CÁLCULO DEL ROSI

CÁLCULO DEL ROSI

PEREIRA
2024

CONTENIDO

pág.

INTRODUCCIÓN.......................................................................................................4
OBJETIVOS................................................................................................................5
1.1 OBJETIVOS GENERAL........................................................................................5
1.2 OBJETIVOS ESPECÍFICOS................................................................................5
DESARROLLO DEL TRABAJO..............................................................................6
Paso 1: Valor estimado de perdida – ALE.................................................6
Paso 2: Exposición al riesgo anual en términos financieros...........9
Punto 3. Costo de mitigación........................................................................17
Paso 4. Cálculo del ROSI.................................................................................19
paso No. 5 Cálculo ALE.....................................................................................20
Conclusiones..........................................................................................................24
BIBLIOGRAFÍA.......................................................................................................25

1
2
 INTRODUCCIÓN

El retorno de la inversión en seguridad (ROSI) es una clave métrica que

permite a las organizaciones evaluar el impacto financiero de sus
decisiones en materia de ciberseguridad. En un entorno donde las
amenazas cibernéticas son cada vez más sofisticadas y costosas,
comprender el ROSI es fundamental para justificar la asignación de
recursos y priorizar las inversiones en seguridad. Este documento
presenta un análisis detallado del cálculo del ROSI para la empresa
Seguridad Nacional Ltda., considerando factores como el valor estimado
de pérdida, la exposición al riesgo, el costo de mitigación y la
expectativa de pérdida anual. Además, se evalúan los riesgos asociados
a diversos activos de la empresa y se proponen soluciones de seguridad
para mitigarlos.

3
 OBJETIVOS

1.1 OBJETIVOS GENERAL

Calcular el retorno de la inversión en seguridad (ROSI) para la empresa

Seguridad Nacional Ltda., a fin de respaldar la toma de decisiones
estratégicas en materia de inversiones en ciberseguridad.

1.2 OBJETIVOS ESPECÍFICOS

 Identificar los activos críticos de la empresa y evaluar su

exposición al riesgo en términos financieros.
 Determine el valor estimado de pérdida y la expectativa de
pérdida anual para cada activo.
 Analizar los riesgos asociados a los activos y proponer controles y
soluciones de seguridad adecuadas.
 Calcular el costo de mitigación para implementar las soluciones de
seguridad.
 Realice el cálculo del ROSI utilizando los datos obtenidos y analice
los resultados.

4
 DESARROLLO DEL TRABAJO

PASO 1: VALOR ESTIMADO DE PERDIDA – ALE.

Análisis desarrollo de los pasos No.1

Generalidades: Retorno de la Inversión en Seguridad (ROSI):

El Retorno de la Inversión en Seguridad (ROSI) es una métrica vital para
evaluar el valor de las inversiones en ciberseguridad. Permite a las
organizaciones comprender el impacto financiero de sus decisiones de
seguridad y justificar la asignación de recursos. Veamos algunos
aspectos clave relacionados con ROSI:

1. Definición de ROSI:
ROSI se calcula como la diferencia entre los beneficios derivados de una
inversión en seguridad y los costos asociados, dividida por los costos de
la inversión.
La fórmula general es:
ROSI=Costo (Beneficios−Costo)

2. Beneficios y Costos:
Los beneficios pueden incluir la reducción de riesgos, la prevención de
ataques, la protección de datos y la continuidad del negocio.
Los costos abarcan la implementación, operación y mantenimiento de
las soluciones de seguridad.

3. Cálculo de ALE (Expectativa de Pérdida Anual):

ALE mide las pérdidas financieras esperadas debido a un tipo específico
de amenaza de ciberseguridad cada año.
Se calcula como:
ALE=SLE× ARO
Donde:
ALE= Annualized Loss Expectancy (Expectativa de pérdida Anual )
SLE=Single Loss Expectancy ( Expectativa de perdida única)
ARO=Annual Rate of Ocurrence(Tasa de Ocurrencia Anual)

Por lo general se determina el porcentaje de ocurrencia para el estimado

de un año.
Como se puede apreciar en la siguiente tabla la cual contiene los activos
de la empresa Seguridad Nacional Ltda. Seguido del valor de datos
anual, % exposición riesgo, % posibilidad efectiva de ataque, valor

5
estimado de perdida, y finaliza con el tope máximo de inversión que el
ideal sería del 37%.
SLE = Cálculo del dinero que puedo usar en caso de sufrir un ataque.

