Cómo calcular el retorno de la inversión en seguridad

El Retorno sobre la Inversión en Seguridad (ROSI) cuantifica cuánta pérdida evita una organización a través del gasto en ciberseguridad, lo que permite justificar presupuestos y evaluar la efectividad de la estrategia. Utilizando análisis de riesgo cuantitativo, ROSI incluye la expectativa de pérdida anualizada, frecuencia de amenazas, costo de incidente único y la proporción de mitigación para estimar ahorros. Evaluaciones de riesgo precisas, consideraciones de cumplimiento y la preparación organizacional mejoran los cálculos y ayudan a priorizar las inversiones.

Durante mi carrera de más de 20 años en TI, he estado involucrado en proyectos desde muchos ángulos diferentes. He sido un usuario final y un consultor; he gestionado tecnología y la he vendido. Pero a lo largo de todo, ha habido un desafío constante: Cómo evaluar el retorno de la inversión para una tecnología que proporcionas o consumes.

Mi viaje me ha llevado a la seguridad informática, y a menudo escucho afirmaciones como: “Es difícil medir la efectividad de las inversiones en seguridad. Es como un seguro: sabes que lo necesitas, pero no puedes ponerle un valor”. Pero esta actitud no es viable si quieres ser un gestor de TI efectivo. Necesitas absolutamente un método para calcular con precisión tu retorno de la inversión en seguridad (ROSI), para que puedas evaluar si tu estrategia de ciberseguridad está cumpliendo con los objetivos de tu departamento y tu organización, y, si es necesario, argumentar a favor de un presupuesto adicional. En esta entrada de blog, describo cómo calcular ROSI.

Retorno clásico de la inversión

El retorno de inversión (ROI) es un ratio de rentabilidad para una inversión específica. Te ayuda a determinar si deberías realizar una compra o evitarla, o cómo ha rendido una inversión particular hasta la fecha.

La forma más sencilla de calcular el ROI es cuantificar algún tipo de “retorno” o “beneficio” y dividirlo por la “inversión” o “costo”:

Calculando el ROI

Por qué el ROI clásico no funciona para el retorno de la inversión en seguridad

Esta ecuación de ROI funciona solo para inversiones que generan resultados positivos, como el ahorro de costos o el aumento de ingresos. Pero, ¿qué es una inversión en seguridad? Este tipo de inversión ni aumenta los ingresos directamente ni proporciona una retribución inmediata; más bien, las inversiones en seguridad se tratan de la gestión de riesgos que resulta en la prevención de pérdidas y la mitigación de riesgos. Por lo tanto, un cálculo de ROSI debería indicar cuánta pérdida podría evitar la organización debido a la inversión en seguridad, por lo que necesitamos una fórmula diferente.

Elegir las métricas adecuadas para ROSI

Antes de profundizar en cómo calcular el ROSI, es importante asegurarse de que el proceso sea práctico y ofrezca resultados confiables y accionables. Es esencial asegurarse de que sus métricas sean:

• Fácil de recopilar de manera regular. Si se requiere mucho tiempo o dinero para obtener los datos necesarios, el cálculo de ROSI rápidamente se convertirá en una carga y superará cualquier beneficio percibido.
• Relevante para su negocio y los riesgos a los que se enfrenta.
• Relativamente preciso. Dado que estás estimando amenazas que podrían afectar a tu empresa, tus cálculos no serán 100% precisos. Acepta eso y haz lo mejor que puedas.

Cálculo del ROSI — la fórmula de análisis de riesgo cuantitativo

El Instituto SANS ofrece una fórmula de análisis de riesgo cuantitativo para estimar el ROSI que ha sido ampliamente adoptada. A diferencia de las simples fórmulas de ROI, se basa en su evaluación de los riesgos específicos que una determinada inversión en seguridad abordará. Por lo tanto, necesita comprender claramente su exposición al riesgo de seguridad y estimar el valor de cada activo que la inversión en seguridad pretende proteger. Aquí está la fórmula:

Fórmula de análisis de riesgo cuantitativo para calcular ROSI

Exploremos cómo calcular cada uno de los componentes en esta fórmula.

Expectativa de pérdida anualizada (ALE)

La expectativa de pérdida anualizada (ALE) es la pérdida monetaria total anual esperada por año como resultado de un factor de exposición específico si no se realiza la inversión en seguridad. Para calcular la ALE, multiplicamos la expectativa de pérdida única (SLE) por la tasa anualizada de ocurrencia (ARO):

Calculando ALE

Aquí están los dos componentes de la fórmula ALE:

• La expectativa de pérdida única (SLE) es la cantidad de dinero que se perderá en un único incidente de seguridad. Para estimar la SLE, necesitas inventariar tus datos y otros activos de TI y sumar los costos directos (p. ej., investigaciones técnicas y sanciones legales) e indirectos (p. ej., tiempo de inactividad del negocio y aumento de la tasa de abandono de clientes) del daño o pérdida de esos activos. ­
• La tasa anualizada de ocurrencia (ARO) es la frecuencia estimada o expectativa de que una amenaza golpee dentro de un año. Este es un número directo y se puede deducir de los registros históricos. Por ejemplo, si una amenaza en particular ha golpeado su organización solo una vez en los últimos 10 años, tiene un ARO de 0.1; si una amenaza ocurre alrededor de 10 veces cada año, tiene un ARO de 10.

