Scribd
Cargar
17 vistas4 páginas

Analisis ROSI

lñhñlñlñlñ

Cargado por

gestiontic
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd
17 vistas4 páginas

Analisis ROSI

lñhñlñlñlñ

Cargado por

gestiontic
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd

Análisis del Retorno de la Inversión en

Seguridad de la Información (ROSI)


Introducción

El Retorno de la Inversión en Seguridad de la Información (ROSI) es una herramienta


crucial para justificar la asignación de recursos financieros en la implementación de
soluciones de ciberseguridad. Su cálculo permite estimar de manera objetiva si las
inversiones realizadas en seguridad resultan rentables frente a los posibles riesgos a los que
está expuesta una organización.
Este documento analiza cinco activos representativos de la empresa Seguridad Nacional
Ltda., aplicando los diferentes pasos para evaluar el impacto económico de un incidente de
seguridad, la improductividad generada, el costo de recuperación, la pérdida de
transacciones, el costo de mitigación y finalmente el ROSI.

Paso 1: Valor Estimado de Pérdida – ALE

En este paso se evalúa el impacto financiero que podría generar un incidente de seguridad
para cada activo. El cálculo se realiza mediante la fórmula de la Expectativa de Pérdida
Anual (ALE), que multiplica el valor del activo por su porcentaje de exposición al riesgo y la
posibilidad efectiva de ataque. Posteriormente, se establece un tope máximo de inversión
recomendado (37% del valor estimado de pérdida).

Paso 2: Improductividad por Incidente

Este paso analiza el costo derivado de la improductividad de los empleados cuando ocurre
una interrupción del servicio relacionada con cada activo. Se basa en la cantidad de
trabajadores afectados, el tiempo promedio de recuperación (WRT) y el valor promedio por
hora de cada trabajador.

Paso 3: Costos de Recuperación

Aquí se contemplan los costos necesarios para recuperar un activo tras un incidente. Se
estima el valor por hora de recuperación con base en el salario del personal técnico
involucrado y se multiplica por el tiempo de recuperación previsto. Este cálculo permite
anticipar el presupuesto requerido ante una eventualidad.

Paso 4: Pérdida de Transacciones por Hora

En este análisis se estima el valor económico que dejaría de percibir la organización por
cada hora de inactividad del activo. Se considera la cantidad promedio de transacciones
realizadas por hora y el tiempo de recuperación (WRT).

Paso 5: Costo de Mitigación

Este paso determina el costo total de implementar una solución de seguridad que permita
mitigar el riesgo de cada activo. Se suma el valor de la solución, el gasto operativo y el costo
derivado de la improductividad no mitigada.

Paso 6: Cálculo del ROSI

Finalmente, se calcula el Retorno de la Inversión en Seguridad de la Información (ROSI) con


la fórmula:
ROSI = ((Exposición Riesgo Anual * % Riesgo Mitigado) - Costo de Mitigación) / Costo de
Mitigación.
El resultado indica el porcentaje de rentabilidad que representa la inversión en seguridad.

Análisis por Activo

1. Implementación de una política de seguridad de la información

- Valor de los datos: $200,000,000


- Valor estimado de pérdida: $40,000,000
- Tope máximo de inversión (37%): $14,800,000
- Improductividad generada: $1,153,840
- Costo de recuperación: $480,000
- Pérdida por transacciones: $600,000
- Costo total de impacto: $42,233,840
- Costo de mitigación: $21,000,000
- Retorno de la Inversión (ROSI): 21.27%

2. Creación del inventario de activos de información

- Valor de los datos: $80,000,000


- Valor estimado de pérdida: $10,666,000
- Tope máximo de inversión (37%): $3,946,667
- Improductividad generada: $615,392
- Costo de recuperación: $720,000
- Pérdida por transacciones: $128,667
- Costo total de impacto: $12,130,059
- Costo de mitigación: $1,800,000
- Retorno de la Inversión (ROSI): 11.19%

3. Fortalecimiento del control de accesos digitales

- Valor de los datos: $250,000,000


- Valor estimado de pérdida: $50,000,000
- Tope máximo de inversión (37%): $18,500,000
- Improductividad generada: $1,500,000
- Costo de recuperación: $180,000
- Pérdida por transacciones: $225,000
- Costo total de impacto: $51,905,000
- Costo de mitigación: $14,600,000
- Retorno de la Inversión (ROSI): 19.10%

4. Capacitación y concienciación del personal

- Valor de los datos: $90,000,000


- Valor estimado de pérdida: $36,000,000
- Tope máximo de inversión (37%): $13,320,000
- Improductividad generada: $1,730,820
- Costo de recuperación: $1,050,000
- Pérdida por transacciones: $784,000
- Costo total de impacto: $39,564,820
- Costo de mitigación: $18,000,000
- Retorno de la Inversión (ROSI): 9.90%
5. Implementación de un procedimiento de gestión de incidentes

- Valor de los datos: $95,000,000


- Valor estimado de pérdida: $25,333,333
- Tope máximo de inversión (37%): $9,393,333
- Improductividad generada: $659,360
- Costo de recuperación: $1,280,000
- Pérdida por transacciones: $280,000
- Costo total de impacto: $27,552,693
- Costo de mitigación: $9,100,000
- Retorno de la Inversión (ROSI): 1.43%

Conclusiones

El análisis demuestra que todos los activos evaluados presentan un ROSI positivo, lo cual
justifica la inversión en medidas de seguridad para mitigar riesgos. Estas inversiones no
solo reducen el impacto económico potencial, sino que también garantizan la continuidad
del negocio y la protección de los datos críticos. Es fundamental mantener actualizadas las
métricas de exposición, probabilidad de ataque y costos asociados para una toma de
decisiones informada.

También podría gustarte