Tabla 1.

Determinar costo en caso de ocurrencia.

Basándonos en lo expuesto en la tabla anterior, podemos deducir que en

caso de que un riesgo se concrete, se establecerá el costo financiero
correspondiente de esa manera.

La información sobre la seguridad en la empresa Seguridad Nacional

Ltda, se organiza en la tabla No. 1 con diversas columnas, que
contemplan:

 Código: Identificador único para cada activo.

 Activo: Descripción del activo (por ejemplo, “Sistema de Correo
Electrónico”, “Servidor para la Página Web”, etc.).
 Valor de Depósitos (anual): Monto anual de depósitos
relacionados con el activo.
 Exposición al Riesgo: Porcentaje que representa la exposición al
riesgo para cada activo.
 Posibilidad de Ataque: Porcentaje que indica la probabilidad de
un ataque o incidente relacionado con el activo.
 Valor Estimado de Pérdida: Cálculo del valor estimado de
pérdida en caso de un incidente. (Multiplicación de: Valor Datos
(anual) * % Exposición Riesgo * % Posibilidad efectiva de ataque).
 Tope Máximo de Inversión: Límite máximo recomendado para
invertir en la mitigación del riesgo. (Es el resultado del valor
estimado * 37%, resulta el Tope Máximo de Inversión).

6
Cada fila representa un activo diferente dentro de la organización.

Por ejemplo, el “Sistema de Correo Electrónico” tiene un valor de

depósitos anual de $96,000,000, una exposición al riesgo del 70%, una
posibilidad de ataque del 70% y un valor estimado de pérdida de
$47,040,000. El tope máximo de inversión para este activo es de
$17,404,800.

Esta tabla proporciona una evaluación detallada del perfil de riesgo

financiero asociado con diferentes activos tecnológicos dentro de la
empresa. Permite a los usuarios comprender cómo se distribuye el
riesgo entre los distintos componentes y cuál podría ser el costo máximo
asociado a estos riesgos. Además, sugiere cuánto dinero podría ser
prudente invertir para mitigar esos riesgos.
Se presenta a continuación un análisis general del promedio de los
valores de todos los activos.
Imagen 1.

Promedio valores activos.

7
PASO 2: EXPOSICIÓN AL RIESGO ANUAL EN TÉRMINOS
FINANCIEROS.

Punto 2
En la siguiente tabla se realiza un análisis para determinar la
improductividad que pueden tener los diferentes trabajadores al verse
afectado alguno de los doce activos identificados.

Tabla 2

Determinar la improductividad

Basándonos en lo expuesto en la tabla anterior, podemos deducir la

improductividad que pueden tener los trabajadores al verse afectado
alguno de los doce activos de la empresa.

La información sobre la seguridad en la empresa Seguridad Nacional

Ltda, se organiza en la tabla No. 2 con diversas columnas, que
contemplan:

 Código: Identificador único para cada activo.

 Activo: Descripción del activo (por ejemplo, “Sistema de Correo
Electrónico”, “Servidor para la Página Web”, etc.).
 Cantidad de trabajadores: Número de empleados el cual asciende
a un total de 1500.
 WRT Work Recovery Time: Teniendo en cuenta que es una
empresa de seguridad privada que abarca seguridad física y
electrónica la mayor cantidad de clientes se encuentra en el
segundo servicio mencionado, el monitoreo es 24/7 donde se debe
garantizar al usuario el servicio de monitoreo a distancia en

8
 óptimas condiciones, lo que conlleva a que el tiempo de
recuperación de trabajo no sea mayor de 10 minutos (CCTV, GPS
vehicular, Sistema de detección de incendios e intrusos, Biometría,
Alarmas entre otros).
 Promedio valor hora trabajadores: Este se calculó sobre el
salario básico de cada perfil para cada uno de los activos.
 Improductividad: Este resultado se obtiene al multiplicar la
cantidad de Trabajadores * WRT - Work Recovery Time (Horas) *
Promedio Valor Hora Trabajadores.

Cada fila representa un activo diferente dentro de la organización.

