Modelos de Seguridad Informtica y Retorno de Inversin

IEEE Computer - Management Society

Problemtica
Cuanto le cuesta la inseguridad informtica a nuestro negocio? Qu impacto tiene la falta de seguridad en la productividad? Qu impacto tendra una interrupcin de seguridad catastrfica? Cul es la solucin ms costo-efectiva? Qu impacto tendra la solucin sobre la productividad?

Objetivo Principal
Al final de esta sesin estaremos en capacidad de seleccionar el mtodo adecuado para hacer un anlisis de retorno de inversin en seguridad informtica.

Como lo vamos a hacer?

Mtodos para anlisis de Retorno de inversin Estndares/Metodologas de Riesgo Seguridad Informtica Como utilizar los modelos para justificacin de inversin en Seguridad Informtica Caso de estudio

Realidad de la Seguridad de la Informacin

Mas que eventos de una sola vez
Cuantificar Costo Eventos Visibles (Hard)
-Costo soporte proveedores -Costo recuperacin del servicio -Costo arreglo de la falla

Cuantificar Costo Eventos Ocultos (Soft)

-Perdida de ingresos por no disponibilidad del servicio -Improductividad de empleados -Impacto en la imagen y percepcin del cliente

Mtodos para anlisis de retorno de inversin

Radio Beneficio/Costo (B/C) Valor Presente Neto (NPV) Punto de equilibrio (Breakeven, Payback) Retorno sobre la inversin (ROI) Taza Interna de Retorno (IRR)

CSI/FBI Computer and Crime Survey - 2006

Radio Beneficio/Costo
Radio Beneficio/Costo Radio Beneficio/Costo
Beneficio Beneficio B/CR = _______ B/CR = _______ Costo Costo Es una medida de cuanto dinero se obtiene por usar una estrategia Es una medida de cuanto dinero se obtiene por usar una estrategia de costo determinada. de costo determinada. B/C 1:1 cada dlar gastado recibe otro B/C 1:1 cada dlar gastado recibe otro Todo gratis, pague una comida y le devuelven el dinero Todo gratis, pague una comida y le devuelven el dinero B/C 0.5:1 Por cada dlar se retorna 0.50 B/C 0.5:1 Por cada dlar se retorna 0.50 Si pago 20 dlares por llenar el tanque de mi carro y me devuelven Si pago 20 dlares por llenar el tanque de mi carro y me devuelven 10 dlares 10 dlares B/C 2:1 Por cada dlar invertido se reciben 2 B/C 2:1 Por cada dlar invertido se reciben 2 En proyectos de software pueden obtener radios de hasta 1000:1 En proyectos de software pueden obtener radios de hasta 1000:1

Valor Presente Neto

VPN es lo que el dinero valdr en el futuro menos la inflacin.
Beneficio VPN = (1 + Taza de Inflacin) AO $10 de hoy costaran $9.52 en u ao, $7.84 el siguiente y 6.14 en 10 aos, usando una taza de inflacin modesta de 5%. Imaginemos si mantuviramos el mismo salario durante 10 aos? Una inversin con B/C de 10:1 y un ROI de 900% teniendo en cuanta el valor de dinero, se convierten en 7.4:1 y ROI de 641%

Punto de equilibrio
El punto de equilibrio es el valor numrico al cual un beneficio supera o excede el costo. Cundo retorna la inversin?
Costo BEP = 1 Productividad antes/ Productividad Desp.
Ejemplo: Un modulo de seguridad de una aplicacin requiere 100.000 Horas/hombre para producir 10.000 lneas de cdigo y se tiene un 30% de errores detectados en produccin. Si invertimos en aplicar una metodologa de seguridad en el ciclo de desarrollo de software. Despus de 100 horas de entrenamiento podemos esperar que para producir las mismas 10.000 lneas de cdigo requerimos 10.000 horas /hombre y se genera un 20% menos de errores.

Despus de 111 Horas se recupera el costo de implantar la nueva metodologa (100 horas capacitacin y 11 horas de trabajo - 1/2 da).

Retorno sobre la inversin

ROI es la cantidad de dinero que se obtiene despus de gastar una cantidad de dinero. Un ROI de 100% significa que por cada dlar invertido se gana 1 dlar. Un ROI de 1000% quiere decir que por cada dlar invertido se obtienen 10.
Beneficio - Costos ROI = Costos * 100%

Tasa Interna de Retorno

La taza de descuento que iguala el valor presente de los flujos positivos de dinero y el costo de la inversin. En otras palabras es la taza de inters a la cual el VPN del proyecto es igual a 0.
NPV(C, t, IRR) = 0 No hay una formula precisa para llegar a la IRR generalmente se hace a travs de iteraciones que se aproximen al valor de VPN=0

Estndares/Metodologas de Riesgo y Seguridad Informtica

AS/NZ 4360 Risk Management Octave CERT Information Security Risk Evaluation ISO 17999 Code of practice for information security management ISO 27001 Information Security Management Systems CISSP Common Body of Knowledge

AS/NZ 4360

AS/NZ 4360

Ejemplo Matriz de Riesgos

40 Riesgos de Nivel MEDIO

Criticidad
R R

48 Riesgos de Nivel ALTO

+ Crtico (3)
R R

R R R

6
R R

9
R

Grave(2)

Severidad

R R R R

4
R

R R

R R

6
R

R R

Moderado (1)

R R R

3
R

Ocasional (1)

Moderado (2)

Frecuente (3)

22 Riesgos de Nivel BAJO

Probabilidad de Ocurrencia

OCTAVE
OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation) es una aproximacin a evaluacin de riesgos de seguridad informtica que es completa, sistemtica, guiada por contexto y autodirigida. Esta aproximacin es un conjunto de criterios que definen los elementos esenciales para evaluacin de seguridad informacin dirigida de activos. [Alberts 2001a].