Relación de mitigación

La tasa de mitigación es el porcentaje de riesgos que abordaría la inversión en seguridad.

Según Sonnenreich, Albanese y Stout — algunos de los primeros investigadores en abordar el problema de cuantificar el valor de los controles de seguridad — está bien si su relación de mitigación de riesgos es aproximada. El mejor enfoque es evaluar el número predicho de riesgos mitigados basándose en un algoritmo de puntuación que usted elija. Incluso si los datos para el modelo ROSI son inexactos, usar este algoritmo de manera repetible y consistente le permitirá comparar el valor relativo de diferentes inversiones en seguridad.

Ejemplo

Vamos a estimar el ALE y la proporción de mitigación para un escenario ficticio y usarlos para calcular el ROSI de una inversión de seguridad propuesta.

Supongamos que sabes que tus servidores de archivos tienen carpetas compartidas que contienen archivos con información sensible a los que todos en tu empresa tienen acceso. Eres consciente de que esta sobreexposición de datos aumenta el riesgo de compromiso y pérdida de datos, pero no conoces el número exacto ni la ubicación de las carpetas. Para reducir este riesgo, tu empresa está considerando invertir en una solución para descubrir datos sensibles. Para determinar si esta inversión está justificada, necesitas hacer cálculos.

Predices que si no cuentas con la solución, tendrás un promedio de 10 incidentes de seguridad por año (ARO = 10). Cada incidente podría llevar a una violación que cueste alrededor de $40,000 en pérdida de datos, multas, productividad perdida y negocio perdido (SLE = 40,000). Por lo tanto, el ALE es 400,000.

Se espera que la solución propuesta de descubrimiento de datos mitigue este riesgo en un 94% (tasa de mitigación = 94%). El costo estimado de compra y gestión de la solución es de $60,000.

Así que puedes calcularlo utilizando la fórmula ROSI de arriba de la siguiente manera:

Cálculo de muestra de ROSI

Con este cálculo, se puede argumentar que esta inversión ahorrará a la empresa alrededor de $316,000 ($400,000 * 0.94 – $60,000), lo que representa un retorno de inversión del 526%.

También puedes utilizar esta fórmula para evaluar el ROSI de una inversión existente. Solo asegúrate de realizar una evaluación de riesgos precisa y entender la exposición al riesgo de tu empresa.

Modificar la fórmula ROSI con métricas adicionales

Puede modificar la fórmula de análisis de riesgo cuantitativo incluyendo criterios adicionales que sean específicos de la industria o simplemente más importantes para su organización. Aquí hay algunos ejemplos:

• Perfil de riesgo frente a empresas del mismo sector — Comparar su presupuesto de seguridad y ejecución con sus homólogos en su industria puede ser muy útil. Investigaciones específicas del sector le ayudarán a identificar las mejores prácticas cuantitativas, aprender qué amenazas encuentran sus homólogos y cómo las abordan, y ver referencias para orientarse. Aconsejo comenzar con investigaciones realizadas por Gartner.
• Estado de cumplimiento — Si su empresa está sujeta a una nueva norma de cumplimiento o desea mejorar su cumplimiento con una existente, debe incluir su estado de cumplimiento como un factor al evaluar las inversiones en seguridad. Puede recopilar estos datos realizando auditorías internas regulares para verificar si sus procesos se alinean con los marcos de seguridad exigidos por la norma, revisando sus calificaciones en auditorías recientes y determinando en qué áreas necesita trabajar.
• Preparación organizativa para abordar incidentes — Escribí sobre simulaciones de seguridad ("juegos de guerra") en otra entrada de blog. Divides a tus profesionales de seguridad en dos grupos: un equipo ataca tu infraestructura y el otro la defiende. Al realizar estos juegos de vez en cuando, podrás rastrear el rendimiento de los miembros de tu equipo durante el ataque, probar la efectividad de tu programa de seguridad e inversiones, y comparar los resultados obtenidos con los de juegos anteriores. Por ejemplo, puedes observar cuánto tiempo necesitó el equipo para detectar y responder al ataque y qué individuos tuvieron un mejor desempeño y quiénes necesitan formación adicional.

Conclusión

Tomarse el tiempo para calcular el ROSI antes de realizar inversiones y calcularlo regularmente para las inversiones existentes puede ofrecer más beneficios de los que podría pensar. Calculado con precisión, el ROSI le proporcionará los datos accionables y fiables que necesita para determinar si sus esfuerzos realmente apoyan su estrategia de seguridad informática y reducen los riesgos cibernéticos, decidir si su gasto actual en seguridad está justificado, ajustar su presupuesto reasignando recursos a problemas prioritarios o solicitar inversiones adicionales.