Por ejemplo, para el activo de “Sistema de correo electrónico”, se

estima que se pueda tener en caso de verse afectado una
improductividad de 0.1 (10 minutos), la cual es el tiempo de
recuperación del trabajo – WRT y una afectación de 500 trabajadores,
también se estima un promedio valor hora de $14.590, lo que conlleva a
una improductividad y unos gastos de la empresa de $ 729.500. De igual
manera se realiza el análisis con los demás activos.
En esta tabla se puede evidenciar que los activos que pueden tener una
mayor afectación de costos a la empresa, es “Infraestructura
(hardware)” y “Riesgos asociados con tecnologías y sistemas de
información (Físicas y digitales)”, ya que cada una tiene una
improductividad de $2.188.500.

Tabla No. 3 - Determinar costo en caso de recuperación.

9
La Tabla No. 3 es fundamental para entender los costos asociados con la
recuperación de los activos en caso de una interrupción del servicio.

Tabla No. 3

Determinar costo en caso de recuperación.

La tabla menciona los costos asociados con la recuperación de los

activos en caso de una interrupción del servicio, se basan en la cantidad
de empleados activos de soporte TI, comercial, gestión humana entre
otros, para cada uno de los activos y se registra el estimado (vlr
[Link]), posteriormente se realiza la multiplicación.
Se observa que los activos No. 5, 6, 7, 8, 9, 10 y 12 son los de menor
costo de recuperación, con un valor de $542 cada uno. Por otro lado, los
activos No. 1, 2, 3, 4 y 11 presentan los mayores costos de
recuperación, ascendiendo a $1.459 por activo.

La información sobre el costo de recuperación en la empresa Seguridad

Nacional Ltda, la describe la tabla No. 3 estructurada de la siguiente
manera:
 Código (COD): Cada activo tiene un código único que facilita su
identificación rápida dentro de la empresa. Este código es notable
para el seguimiento y la gestión eficiente de los recursos.
 Activo: Describe el recurso o información que es vital para las
operaciones de la empresa, como “Información clientes”,
“Información crítica”, entre otros.
 Valor hora recuperación: Estos valores se asignan según los
salarios de los perfiles correspondientes a cada activo, ya sea del
área de TI, Comercial, SGSI, gerencia financiera o gestión humana.
Refleja el costo por hora de trabajo si se requiere una

10
 recuperación, lo que indica la importancia de cada activo y su
impacto en el presupuesto de recuperación.
 WRT Horas: Representa el tiempo máximo permitido para
recuperar un activo sin que afecte significativamente las
operaciones de la empresa. En el contexto de Seguridad Nacional
Ltda, este tiempo es crítico, especialmente para los servicios de
monitoreo electrónico, donde cualquier retraso puede
comprometer la seguridad de los clientes. Lo que conlleva a que el
tiempo de recuperación de trabajo no sea mayor a 10 minutos
(CCTV, GPS vehicular, Sistema de detección de incendios e
intrusos, Biometría, Alarmas entre otros).
 Costo de recuperación: Es el resultado de multiplicar el valor
por hora de recuperación por las WRT Horas. Este costo es un
indicador clave para la planificación de contingencias y
presupuestos, ya que muestra el impacto financiero de la
recuperación de cada activo.

Por ejemplo, el Sistema de Correo Electrónico tiene un Valor Hora

recuperación de $14.590 y un WRT Horas de 0.1, lo que resulta en un
Costo de Recuperación de:

Este nivel de detalle asegura que la empresa tenga una comprensión

clara de los costos asociados con la recuperación de activos y pueda
tomar decisiones informadas sobre la asignación de recursos y la
gestión de riesgos.

11
Paso 2 - Alcance - Escenarios de pérdida

Tabla 4 - Determinar pérdida de transacciones por hora

En la Tabla 4 se realiza un análisis para determinar la pérdida de
transacciones por hora que puede tener la empresa al verse afectado
alguno de los doce activos identificados.

Tabla 4

Pérdida de transacciones por hora

La información sobre la seguridad en la empresa Seguridad Nacional

Ltda., se organiza en la Tabla No. 4 con diversas columnas, que
contemplan:

 Código: Identificador único para cada activo.

