miércoles, 14 de septiembre de 2016

CISO, ¡ Enseñame la pasta !

En el post anterior estuve planteando cómo el CISO debe encontrar su misión y establecer las metas de su trabajo. Esa es la parte bonita del diseño de la estrategia de seguridad donde tenemos que pensar en cómo contribuimos al negocio y establecer el rumbo que luego sirva para medir nuestros logros. Como directivo, debemos diseñar cómo medir si nuestra gestión va alineada con las metas corporativas y si además estamos siendo productivos para el negocio.

Sin embargo, esa parte bonita del camino estratégico tiene que considerar también los factores internos que limitan nuestro campo de acción. No he estado presente en un Comité de Alta Dirección pero si me imagino planteando un Plan Director de Seguridad de la Información y ser interrumpido por el CEO o CIO de la organización para preguntar por el retorno de inversión. Una escena que puede caricaturizar esa situación pero que a la vez ilustra cómo "negocio" piensa y ve al área de seguridad es este trozo de la película "Jerry Maguirre" cuando el representante, desesperado, llama al deportista para tratar de convencerlo de que siga con él.


Me imagino al CISO con su Powerpoint, sus cuadrantes de riesgo y sus planes de acción esbozando la estrategia para gestionar todo eso y levantarse el CEO y espetarle: "Enseñame la pasta".

Una de las cosas que todo CISO debe tatuarse para recordar frecuentemente es que NEGOCIO sólo habla un lenguaje: Dinero. Por tanto, cualquier iniciativa, plan, actuación debe encarmarse en este contexto y debe contar con argumentos poderosos que justifiquen ese gasto/inversión.

Mucho se ha escrito sobre este tema, el famoso Return of Security Investment (ROSI) aunque todavía no existen formulas claras para responder.Algunas de las mejores reflexiones donde se plantea la cuestión se encuentran en los documentos Introduction to Return on Security Investment de ENISA  y Return On Security Investment (ROSI): A Practical Quantitative Model de Infosecwritters.

El CEO o el CIO de toda empresa, frente a un plan de seguridad, perfectamente puede preguntar en qué medida es rentable o cómo se amortizará la inversión. Es la pregunta envenenada contra la que debemos estar preparados de alguna forma. Como ya dije en el post anterior, nuestro mayor logro será evitar que algo interrumpa al negocio... pero ¿cómo medir aquello que somos capaz de evitar? ¿Cómo se rentabiliza la seguridad?

Esta pregunta, es envenenada por los siguientes motivos:

  • Exigen que se valore el esfuerzo por reducir el riesgo ... pero a menudo no se cuantifica el coste de "aceptarlo". Esta es una de las cosas con las que más frecuentemente tengo que luchar. Cuando planteamos un análisis de riesgos y el Comité de Seguridad/Dirección "Decide" no hacer nada, esa opción, es en sí misma también una decisión... y por tanto, tiene consecuencias. Lo que es dificil calcular es su coste aunque de alguna forma tendríamos que poder valorar el coste de la "inseguridad". Para ello, la materia prima esencial sobre la que trabajar para poder hacer alguna aproximación y cuantificar qué factura se paga por no estar adecuadamente protegidos son las incidencias. Todo fallo puede deberse a una ausencia de control consciente o inconsciente. Si por ejemplo, tenemos una oleada de correos con malware y generan determinados incidentes, deberíamos calcular cuanto gasto ha supuesto a la empresa cada uno de ellos. De esa forma, un plan de formación podría plantearse como un coste concreto que tendría por objetivo una reducción del número de incidentes y por tanto, una reducción del coste (Que ya se ha sufrido por esta casuística). Por desgracia, no es frecuente calcular qué cuesta la no prevención.
  • Tenemos que valorar cosas que no han sucedido pero podrían suceder. En muchas situaciones, conocer a priori el impacto es complejo porque un incidente tiene diferentes factores que calcular para tener una valoración completa de daños. Según el tipo de incidente y los activos afectados, los costes pueden ser directos como paradas operativas, cese de servicio, lucro cesante por caída de sistemas... pero también puede haber costes intangibles como daño reputacional, posibles sanciones legales, etc... que pueden engordar la factura a pagar una vez está resuelto del caso. Valorar lo que no ha sucedido no es trivial y debe tener unas ecuaciones claras que hagan racional y comprensible el criterio de estimación utilizado.
El reto no es trivial y cualquier valoración que proporcionemos será cuestionada. Por ese motivo, usemos el criterio que usemos, debemos tener claro cómo se justifica y tratar en la medida de lo posible de hacer fácilmente comprensible el modo de cálculo. En otras disciplinas también se emplean este tipo de estimaciones de futuro y son consideradas razonables. Este es básicamente el modelo de negocio de los seguros, hacer a priori un cálculo de daños a cubrir y definir la cuantía de las pólizas que debe cobrar. En cualquier caso, voy a plantear mi visión sobre el tema. Para ello, es necesario introducir algunos términos que serán necesarios a la hora de realizar estimaciones.

