CoBS: Alternativas al RoSI para la toma de decisiones

en seguridad
agosto 4, 2011 Deja un comentario
La utilizacin del Return on Security Investment (RoSI) o Retorno de la Inversin en Seguridad ha sido bastante utilizada en el
pasado con la intencin de dar respuesta a la problemtica de decidir la inversin en este rea. El RoSI es muy similar en
estructura y objetivos al concepto de Retorno de la Inversin (ROI Return on Investment) que se utiliza para justificar las
decisiones de inversin tradicionales.
El clculo del RoSI tiene cuatro etapas que se repiten para cada uno de los riesgos a estudiar [1]:
1.

Se define la Tase Anual de Ocurrencia (ARO Annualized Rate of Ocurrence).

2.

Se identifica la Expectativa de Prdida Simple (SLE Single Loss Expectancy).

3.

Se calcula la Expectativa de Prdida Anual (ALE Annual Loss Expectancy) como el resultado de ARO x SLE.

4.

Se compara la ALE sin inversin con la ALE si se realiza la inversin en seguridad + el coste de la inversin.
El gran problema que tiene el RoSI [y que hemos sufrido los que alguna vez hemos tratado de utilizarla] es que slo tiene
sentido cuando los clculos se basan en datos existentes que sean estadsticamente significativos (para los que queris un
anlisis detallado de esto, os recomiendo [2; 3 y 4]). Por este motivo, en Basilea II se hace tanto nfasis en los datos que se
utilizan como base para los clculos de riesgo operacional. No valen cualesquiera datos y adems, demostrar que son vlidos
no es trivial, se deben realizar pruebas estadsticas que soporten su utilizacin.
En este sentido, enfrentados a la cruda realidad en la que NO contaremos con datos suficientes y estadsticamente
significativos, tendremos que utilizar otros mtodos como, por ejemplo, el denominado Hojas Coste Beneficio (CoBS Cost
Benefit Sheets) [5] que es muy similar al esquema propuesto por B. Schneier en 2006 [6] pero que impone un modelo con un orden

que refleja los aspectos psicolgicos de las evaluaciones y de forma que, una respuesta negativa a cualquiera de las preguntas,
hace que, directamente, la propuesta de inversin sea rechazada.
El modelo consiste en, para cada una de las inversiones analizadas, hacerse las siguientes preguntas:
1.

Cules son los riesgos que contempla?

2.

Cul es la intencin de la inversin?

3.

Cul es el grado de efectividad de la inversin?

4.

Cul es la prdida financiera y la probabilidad de ocurrencia?

5.

Qu podra ocurrir si se rechazara la inversin?

La utilizacin de CoBS nos permitira considerar todos los datos existentes a la hora de realizar las hojas y disponer de una
documentacin sistemtica que permita justificar debidamente y revisar las decisiones de inversin. En definitiva se tratara de
una particularizacin de un mtodo ms general utilizado desde el siglo XXI para la valoracin de las inversiones pblicas,
el anlisis coste-beneficio.
Referencias:
[1] Wei, Huaqiang; Frinke, Deb; Carter, Olivia; Ritter, Chris: Cost-Benefit Analysis for Network Intrusion Detection Systems. CSI 28th
Annual Computer Security Conference, October 29-31, 2011, Washington, D.C. (2001)
[2] Klempt, Phillip; Schmidpeter, Hannes; Sowa, Sebstian; Tsinas, Lampros: Business Oriented Information Security Management
A Layered Approach. In: Proceedings of the 2nd International Symposium on Information Security (IS07), Vilamoura (2007)
1835-1852.
[3] Tiller, Jim: The Business of Security. In: Information Systemas Security, Vol. 12, No. 5 (2003) 2-4
[4] Schneier, Bruce: Security ROI. In: Schneier on Security blog, 2 Sept 2008
[5] Sowa, Sebastian; Tsinas, Lampros; Gabriel, Roland: BORIS Business Oriented management of Information Security. In: WEIS, 2008
[6] Schneier, Bruce: Beyond Fear, Thinking Sensibly About Security in an Uncertain World. New York (2006)