 Activo: Descripción del activo (por ejemplo, “Sistema de Correo
Electrónico”, “Servidor para la Página Web”, etc.).
 Promedio Transacciones hora: Costo promedio de las
transacciones por hora.
 WRT Work Recovery Time: Teniendo en cuenta que es una
empresa de seguridad privada que abarca seguridad física y
electrónica la mayor cantidad de clientes se encuentra en el
segundo servicio mencionado, el monitoreo es 24/7 donde se debe
garantizar al usuario el servicio de monitoreo a distancia en
óptimas condiciones, lo que conlleva a que el tiempo de
recuperación de trabajo no sea mayor de 10 minutos (CCTV, GPS

12
 vehicular, Sistema de detección de incendios e intrusos, Biometría,
Alarmas entre otros).
 Pérdida Transacciones hora: Este valor se obtiene al multiplicar
el WRT (tiempo de recuperación de trabajo) * el Promedio
transacciones hora.
 Cada fila representa un activo diferente dentro de la organización.
 Por ejemplo, para el activo de “Servidor para la página web”, se
estima un costo promedio de transacciones por hora de
$2.000.000, el tiempo de recuperación de trabajo – WRT es de 0.1
(10 minutos) y el valor de la Pérdida transacciones hora es de
$200.000.
 En esta tabla se puede evidenciar que la mayoría activos no
corren con pérdidas, y los activos que tienen mayor costo tienen
un 33% de ARO que es la tasa de ocurrencia anual, que lo hace
poco probable.

Análisis punto No. 5.

En este punto, consolidamos los aspectos desarrollados previamente en

los puntos No. 1, y 2. Se trata del sistema de gestión de novedades que
involucra a los 1500 empleados de la compañía. Los activos están
gestionados por diversos procesos o servicios, como TI, gestión humana,
comercial y el SGSI.

La Tabla 5 presenta un desglose detallado del costo del impacto, que se

calcula a partir de la suma de los valores totales obtenidos en las
siguientes tablas:

 Tabla1: Determinar costo en caso de ocurrencia.

 Tabla 2: Valor total de la improductividad.

 Tabla 3: Valor total del costo de recuperación.

 Tabla 4: Valor total de pérdida de transacciones por hora.

Tabla 5.

Costo del impacto.

13
En esta tabla se calcula el costo del impacto el cual se obtiene de la
sumatoria de las Tablas 1 (Determinar costo en caso de ocurrencia), 2
(el valor total de la improductividad), 3 (el valor total del costo de
recuperación) y 4 (el valor total de pérdida transacciones hora).

A continuación, describimos los elementos clave de la tabla:

 Código (COD): Cada activo tiene un código único que facilita su

rápida identificación dentro de la empresa. Por ejemplo, si
consideramos el “Factor humano” como un activo, su código único
sería asignado para su seguimiento y gestión.
 Activo: Describe el recurso o información vital para las
operaciones de la empresa. Algunos ejemplos de activos pueden
ser:
 Factor humano: Representa a los empleados y su productividad.
 SGSI y adaptabilidad a los cambios: Incluye la infraestructura
tecnológica y los datos críticos, y la capacidad de la empresa para
ajustarse a nuevas circunstancias.
 Cantidad de trabajadores: En este caso, se refiere a los 1500
empleados activos y fijos en la empresa. Es importante considerar
cómo afecta la caída del sistema a todos estos trabajadores y su
productividad.
 Proceso servicios: Los procesos o servicios están asignados a
cada área según el activo correspondiente. Por ejemplo:
 TI: Gestiona los recursos tecnológicos.
 Comercial: Se encarga de las ventas y relaciones con los clientes.
 Gestión humana: Administra los recursos humanos.
 Nivel: Se clasifica como alto (A), teniendo en cuenta la actividad
económica de la empresa.
 Nivel: Se clasifica como alto (A), teniendo en cuenta la actividad
económica de la empresa. Un nivel alto implica que cualquier
interrupción puede tener un impacto significativo en las
operaciones.
 RTO (Tiempo objetivo para la recuperación): No debe ser superior
a una hora. Indica el período de tiempo disponible antes de que la
caída afecte significativamente las operaciones. Es crucial para
minimizar el tiempo de inactividad.

