Justificando retorno financeiro sobre investimentos em segurança Anderson Ramos CISSP, MCSO, CISA, SSCP CCSI/E+, CNE, MCSE, NSA Lead Instructor (ISC)²
Agenda Entendendo o problema ROSI - Return Of Security Investments Principais argumentos contrários Principais alternativas Referências
Entendendo o problema Falta de investimentos = falta de resultados
Entendendo o problema Dificuldades crescente para justificar investimentos Necessidade constate de maximizar lucros Competição com outras áreas
Entendendo o problema Temos excelentes ferramentas que dizem onde investir o dinheiro, mas não dizem quanto!
Entendendo o problema Quando é fácil conseguir investimentos em segurança? Logo depois de um problema Quando existe uma exigência externa
Entendendo o problema Quando é difícil? Quando o problema de segurança não é freqüente Quando é difícil enxergar os custos associados ao problema
Return Of Security Investments O que é ROSI? Uma ferramenta que busca calcular o retorno financeiro trazido pelos investimentos em segurança, medindo seus benefícios Redução de perdas Ganhos de produtividade Aumento de receita
Return Of Security Investments O que é ROSI? Avalia os investimentos em segurança usando a principal métrica administrativa: dinheiro
Return Of Security Investments O que está por trás do ROSI? Posicionar os gastos em segurança como investimentos que trazem retorno
Return Of Security Investments O que está por trás do ROSI? Buscar alinhamento com os objetivos das organizações
Return Of Security Investments O que está por trás do ROSI? Aproximar a área de segurança dos centros de tomada de decisão
Return Of Security Investments O que o ROSI NÃO É Uma solução para todos os problemas de segurança da informação criados desde que a escrita surgiu
Return Of Security Investments O que o ROSI NÃO É Um chute de um jogador de Gana
Return Of Security Investments O que o ROSI NÃO É A única opção para avaliar gastos em segurança
Return Of Security Investments Como é calculado? Estimando-se a diminuição de custos que ocorrerá após o investimento em segurança e comparandoa com o valor do investimento
Return Of Security Investments Como é calculado? A idéia é calcular em quanto tempo o controle de segurança se paga, considerando os prejuízos que ele deve reduzir
Return Of Security Investments Como é calculado? A estimativa pode, posteriormente, ser comparada com o resultado real para aprimorar a ferramenta e acompanhar sua eficácia
Return Of Security Investments Peraí, isso é muito difícil!!! Difícil não significa impossível
Return Of Security Investments Peraí, isso é muito difícil!!! Os números não precisam ter precisão decimal
Return Of Security Investments Peraí, isso é muito difícil!!! Em muitos casos, estimar é melhor que não calcular nada
Return Of Security Investments Peraí, isso é muito difícil!!! Em outros, é realmente difícil e você pode simplesmente abrir mão da ferramenta
Principais argumentos contrários Não existem dados confiáveis A Análise de Riscos quantitativa usa os mesmos componentes
Principais argumentos contrários Não existem dados confiáveis University of Idaho Hummer project
Principais argumentos contrários Não existem dados confiáveis Carnegie Mellon University/CERT Análise de dados entre 1988 e 1995
Principais argumentos contrários Não existem dados confiáveis MIT, Stanford University e @Stake
Principais argumentos contrários Argumentos que devem ser evitados a todo custo Segurança é custo de se fazer negócios Cuidado com o próximo corte de custos
Principais argumentos contrários Argumentos que devem ser evitados a todo custo Segurança não traz retornos mensuráveis Cuidado com seu emprego
Principais argumentos contrários Argumentos que devem ser evitados a todo custo Segurança é um mal necessário Os políticos também
Não usar nada (popular) Principais alternativas
FUD Factor Principais alternativas
Principais alternativas Comparações de custo/benefício qualitativas Quantitativo é pecado?
Copiar o mercado Principais alternativas
Referências Estudos de caso Sistema de CFTV, feito pelo gerente de segurança da Intel http://www.csoonline.com/read/090105/roi_3826.html Projetos de pesquisa em diversas universidades http://www.cio.com/archive/021502/security.html Análise de uma ferramenta de anti-spam http://www.geocities.com/amz/index.html Análise de um Teste de Invasão http://www.securityfocus.com/infocus/1715
Referências Mais informações Tese de MBA sobre ROSI http://www.geocities.com/amz/index.html Return On Security Investment (ROSI): A Practical Quantitative Model http://www.infosecwriters.com/text_resources/pdf/rosi- Practical_Model.pdf CSO Magazine de Dezembro de 2002 http://www.csoonline.com/read/120902/index.html Justifying Investment in Security http://www.isaca.org/template.cfm?section=home&contentid= 16280&TEMPLATE=/ContentManagement/ContentDisplay.cfm
Perguntas? Anderson Ramos aramos@modulo.com.br CISSP, MCSO, CISA, SSCP, CCSI/E+, CNE, MCSE, NSA Lead Instructor (ISC)²