Tema 4: Gestión económica.

Seguridad de la información
ISO 27016 (II)

Docente autor: Fernando Moreno Alvarez. MScIS, CISM

 Tema 4: Gestión económica. Seguridad de la información
ISO 27016 (II)
Introducción

La aplicación de la economía a la gestión de seguridad de la

información requiere los datos apropiados del programa de gestión
de seguridad de la información para ser utilizados como factores de
entrada en cualquier herramienta de toma de decisiones económicas
utilizadas por la organización. Este proceso es sencillo para las
consideraciones económicas financieras, pero es más difícil para su
consideración no financiera.

Las decisiones económicas implican la priorización de bienes

limitados disponibles y recursos de servicio para optimizar el logro de
los objetivos organizacionales. Estas decisiones económicas son
igualmente aplicables a la gestión de seguridad de la información
como a otras partes de la organización.
 Tema 4: Gestión económica. Seguridad de la información
ISO 27016 (II)
1.1.Beneficios económicos de la gestión de inversiones de seguridad

Las valoraciones de los activos de seguridad de la información deberían

realizarse según los criterios de confidencialidad, integridad y disponibilidad
(y algunos aspectos adicionales de seguridad de la información requeridos
por la organización).
Tipo de valor Descripción
Físico Suma de los activos materiales que componen una
organización
Cliente La valoración de los negocios generados por la cartera de
clientes de la organización
Social Valoración de la percepción que la sociedad en general tiene
de la organización
Reputación Valoración de la percepción que los competidores,
proveedores, clientes, accionistas, gobiernos y otros
componentes de las partes interesadas tienen de la
organización
Intangible/Lógico Suma de los activos intangibles que componen una
organización. Los activos intangibles también deberían incluir
la información manejada por una organización: estratégica,
negocios, etc.
Legal y Regulatorio Sanciones y / o multas potenciales que pudieran derivarse de
un incumplimiento
 Tema 4: Gestión económica. Seguridad de la información
ISO 27016 (II)
1.1.Beneficios económicos de la gestión de inversiones de seguridad

Tipo de
Categoría
valor
Descripción Activo Valor Una organización debería completar
El valor total podría
dividirse a los procesos
la valoración de sus activos de
Los activos
de negocio
relacionados con
información, considerando los
Partes dentro
definidos para
poder ejecutar y
activos específicos,
tales como los
diferentes grupos de interés que
A Organización del ámbito del
SGSI.
mantener el
negocio en el
derechos de propiedad
intelectual, bases de
incluyen:
tiempo. datos, recursos TIC,
etc. a los que se
podrían aplicar los
valores. a) Activos tangibles que componen
Los activos
definidos para una organización.
Clientes poder ejecutar y El valor definido para
B
2da y 3era
partes
individuales, mantener el los activos b) Valor de negocio generado por la
suministradores. negocio en involucrados.
relación a una cartera de clientes.
parte definida.
El valor total podría c) Activos intangibles como la
dividirse a los procesos
Cualquiera de
las partes Los activos
de negocio información, la percepción del cliente,
relacionados con
interesadas en
los aspectos de
definidos para
poder ejecutar y
activos específicos, el valor de marca, la percepción
Partes tales como derechos
C
interesadas
seguridad de
información de
mantener el
negocio en
de propiedad social.
intelectual, bases de
la organización, relación a una
datos, recursos TIC,
tales como parte definida.
etc. a los que se
propietarios.
podrían aplicar los
valores
Los activos que
Valor del impacto en la
podrían
Intereses comunidad que luego
D Sociedad comprometer el
comunitarios es transferido a la
interés de la
organización
comunidad.
 Tema 4: Gestión económica. Seguridad de la información
ISO 27016 (II)
1.2. Costos Económicos

Una organización que funcione bien necesita un sistema de gestión de seguridad

de la información que asegure que sus activos de información estén protegidos de
los efectos adversos, mientras que al mismo tiempo estén disponibles para
aquellos que necesitan utilizar dicha información para la entrega de la organización
sostenible de sus objetivos de negocio.

Los requisitos comunes asociados con la determinación de

los costos y beneficios a ser alcanzado por una organización
para cumplir con sus objetivos de negocio están asociados
típicamente con:
 Tema 4: Gestión económica. Seguridad de la información
ISO 27016 (II)
1.2. Costos Económicos

Los costos de un programa de gestión de seguridad de la información para

apoyar a determinados objetivos de negocio deberían cubrir todo el ciclo de
vida del programa mediante un enfoque basado en el riesgo. Las áreas a ser
cubiertas pueden incluir:

Los informes y procedimientos (incluyendo cualquier tipo de

auditoría a los clientes, terceras partes, o auditorías internas
u otros enfoques de aseguramiento) también deberían ser
incluidos en los costos.