14
  RPO (Punto objetivo de recuperación): No debe ser mayor a un
día. Representa el punto más antiguo en el tiempo donde se
pueden recuperar datos tras un fallo. Garantiza la continuidad de
las operaciones.
 WRT (Horas): No debe superar los 10 minutos debido a la
naturaleza y actividad económica intensiva de la empresa.
Cualquier demora puede resultar costosa y con implicaciones
legales.
 Improd. (Improductiva): Este resultado se obtiene de la tabla
No. 2 y refleja la pérdida de productividad durante la caída.
 PT (Pérdida Transacciones Hora): Este resultado se obtiene de
la tabla No. 4. Representa la cantidad de transacciones perdidas
por hora debido a la interrupción.
 CR (Costo de Recuperación): Este resultado se obtiene de la
tabla No. 3. Incluye los gastos asociados con la recuperación del
sistema.
 VEP (Valor Estimado de Pérdida): Este resultado se obtiene de
la tabla No. 1. Representa el valor monetario para tomar
decisiones informadas sobre cómo asignar recursos para prevenir
o mitigar posibles pérdidas.
 Costo del impacto: Se calcula sumando las columnas Improd,
PT, CR y VEP. Es una métrica fundamental para evaluar el
impacto financiero de cualquier interrupción.

El análisis de costo-impacto nos ayuda a entender las implicaciones

económicas de cualquier interrupción en nuestro sistema de gestión de
novedades. Esto implica evaluar cómo afecta nuestra productividad, los
gastos necesarios para recuperarnos y las pérdidas económicas por
cada hora de inactividad. Es concluyente reducir al mínimo el tiempo en
que el sistema está fuera de servicio y asignar recursos de manera
adecuada para evitar o reducir cualquier pérdida potencial.

15
PUNTO 3. COSTO DE MITIGACIÓN.

La tabla cuenta con la siguiente información:

 COD: Número que identifica a cada uno de los activos

pertenecientes a la empresa.

 Activo: Nombre que identifica a cada uno de los activos

identificados en la empresa.

 Riesgo: Identifica al riesgo que amenaza la normal operación de

un activo específico con el que cuenta la empresa.

 Controles asociados: Identifica el control que está directamente

asociado al riesgo que amenaza al activo con el que cuenta la
empresa.

 Solución de seguridad: Actividad o proyecto utilizado para

corregir o mitigar el riesgo que afecta al activo de información con
el que cuenta la empresa y que está relacionado directamente con
el control asociado.

 Valor de la solución: Este valor indica cuál es el costo asociado

con la solución de seguridad que implementará la empresa y que
permita la mitigación del riesgo identificado para el activo de
información.

 Valor tiempo improductividad: Este valor identifica el costo al

que conlleva la NO solución del riesgo de seguridad.

 Gasto operacional: Este valor identifica el costo asociado para la

poner en operación la solución de seguridad para mitigar el riesgo.

 Costo de mitigación: Valor total de la implementación de la

solución de seguridad que busca mitigar el riesgo sobre el activo.
Se calcula sumando el valor de la solución, el valor tiempo
improductividad y el gasto operacional.