  • Single loss expectancy (SLE), es el coste de un incidente asumiendo una única ocurrencia en términos económicos. Es necesario destacar que cada tipo de incidente tendrá un SLE diferente.
  • Annual rate of occurence (ARO), número esperado de ocurrencias de un incidente durante un año. De nuevo, el ARO es diferente según el tipo de incidente. Respecto a aquellos incidentes que nunca han sucedido (cisnes negros), cada organización debe establecer una posición (pesimista u optimista) que valore cuantos incidentes de este tipo quiere considerar y cuantas veces al año.
  • Annual loss expectancy (ALE), coste de la ocurrencia anual de incidentes de un tipo, en unidades monetarias. Es por tanto el producto del SLE y ARO de un tipo de incidente.
A priori, con estos tres elementos ya se pueden hacer estimaciones de los costes anuales de todos los incidentes. Esto es lo que se conoce como Total ALE (TALE). Con estos factores claros y un buen análisis de incidencias, a priori se podría calcular ya el coste de los incidentes ya sufridos. Para ello, se tendrían que hacer las siguientes consideraciones:
  • El ARO vendría determinado por la frecuencia de los incidentes registrados (No sería una estimación sino un dato calculado del histórico registrado).
  • El SLE de cada incidente tendría que objetivarse y cuantificarse. Para ello, los factores a considerar, por CADA TIPO de incidente, serían:
    • Coste operativo directo: debe cuantificar el coste directo que produce el incidente, valorando para ello cuestiones como tiempos de parada del personal, lucro cesante por interrupción de servicios.
      Coste operativo indirecto: debe cuantificar el coste que tienen todas las actividades de resolución del incidente y el sobre esfuerzo que debe hacerse para volver a la normalidad valorando para ello cuestiones como los tiempos de dedicación del personal TI para resolver la incidencia, las horas dedicadas por el área de atención al usuario para informar o resolver cuestiones surgidas por la ocurrencia de la incidencia, acciones de comunicación o marketing que tengan por objetivo la contención del daño reputacional, etc. Son costes operativos que no se habrían producido si la incidencia no hubiera ocurrido.
Respecto a la toma de decisiones, el CISO también debe entender cuales son los flujos de información que condicionan las inversiones y qué papel debe desempeñar como punto intermedio entre la capa estratégica y la operativa. Para ello es de gran ayuda el marco de ciberseguridad para infraestructuras críticas publicado por el NIST, que he osado traducir.
Tal como muestra la pirámide y de forma resumida, las diferentes iteraciones podrían resumirse en lo siguiente: 
El primer ciclo debe iniciarse en el análisis de riesgos para plantear a Dirección el mapa de cuestiones que se deben gestionar. Con ese contexto, es la Dirección la que asume, como propietaria de los riesgos su rol respecto a las 4 opciones de gestión: Aceptar, Reducir, Evitar o Transferir. 
Acorde con esas opciones, el CISO puede elaborar el Plan Director de Seguridad y plantear un esfuerzo de inversión que el Comité dotará de recursos. Con esta orden de ejecución, deben comentarse los trabajos de puesta en marcha de medidas y traslada la operación y mantenimiento de las medidas de seguridad al área operativa. Esta, además de administrar y gestionar, debe suministrar información de rendimiento que sirva para valorar la eficacia de las medidas.
Con estos datos, el CISO debe retroalimentar su mapa de riesgos y plantear en una segunda fase qué cuestiones se pueden dar por resueltas, qué cuestiones deben mejorar y qué nuevas cuestiones no han sido contempladas y requerirán nuevos esfuerzos inversores.
Teniendo esta pirámide en mente y los conceptos ya explicados para hacer estimaciones, los cálculos del ROSI ya pueden empezar a cimentar en base a una serie de criterios que las áreas de gestión y alta dirección van a ser capaces de entender.

  • Eficiencia operativa: Toda medida de seguridad tiene dos costes, el de inversión (o CAPEX) y el operativo (U OPEX). En el Post "Ciberseguridad, minuto y resultado: Los malos 3, Los buenos 0 ya comenté como una inversión en prevención puede ser rentable si es capaz de reducir el coste operarativo (OPEX) generado por los incidentes que es capaz de evitar. El coste de la inseguridad genera a menudo un OPEX de "apagar fuegos" que sería evitable o reducible. Ese debe ser el objetivo de toda inversión técnica para mitigar un problema que se deben concretar en una reducción de ARO.
  • Reducción de riesgos: Contar con medidas de prevención o detección temprana también tiene como beneficio evitar sucesos indeseados. Ello debe reducir los factores SLE o ARO dado que las mejoras en la gestión de riesgos deben disminuir la vulnerabilidad o limitar el impacto. Por tanto, los beneficios en la adecuada gestión del riesgo deberían traducirse en un descenso de las estimaciones dadas para el TALE.
  • Mejoras al negocio: Este es quizás uno de los factores más complejos de cuantificar, pero una adecuada gestión de la seguridad debe mejorar la disponibilidad, integridad y confidencialidad de los procesos, y por ende, generar una mayor confianza y reputación en los clientes. Estas cuestiones son contribuciones al negocio que sólo puede proporcionar el área de seguridad.

 Para aquellos que queráis profundizar más en el tema y jugar a realizar cálculos sobre los incidentes, el ENISE tiene en la sección de formación para CSIRT un taller práctico sobre cómo hacer estas cosas en diferentes tipos de incidentes. Podéis acceder a estos materiales en el siguiente enlace Cómo calcular el coste de un incidente de seguridad.





 
;