Del mismo modo, los costos asociados a la formación y el

mantenimiento de la sensibilización de las personas que
operan o utilizan los controles de seguridad de la
información deberían ser incluidos en los costos.
 Tema 4: Gestión económica. Seguridad de la información
ISO 27016 (II)
1.3 Aplicación de cálculos económicos de las inversiones.

Para lograr los objetivos de seguridad de la información, un caso de negocio tiene que ser
presentado e incluir la gestión económica de la seguridad de la información basado en un
modelo de cálculo.

Una razón fundamental del caso de negocio como soporte para las inversiones en seguridad
de la información, es la inclusión de los costos, los ingresos y la rentabilidad.

Como todo caso de negocio será único, se debería considerar un enfoque específico en cada
caso. La gestión de inversiones de seguridad de la información no es muy diferente a la
gestión usada para justificar las inversiones destinadas al marketing para crear un impacto
en las ventas, u otra inversión organizacional. Los beneficios en términos de ingresos y
rendimientos son muy pocas veces conocidos y tienen que ser de igual manera estimados.
 Tema 4: Gestión económica. Seguridad de la información
ISO 27016 (II)
1.3 Aplicación de cálculos económicos de las inversiones.
Los casos de negocios se pueden clasificar en dos tipos:

Categoría Tipo Descripción del Ejemplos de SGSI Cálculos de

del /Alcance tipo de modelo de características
modelo de negocio
negocio
Cálculo de alto
Un caso típico es la
nivel de los
implementación,
Alto nivel y más valores de
fusión o adquisición
conceptual. Esto oportunidad
de un SGSI de otra
significa que el caso para la
organización.
describe la seguridad organización y
Toda la
A organización
de la información
Se supone que el
los costos de la
aplicada a la totalidad implementación
SGSI de "toda la
o una parte y
organización” se
importante de la funcionamiento
aplica a los límites
organización. del modelo de
del alcance
negocio.
acordado.
Un caso sobre la
base de una actividad
profesional o una Podría haber
actividad de varios cálculos y
seguridad de la resultados que
información. pueden
necesitar ser
 nivel de los
implementación,
Alto nivel y más valores de
fusión o adquisición
conceptual. Esto oportunidad
Tema 4: Gestión económica. Seguridad de la información
significa que el caso
de un SGSI de otra
para la
organización.
Toda la
describe la seguridad ISO 27016 (II)
organización y
A organización
de la información
Se supone que el
los costos de la
1.3 Aplicación
aplicada a la totalidad
SGSI de "todade cálculos
la económicos
implementación de las inversiones.
o una parte y
organización” se
Los importante
casos de negocios se de la clasificar en dos tipos:
pueden funcionamiento
aplica a los límites
organización. del modelo de
del alcance
negocio.
acordado.
Un caso sobre la
base de una actividad
profesional o una Podría haber
actividad de varios cálculos y
seguridad de la resultados que
información. pueden
necesitar ser
El caso se refiere a Un caso típico, es agregados.
un cambio de parte una externalización
Parte de la
de la empresa y de las TIC, centro de Un cálculo de los
organización
describe la seguridad cómputo y / o valores y costos
como
de la información activos como es generalmente
proceso /
aplicada al cambio o aseguramiento de fácil de definir,
departament
B o / función y /
la inversión para la una web, el aumento pero puede ser
organización con de la protección del necesario
o activo /
múltiples efectos perímetro, un centro estimarlo para
activo y / o
sobre la seguridad de de protección de modelos
de control /
la información. equipo contra complejos de
controles
incendios, negocios.
El caso describe la despliegue IDS, etc.
seguridad de la Se recomienda
información aplicada un rango de
a un activo o un estimaciones de
conjunto de activos, los valores pero
donde se debería no los costos.
aplicar uno o varios
controles.
 Tema 4: Gestión económica. Seguridad de la información
ISO 27016 (II)
1.3 Aplicación de cálculos económicos de las inversiones.

La aplicación de los modelos a un caso de negocio puede ser visto

como una jerarquía. El método se puede aplicar en varias capas y si es
conveniente se puede totalizar, acumular o agregar.