16
Paso 3

Solucion de
Controles Valor de la Valor Tiempo Gasto Costo de
Cod Activo Riesgo Seguridad
asociados Solucion improduc operacional Mitigaciòn
PROYECTOS
Acceso no
autorizadopara
Autenticación Implementación de
utilización
1 Sistema de Correo Electrónico fuerte de aplicativo de gestión de $ 3.000.000 $ 2.000.000 $ 700.000 $ 5.700.000
indebida del
contraseñas identidades
activo de
información.
Fallas en el
UPS de energia Instalación de UPS de
2 Servidor para la página web suministro de $ 8.350.000 $ 2.000.000 $ 500.000 $ 10.850.000
para 2 Horas 10 KVA
energía
Falla en el
hardware por Control de Instalacion de control de
3 Infraestructura (hardware) $ 5.700.000 $ 3.000.000 $ 2.600.000 $ 11.300.000
problemas en la temperatura temperatura N960
temperatura
Ataques por
Cifrado de la Implementación de
4 Software y sistemas de información virus, malware y $ 12.000.000 $ 20.000.000 $ 4.000.000 $ 36.000.000
información SGSI
ransomware
Acceso no
autorizado que Implementación de un
Control de
5 Datos de proyectos lleve al robo o aplicativo para el control $ 7.500.000 $ 16.000.000 $ 3.800.000 $ 27.300.000
acceso
pérdida de la de acceso
información
Acceso no
autorizado que Implementación de un
Control de
6 Información financiera lleve al robo o aplicativo para el control $ 7.500.000 $ 12.500.000 $ 3.800.000 $ 23.800.000
acceso
pérdida de la de acceso
información
Acceso no
autorizado que Implementación de un
Control de
7 Información de Clientes lleve al robo o aplicativo para el control $ 7.500.000 $ 22.000.000 $ 3.800.000 $ 33.300.000
acceso
pérdida de la de acceso
información
Perdida de la
Implementacion de un
disponibilidad del Copia de
8 Documentación, guías y protocolos servidor para copias de $ 12.000.000 $ 6.000.000 $ 4.000.000 $ 22.000.000
activo de seguridad
seguridad
información.
Acceso no
autorizado que
permite la
Implementacion de un
utilización Copia de
9 Información crítica servidor para copias de $ 12.000.000 $ 20.000.000 $ 4.000.000 $ 36.000.000
indebida o seguridad
seguridad
fraudulenta del
activo de
información.
Debilidad en las Autenticación Implementación de
10 Factor humano credenciales de fuerte de aplicativo de gestión de $ 3.000.000 $ 2.000.000 $ 700.000 $ 5.700.000
acceso contraseñas identidades
Perdida de la
Implementación de un
Riesgos asociados con tecnologías y disponibilidad del Control de
11 aplicativo para el control $ 7.500.000 $ 22.000.000 $ 3.800.000 $ 33.300.000
sistemas de información (Físicas y digitales) activo de acceso
de acceso
información.
Resistencia al Controles de Capacitación en
12 SGSI y adaptabilidad a los cambios $ 18.000.000 $ 5.000.000 $ 4.000.000 $ 27.000.000
cambio seguridad ciberseguridad

17
PASO 4. CÁLCULO DEL ROSI.

Costo Impacto: evalúa el impacto financiero ante cualquier

interrupción, trae el resultado de la columna Costo Impacto del paso 2.

Tasa Ocurrencia Anual: son las veces que el activo puede fallar en un
año

Exposición Riesgo Anual: es la multiplicación entre el costo del

impacto y la tasa de ocurrencia anual

%Riesgo Mitigado (Cuad. Gartner): porcentaje del riesgo de la

mitigación según los controles asociados y la solución de seguridad

Costo Mitigación: trae el valor de la columna Costo Mitigación del

paso 3

ROSI: multiplica la Exposición Riesgo Anual por %Riesgo Mitigado

restando el Costo Mitigación, todo lo anterior es dividido por el Costo
Mitigación, dándonos el porcentaje ROSI
Paso 4

Tasa
Exposición Riesgo %Riesgo Mitigado
COD Activo Costo Impacto Ocurrencia Costo Mitigación ROSI
Anual (Cuad. Gartner)
Anual
1 Sistema de Correo Electrónico $ 47.770.959 1 $ 47.770.959 90% $ 5.700.000 654%
2 Servidor para la página web $ 36.570.959 2 $ 73.141.918 80% $ 10.850.000 439%
3 Infraestructura (hardware) $ 12.909.959 1 $ 12.909.959 80% $ 11.300.000 -9%
4 Software y sistemas de información $ 12.530.959 3 $ 37.592.877 80% $ 36.000.000 -16%
5 Datos de proyectos $ 126.027.627 1 $ 126.027.627 80% $ 27.300.000 269%
6 Información financiera $ 6.005.959 1 $ 6.005.959 80% $ 23.800.000 -80%
7 Información de Clientes $ 427.516.793 1 $ 427.516.793 80% $ 33.300.000 927%
8 Documentación, guías y protocolos $ 3.313.092 2 $ 6.626.183 90% $ 22.000.000 -73%
9 Información crítica $ 720.054.712 2 $ [Link] 90% $ 36.000.000 3500%
10 Factor humano $ 400.813.092 4 $ [Link] 70% $ 5.700.000 19589%

Riesgos asociados con tecnologías y

11 $ 47.189.959 4 $ 188.759.836 90% $ 33.300.000 410%
sistemas de información (Físicas y digitales)

12 SGSI y adaptabilidad a los cambios $ 31.376 6 $ 188.254 80% $ 27.000.000 -99%

18
PASO NO. 5 CÁLCULO ALE.

ALE en el cálculo ROSI (Retorno de la Inversión en Seguridad) significa

Amenaza, Vulnerabilidad y Efecto. Es un factor que se utiliza para
cuantificar el riesgo potencial de una amenaza a la seguridad de la
información.

