ataques pueden ser grandes. Los daños causados en el servidor del banco pueden generar un alto nivel de pérdida de información valiosa, en tanto que la pérdida de información de un servidor hosting puede no tener mayor costo. Debido a estas dificultades, se han generado polémicas y varios puntos de vista de diferentes autores los cuales proponen posibles intentos de calcular el ROI en seguridad informática. En la siguiente sección se presentarán algunos de estos modelos propuestos Modelos propuestos para el cálculo del ROI en seguridad informática La universidad de Carnegie Mellon trabajó con CERT (Computer Emergency Response Team) para estudiar la supervivencia de un sistema en red. Su propuesta se basó en recolectar datos empíricos sobre seguridad y amenazas de seguridad. Las variables existentes para esta prueba, fueron la inversión en seguridad (nivel de protección), y la supervivencia (impacto) de la infraestructura de tecnología de información. Basados en estas variables, se realizaron y se documentaron ataques a un sistema, haciendo uso de una máquina que generaba ataques, los cuales eran configurables para que fueran en ocasiones más robustos que en otros casos. También fue necesario tener variación en los niveles de inversión en seguridad para lograr concluir frente a estas variables, el impacto o supervivencia del sistema en prueba. Después de realizar dichas pruebas, variando el nivel de inversión en seguridad y robustez de los ataques, se evaluó la supervivencia del sistema atacado. Los gráficos resultantes (Supervivencia vs 14

15 Inversión en Seguridad), presentaron una curva smokestack, que refleja que a mayor inversión, mayor supervivencia del sistema, pero se muestra claramente un punto de quiebre, en el cual, para aumentar la supervivencia a partir de este punto, era necesario tener una mayor inversión para lograr aumentar en tan solo un poco el nivel de supervivencia del sistema [FOST04]. En la Universidad de Idaho [FOST04], se realizó otra investigación para estimar el ROI. Esta consistió en la construcción de un IDS (Sistema de Detección de Intrusos) y asignar valor a los activos tangibles, los cuales eran medidos en dólares y los intangibles con valores relativos. De esta completa valoración, los investigadores lograron calcular resultados teóricos a partir de lo que llamaron Pérdida Anual Esperada (ALE): que es definido como el costo del daño causado por un ataque, multiplicado por la frecuencia de ocurrencia durante un año. Según [FOST03] los estudios de la Universidad de Idaho para estimar el ROI, puede ser reducido a: (ALE x EFICIENCIA DEL IDS) COSTO DEL IDS = ROI Por su parte, Marcia J. Wilson [WILS03] propone una serie de pasos para tener en cuenta al momento de tratar de estimar el ROI en seguridad informática, estos son: Identificar los activos de información: recursos, productos, infraestructura computacional de red, la información referente a la organización, los clientes y empleados. Perder confidencialidad, integridad y disponibilidad pueden representar pérdida tangible en dólares y/o pérdidas intangibles, como puede ser de reputación o imagen organizacional. Identificar amenazas y vulnerabilidades: una amenaza es cualquier evento que causa un resultado indeseado. Las amenazas pueden ser de diferentes tipos y causan diferentes efectos. Los terremotos, los pleitos, entre otros, son amenazas que podrían afectar los activos de la organización. Las vulnerabilidades son debilidades o la ausencia de protección adecuada. Hacer una valoración de los activos: valorar los activos es importante, ya que puede ayudar a priorizar la necesidad de protegerlos. Esta tarea puede llegar ser realizada a partir de una matriz que liste cada uno de los activos en riesgo, y ser clasificados en una escala de alto, medio o bajo según las necesidades del sistema. Una vez se tenga conocimiento de lo que se tiene, es necesario comprender cuánto le costaría a la organización la pérdida de estos, versus el costo que tendría protegerlos. A partir de estos principios se podría llegar a estimar el ROI en seguridad informática de una organización. A partir de este estudio, [WILS03] presenta algunas fórmulas que pueden ser empleadas para ayudar a calcular el ROI en seguridad. Entre estas encontramos: El Factor de exposición (EF): para un activo en particular, es el porcentaje de pérdida si un evento ocurriese. Pérdida Esperada (SLE): cantidad de dólares necesarios en caso de que ocurra un incidente. Tasa de ocurrencia anual (ARO): estimación de la frecuencia de ocurrencia de un evento. Puede ser estimado basado en tipos de vulnerabilidades y amenazas que son conocidas o han sido documentadas. Pérdida anual Esperada (ALE): SLE * ARO = ALE 15