Enfoque de "abajo hacia arriba / Top - Down" para la

compilación de un caso de negocios de Gestión de
Seguridad.
 Tema 4: Gestión económica. Seguridad de la información
ISO 27016 (II)
2.Identificación de Partes Interesadas y objetivos para la definición de
valores.
Partes interesadas en el sector público y Privado

Organizaciones del sector público y privado en los sectores industriales en los

que la seguridad de la información es un objetivo principal de negocio (como la
banca, gobierno, salud y defensa). Claramente dependen del establecimiento y
del mantenimiento de la seguridad de la información como una parte
fundamental de su valor de marca y la imagen, y la verdad está una parte
inherente de sus productos y servicios.

Sociedad y la comunidad Salud Pública y Seguridad

En la era de la sociedad de la información y con el uso creciente de
las tecnologías de información y comunicación (TIC) los derechos
de información, de intimidad y de autor deben ser especialmente
protegidos, ya que se trata de derechos fundamentales, con lo que
su vulneración o transgresión puede conllevar lesiones a la esfera
más personal de un individuo. También es posible que existan
colisiones entre estos derechos, precisamente como consecuencia
del uso de la tecnología.
Se ha venido incrementando el interés en la seguridad de la
información en la salud pública (información médica del paciente)
que se almacena en forma digital. Algunas veces los médicos
necesitan acceder a esta información para poder tomar las
mejores decisiones sobre el tratamiento del paciente, y los
pacientes tienen el derecho a determinar cómo y cuándo se va a
compartir la información médica de ellos.
 Tema 4: Gestión económica. Seguridad de la información
ISO 27016 (II)
2.Identificación de Partes Interesadas y objetivos para la definición de
valores.

Información Personal
En los casos en que la información se refiera a las personas y su intimidad, la norma tendrá un
efecto beneficioso, ya que es probable que la protección de la información personal y sensible
sea mejorada en las organizaciones que utilizan este estándar en asociación con un sistema de
gestión de seguridad de la información.

Para la mayoría de las organizaciones de la gestión de las grandes reservas de información

personal es una de las zonas donde se encuentran mayores retos de seguridad de la
información. Un compromiso de la seguridad de la información personal podría dar lugar a
externalidades negativas.

Medio ambiente
La norma ISO 27016 no afectará directamente al medio ambiente en un grado
significativo. Indirectamente la norma tendrá un efecto positivo sobre el medio
ambiente, ya que es probable que la información crítica para la gestión eficaz del
medio ambiente reciba una mejor protección en las organizaciones que lo utilizan en
asociación con un sistema de gestión de seguridad de la información que puede ser en
la actualidad la práctica.
 Tema 4: Gestión económica. Seguridad de la información
ISO 27016 (II)
3. Modelos Económicos para la seguridad de la información..

Modelo de Valor Básico (BVM)

El modelo del valor básico se aplica tanto para el comportamiento positivo (rendimiento),
como para el negativo (costos). La evaluación y presentación de los resultados se debería
presentar en una tabla con el conjunto completo de valores tantos positivos como negativos,
como balance general.

El Modelo de Valor Básico tiene tres zonas con distintas características como se muestra a
continuación:

Los valores económicos directos hacen referencia a la pérdida material o inversiones directas.
En esta zona los valores pueden ser más precisos, por lo que la incertidumbre es menor.

Los valores económicos indirectos son extensiones de los valores directos y reflejan los valores
adicionales y más intangibles de pérdidas o ganancias. Los valores indirectos tienen una mayor
incertidumbre y, como tal, pueden tener rangos. Algunos de estos valores, podrían ser,
pérdidas de producción, o el aumento de la administración, entre otros.

Los valores económicos extendidos son los afectados por los valores directos e indirectos y
pueden ser bastante substanciales. Los valores extendidos tienen un mayor rango y deben ser
calculados utilizando la misma base que los valores
 Tema 4: Gestión económica. Seguridad de la información
ISO 27016 (II)
3. Modelos Económicos para la seguridad de la información..

Modelo negativo a positivo)

El modelo negativo a positivo es una aproximación para convertir los valores Negativos a
valores positivos, y se basa en desarrollo de preguntas alternativas Tales como:

La respuesta a estas preguntas en combinación con el principio del

Modelo de Valor Básico creará una tabla de equilibrio con cuatro
cuadrados, como se muestra a continuación
 Tema 4: Gestión económica. Seguridad de la información
ISO 27016 (II)
3. Modelos Económicos para la seguridad de la información..

Modelo Costos de Protección vs Teoría del valor

El modelo de costos de protección vs teoría del valor se basa en alcanzar un punto de

equilibrio óptimo, el cual se puede alcanzar mediante la aplicación de los costos de
protección y el valor del riesgo. Este punto óptimo entre los costos de protección y del
valor de riesgo, se alcanza cuando la reducción del riesgo será menor que el costo de la
protección.
 Tema 4: Gestión económica. Seguridad de la información
ISO 27016 (II)
3. Modelos Económicos para la seguridad de la información..