El ALE se calcula multiplicando tres variables:

 Amenaza: La probabilidad de que ocurra un evento adverso,

como un ataque cibernético.
 Vulnerabilidad: La susceptibilidad de un sistema o activo a ser
explotado por una amenaza.
 Efecto: El impacto potencial de un evento adverso, en términos
de pérdidas financieras, daños a la reputación o interrupción del
negocio.

Un ALE alto indica un mayor riesgo, mientras que un ALE bajo indica un
menor riesgo. El ALE se utiliza junto con otros factores, como el costo de
la inversión en seguridad, para calcular el ROSI.

Cómo se utiliza el ALE en el cálculo del ROSI:

El ALE se utiliza en el cálculo del ROSI para determinar el beneficio

potencial de una inversión en seguridad. Al comparar el ALE con el costo
de la inversión, las empresas pueden determinar si una inversión en
seguridad es rentable.

El ALE es una herramienta valiosa para ayudar a las empresas a tomar

decisiones informadas sobre las inversiones en seguridad. Sin embargo,
es importante tener en cuenta que el ALE es solo una estimación del
riesgo. El riesgo real puede ser mayor o menor de lo que indica el ALE.

Para calcular el ALE, se utiliza la siguiente fórmula:

ALE=SLE x ARO

Donde:

19
- ALE=Expectativa de Pérdida Anual ( Annualized Loss Expectancy)
- SLE=Expectativa de Pérdida Única(Single Loss Expectancy)
- ARO=Tasade Ocurrencia Anual ( Annual Rate of Occurrence)

Tabla 5 Cálculo del ALE:

Valor Estimado Tasa de

Códig Expectativa de
Activo de Pérdida Ocurrencia
o Pérdida Anual (ALE)
(SLE) Anual (ARO)
1 Sistema de Correo Electrónico $ 47.040.000 33% $ 15.523.200
2 Servidor para la página web $ 21.840.000 33% $ 7.207.200
3 Información crítica $ 720.000 33% $ 237.600
4 Información clientes $ 1.800.000 33% $ 594.000
5 aplicaciones empresariales $ 126.000.000 33% $ 41.580.000
6 Infraestructura (hardware) $ 6.000.000 33% $ 1.980.000
7 Comunicaciones $ 427.500.000 33% $ 141.075.000
8 Energía electrica $ 2.500.000 33% $ 825.000
9 Aire Acondicionado $ 720.000.000 33% $ 237.600.000
10 Instalaciones $ 400.000.000 33% $ 132.000.000
11 factoreshumanos $ 45.000.000 33% $ 14.850.000
12 SGSI y adaptabilidad a los cambios $ 20.000 33% $ 6.600

Al analizar la tabla:

El ALE proporciona una base cuantitativa para priorizar las inversiones

en seguridad y asignar recursos de manera efectiva para mitigar los
riesgos más críticos. Además, puede ser utilizado en el cálculo del
Retorno de la Inversión en Seguridad (ROSI), que evalúa el valor de las
inversiones en ciberseguridad en relación con los beneficios esperados.

1. Valor Estimado de Pérdida (SLE):

o Esta columna muestra el valor estimado de pérdida única
(SLE) para cada activo en caso de ocurrir un incidente de
seguridad.
o Los valores más altos de SLE se encuentran en los activos
"Sistema de Correo Electrónico" ($47.040.000), "Servidor
para la página web" ($21.840.000) y "aplicaciones
empresariales" ($126.000.000).