16 La pérdida anual Esperada, puede llegar a ser útil para determinar el impacto causado por la materialización de una amenaza, a partir de este estimado se lograría determinar el ahorro que una inversión representa para un determinado riesgo. Por su parte, Eddie Schwartz en [SCHW03] da sus opiniones sobre las proposiciones de Marcia J. Wilson. Schwartz opina que las ecuaciones propuestas, son fórmulas estándar para la valoración cuantitativa de riesgos; pero hacen falta datos estadísticos en la mayoría de las organizaciones, para aplicar estas fórmulas. Por ejemplo, es muy escasa la información de ALE y ARO sobre vulnerabilidades y amenazas de seguridad, lo cual hace que al aplicar dichas fórmulas, esto se haga de forma incompleta. El ROI en seguridad informática, no es tangible, ya que el retorno no incrementa tangiblemente la productividad de los empleados, ni disminuye los costos operacionales. Sin embargo Greg McLean y Jason Brown [MCLE03] proponen buscar estimar el retorno de la inversión, listando los tipos de exposición y el costo que esto implicaría si llegase a ocurrir. Esta clasificación se realiza tanto para factores cuantitativos, como cualitativos, los cuales son clasificados en tres grupos: exposición financiera, procesos ineficientes y costos intangibles. Su propuesta también incluye una clasificación de inversiones junto con el costo que sería necesario para su implementación; estos serían agrupados en: inversiones de instalación e inversiones de mantenimiento. Este tipo de estimación se propone que debe hacerse cada tres años. A partir de estos datos la suma del costo de inversiones de instalación se divide en tres años y se suman a los costos de mantenimiento anual. Por lo tanto se suman las inversiones anuales y se restan los costos de exposición evitados con la inversión correspondiente. Esto permitiría, según [MCLE03], calcular una estimación de lo que se puede llegar a recibir después de hacer una inversión en seguridad. Como conclusión de las investigaciones citadas en la presente sección, es clara la necesidad de listar y valorar cada uno de los riesgos a los cuales esta expuesta una organización, junto con el impacto que podrían llegar a causar si llegasen a ocurrir. A partir de esta estimación se puede lograr una acercamiento de los costos e impacto que se lograría mitigar a partir de la inversión. La diferencia entre estos dos factores, podría llegar a resumir la estimación del ROI. En el próximo capítulo se presentarán elementos que serán de ayuda para lograr dicho objetivo. 16

17 3 Análisis Preliminar 3.1 Introducción Durante los últimos años, las inversiones en el área de seguridad informática de las organizaciones, han incrementado de manera notable, y esta tendencia se seguirá dando, debido al continuo crecimiento de dicha área en las compañías actuales. De esta manera, los fondos económicos de una organización destinados a la seguridad informática, se están incrementando cada vez más, siendo esto bien visto y bienvenido por los administradores de seguridad de dichas empresas, ya que de esta forma están logrando cubrir más y de mejor manera las brechas y requerimientos de seguridad en la organización, dando un mayor nivel de protección dentro de las mismas, y a su vez, a sus activos más importantes, buscando siempre el cumplimiento de los principios de la seguridad informática, y el buen funcionamiento de sus servicios, con base en gestión y administración adecuada de los recursos y procesos del área. Sin embargo, la seguridad informática no está siendo solamente un punto crítico para las inversiones, sino que a su vez, debe reflejar de la misma manera, el retorno de dichas inversiones económicas; es decir poder mostrar a la alta gerencia o a cualquier persona de la organización, los réditos o beneficios que las inversiones del área están dando. Es por esto, que los administradores de seguridad tienen la responsabilidad de demostrar, de alguna manera, la efectividad y valor de sus programas e infraestructuras de seguridad y las inversiones que se hacen en ella. [PAYN02] [FOUN03] Esta labor para los administradores de seguridad y todo su personal, ha iniciado una búsqueda de una forma para medir y poder demostrar dichos beneficios de las inversiones y la efectividad de la infraestructura de seguridad, con el objetivo de justificar los proyectos del área. Una de las formas de las que puede valerse el área de seguridad, es a través de las métricas en seguridad informática, soportado por un programa de métricas que las desarrolle, implemente y mantenga. [PAYN02] A su vez, las métricas pueden estar inmersas dentro de un proceso conocido como administración de riesgos, en donde las métricas pueden ayudar y apoyar el proceso de medición del impacto y la probabilidad de cada uno de los riesgos, y así determinar su nivel, para finalmente, apoyar y facilitar el proceso de toma de decisiones en la organización con respecto a la situación de seguridad informática, y tomar medidas tanto preventivas, como correctivas. En este capítulo, se presenta un análisis de los tres temas fundamentales descritos anteriormente, con miras al desarrollo de la guía metodológica, objetivo de esta investigación; ellos son: Administración de Riesgos, Métricas en Seguridad Informática y un análisis de algunos de los Modelos para el cálculo del retorno a la inversión propuestos y revisados en el capítulo anterior, Revisión de Literatura. El desarrollo de este capítulo permitirá plantear más adelante, el modelo propuesto para la construcción de la guía metodológica. 3.2 Análisis de Riesgos En esta sección, se analizará el papel que juega la administración de riesgos en el aseguramiento de las organizaciones, ya que este tiene un esquema interesente que nos ayuda a determinar en grado de exposición de riesgos que se tiene y analizar en que medidas deben ser mitigados. 17