Modelo ROSI

En el mundo de las finanzas, la inversión de capital debe medirse por su efectividad para
generar rentabilidad para la organización. Aquí es donde entra el cálculo del retorno de
la inversión (ROSI) para la evaluación de una inversión.

Para que una inversión se justifique, debe expresar en términos cuantitativos por qué
debe suceder. Las propuestas con mayor potencial de rentabilidad generalmente ganan;
por eso las propuestas de seguridad a menudo pierden a menos que haya un evento
importante.

Este concepto de evaluación simple se aplica a todas las inversiones, incluida la seguridad.
La fuerza de una inversión se mide normalmente por la certeza y el tamaño del
rendimiento que proporcionará.
 Tema 4: Gestión económica. Seguridad de la información
ISO 27016 (II)
3. Modelos Económicos para la seguridad de la información..

3.4. Modelo Costo/Beneficio

El modelo costo-beneficio es a menudo utilizado para evaluar la conveniencia de una

decisión determinada, el análisis a realizar, deberá identificar la rentabilidad de las
diferentes alternativas o propuestas con el fin de comprender si los beneficios superan a
los costos (es decir, si vale la pena realizar la inversión), y en qué medida.

El objetivo del modelo es medir la eficacia de las inversiones, de cada uno de las
alternativas o propuestas a tener en cuenta.

La siguiente es una lista de pasos que comprenden un análisis genérico de costos y beneficios:

• Establecer los proyectos o alternativas de inversión

• Compilar y determinar la lista de actores clave (los que tienen posición o influencia para la
toma de decisiones).
• Seleccionar y determinar todos los elementos de relacionados con la inversiones y sus costos y
beneficios generados.
• Predecir los resultados (costos/beneficios) a lo largo de la duración del proyecto o inversión
realizada.
• Aplicar la tasa de descuento (también podría ser la tasa financiera interna)
• Generar las recomendaciones de selección de inversión.
 Tema 4: Gestión económica. Seguridad de la información
ISO 27016 (II)
3. Modelos Económicos para la seguridad de la información..

3.4. Modelo Costo/Beneficio

El modelo costo-beneficio es a menudo utilizado para evaluar la conveniencia de una

decisión determinada, el análisis a realizar, deberá identificar la rentabilidad de las
diferentes alternativas o propuestas con el fin de comprender si los beneficios superan a
los costos (es decir, si vale la pena realizar la inversión), y en qué medida.

El objetivo del modelo es medir la eficacia de las inversiones, de cada uno de las
alternativas o propuestas a tener en cuenta.

La siguiente es una lista de pasos que comprenden un análisis genérico de costos y beneficios:

• Establecer los proyectos o alternativas de inversión

• Compilar y determinar la lista de actores clave (los que tienen posición o influencia para la
toma de decisiones).
• Seleccionar y determinar todos los elementos de relacionados con la inversiones y sus costos y
beneficios generados.
• Predecir los resultados (costos/beneficios) a lo largo de la duración del proyecto o inversión
realizada.
• Aplicar la tasa de descuento (también podría ser la tasa financiera interna)
• Generar las recomendaciones de selección de inversión.
 Tema 4: Gestión económica. Seguridad de la información
ISO 27016 (II)
4. Casos de Negocio.

Para el desarrollo del caso de negocio, se desarrollarán 7 pasos o

etapas que permitan definir de manera detallada, todos los aspectos
necesarios para que la junta o alta gerencia pueda identificar la
mejor opción de inversión en seguridad con sustento en un caso de
negocio. Las etapas a desarrollar en el caso serán:
 Tema 4: Gestión económica. Seguridad de la información
ISO 27016 (II)
4. Casos de Negocio.

Un caso de negocio no es más que una fotografía en un momento dado. No

debe ser creado y revisado solo una vez para determinar si proceder o no con
una inversión para luego ignorarlo o, en el mejor de los casos, volver a
considerarlo en la revisión pos implementación.

El caso de negocio es una herramienta operacional que debe ser actualizada

continuamente durante todo el ciclo de vida económico de una inversión y
aprovechada para dar soporte a la implementación y ejecución de un
programa de seguridad, incluyendo la realización de beneficios.
Esto se debe hacer cuando cambien los costos o beneficios proyectados,
cuando cambien los riesgos, o como preparación para las revisiones de etapas.
Concretamente en cuanto a los riesgos, deben ser monitoreados y controlados
durante todo el ciclo de vida del programa o proyecto mediante un proceso
iterativo de identificación, de evaluación y tratamiento de riesgos.