20
 oEsto indica que estos activos son críticos y su pérdida o
interrupción podría tener un impacto financiero significativo
para la empresa.
2. Tasa de Ocurrencia Anual (ARO):
o Esta columna muestra la tasa de ocurrencia anual (ARO)
estimada para cada activo.
o En la tabla, se ha asignado un ARO del 33% para todos los
activos.
o Esto sugiere que se espera que ocurra un incidente
relacionado con cada activo aproximadamente una vez cada
tres años.
3. Expectativa de Pérdida Anual (ALE):
o Esta columna muestra el cálculo de la Expectativa de
Pérdida Anual (ALE) para cada activo.
o El ALE se calcula multiplicando el Valor Estimado de Pérdida
(SLE) por la Tasa de Ocurrencia Anual (ARO).
o Los activos con los valores más altos de ALE son
"aplicaciones empresariales" ($41.580.000), "Sistema de
Correo Electrónico" ($15.523.200) y "Comunicaciones"
($14.075.000).
o Estos valores indican los costos esperados anuales debido a
incidentes relacionados con estos activos críticos.

Análisis adicional:

 La tabla resalta la importancia de proteger adecuadamente los

activos críticos, como las aplicaciones empresariales, el sistema de
correo electrónico y las comunicaciones, ya que pueden generar
pérdidas significativas en caso de incidentes.
 Los activos con ALE más bajos, como "SGSI y adaptabilidad a los
cambios" ($6,600) y "Energía eléctrica" ($825,000), pueden ser
considerados menos críticos desde una perspectiva financiera,
pero aún requieren atención y medidas de seguridad adecuadas.
 Es importante tener en cuenta que el cálculo del ALE se basa en
estimaciones y supuestos, por lo que es crucial revisar y actualizar
estos valores regularmente a medida que cambien las condiciones
de la empresa o surjan nuevos riesgos.

21
  El ALE proporciona una base cuantitativa para priorizar las
inversiones en seguridad y asignar recursos de manera efectiva
para mitigar los riesgos más críticos identificados en esta tabla.

Esta tabla brinda una visión general de los costos esperados anuales
debido a incidentes de seguridad para cada activo, lo que permite a la
empresa tomar decisiones informadas sobre la asignación de recursos y
la implementación de seguridad adecuada.

CONCLUSIONES

22
A través del presente análisis, se logró calcular el retorno de la inversión
en seguridad (ROSI) para la empresa Seguridad Nacional Ltda.,
considerando factores críticos como el valor estimado de pérdida, la
exposición al riesgo, el costo de mitigación y la expectativa de pérdida
anual. Los resultados obtenidos resaltan la importancia de proteger
adecuadamente los activos críticos, como las aplicaciones
empresariales, el sistema de correo electrónico y las comunicaciones, ya
que pueden generar pérdidas significativas en caso de incidentes.

El cálculo del ROSI permitirá a la empresa tomar decisiones informadas

sobre la asignación de recursos y la implementación de medidas de
seguridad adecuadas, contribuyendo a mitigar los riesgos y maximizar el
retorno de las inversiones en ciberseguridad. Además, el análisis
realizado destaca la necesidad de revisar y actualizar periódicamente los
valores y estimaciones utilizados, a medida que cambien las condiciones
de la empresa o surjan nuevos riesgos.

BIBLIOGRAFÍA

Sarmiento Rojas, J. A. Correa Candamil, C. H. & Jiménez Roa, D. E.

(2020). Gestión de proyectos aplicada al PMBOK 6ED.. Editorial UPTC.

23
Páginas (190-211).

[Link]

Sarmiento Rojas, J. A. Correa Candamil, C. H. & Jiménez Roa, D. E.

(2020). Gestión de proyectos aplicada al PMBOK 6ED.. Editorial UPTC.

Páginas (77-159).

[Link]

Sonnenreich, W. wes@sagesecure. co., Albanese, J. jpa@sagesecure.

co., & Stout, B. bstout@sagesecure. co. (2018). Return On Security

Investment (ROSI) -- A Practical Quantitative Model. Journal of Research

& Practice in Information Technology, 38(1), Páginas(45–56).

[Link]

direct=true&db=aci&AN=19850163&lang=es&site=eds-

live&scope=site

CCIT. (2021). Informe: Evaluación, retos y amenazas a la

ciberseguridad. Obtenido de Cámara Colombiana de Informática y

telecomunicaciones: [Link]

evaluacion-retos-y-amenazas-a-la-ciberseguridad/

OVI. Angulo, C. (2022). Retorno Sobre la Inversión en

Seguridad. [Link]

24