Octave

Ejemplo Perfil de amenazas

accidental inside deliberate asset network accidental outside deliberate disclosure modification loss/destruction interruption disclosure modification loss/destruction interruption disclosure modification loss/destruction interruption disclosure modification loss/destruction interruption

Activo Acceso

Actor

Motivo

Impacto

ISO 17999:2005
Poltica de seguridad Organizacin de la informacin de seguridad Gestin de Activos Seguridad de los recursos humanos Seguridad fsica y del entorno Administracin de las comunicaciones y operaciones Control de accesos Adquisicin de sistemas de informacin, desarrollo y mantenimiento Administracin de los incidentes de seguridad Administracin de la continuidad de negocio Cumplimiento (legales, de estndares, tcnicas y auditoras)

ISO 27001:2005
Sistema de Gestin de Seguridad de la Informacin (ISMS) Responsabilidad de la direccin Auditoria Interna del ISMS Administracin de las revisiones del ISMS por la direccin Mejoras del ISMS

CISSP CBK
Access Control Systems and Methodology Telecommunications and Network Security Security Management Practices Applications and Systems Development Security Cryptography Security Architecture and Models Operations Security Business Continuity Planning (BCP) and Disaster Recovery Planning (DRP) Laws, Investigations and Ethics Physical Security

Qu pasa si usamos mtodos de retorno de inversin y modelos de seguridad de forma integrada?

Proceso de Gestin de Riesgo

Paso 1. Identificar los activos, valor y sus elementos de riesgo
Amenazas, frecuencia de eventos, valor de perdida por Amenazas, frecuencia de eventos, valor de perdida por eventos, incertidumbre, costo-beneficio o anlisis ROI eventos, incertidumbre, costo-beneficio o anlisis ROI

Paso 2. Realizar identificacin de riesgo y cuantificacin

1. 1. 2. 2. 3. 3.

Qu puede pasar con potencial de perdida o dao? Qu puede pasar con potencial de perdida o dao? (Amenaza) (Amenaza) Si pasa, Qu tan malo puede ser? (Exposicin) Si pasa, Qu tan malo puede ser? (Exposicin) Cada cuanto puede ocurrir ?(frecuencia) Cada cuanto puede ocurrir ?(frecuencia)

Paso 3. Realizar actividades de mitigacin de riesgos

4. 4. 5. 5. 6. 6.

Que puede hacerse para prevenir/evitar el riesgo, Que puede hacerse para prevenir/evitar el riesgo, mitigarlo, para detectar/notificar? mitigarlo, para detectar/notificar? Cuanto puede costar? Cuanto puede costar? Que tan eficiente es? Que tan eficiente es?

Activos y Valor
Que activos esta tratando de proteger?
Fsicos: Equipos de TI Fsicos: Equipos de TI Informacin: BD Clientes Informacin: BD Clientes Confianza, Imagen de la marca Confianza, Imagen de la marca Vida Vida

Cuanto valen?
Valor en Libros (Valor Inicial Depreciacin) o Valor de Valor en Libros (Valor Inicial Depreciacin) o Valor de Reemplazo (cuanto vale en el mercado incluyendo el valor Reemplazo (cuanto vale en el mercado incluyendo el valor de propiedad intelectual) de propiedad intelectual) Valor de mantenimiento Valor de mantenimiento Impacto para el negocio si no esta. Impacto para el negocio si no esta. (Ingresos que deja de generar, costo de oportunidad o (Ingresos que deja de generar, costo de oportunidad o intangibles, ej. Goodwill). intangibles, ej. Goodwill).
Se puede utilizar la Guia de NIST SP 800-60 Guide for Mapping Types of Information and Information Systems to Security Categories,June 2004

Valoracin Activos Clave ROI

1. 1.

Identificar los activos de informacin: Los activos pueden ser un recurso, un Identificar los activos de informacin: Los activos pueden ser un recurso, un producto, la infraestructura de computo en red, informacin protegida por ley, o datos de producto, la infraestructura de computo en red, informacin protegida por ley, o datos de clientes, empleados. Las perdidas en los principios de confidencialidad, integridad y clientes, empleados. Las perdidas en los principios de confidencialidad, integridad y disponibilidad pueden tener un impacto monetario o ser intangible, como la perdida de disponibilidad pueden tener un impacto monetario o ser intangible, como la perdida de reputacin. reputacin. Identificar las amenazas y vulnerabilidades: Cualquier cosa que ocasiones un efecto Identificar las amenazas y vulnerabilidades: Cualquier cosa que ocasiones un efecto no deseado. Las amenazas tienen varias formas y tienen efectos variados. Terremotos son no deseado. Las amenazas tienen varias formas y tienen efectos variados. Terremotos son amenazas, Demandas son amenazas. Vulnerabilidades son debilidades o la ausencia de amenazas, Demandas son amenazas. Vulnerabilidades son debilidades o la ausencia de controles adecuados. controles adecuados. Hacer valoracin de activos: Una vez se haya identificado los activos y las Hacer valoracin de activos: Una vez se haya identificado los activos y las vulnerabilidades que los afectan, es importante realizar un proceso de valoracin de vulnerabilidades que los afectan, es importante realizar un proceso de valoracin de activos. Para que pasar por un proyecto de aseguramiento para un activo que no tiene activos. Para que pasar por un proyecto de aseguramiento para un activo que no tiene alto valor para la compaa? Se puede crear una matriz y valorar los activos con una alto valor para la compaa? Se puede crear una matriz y valorar los activos con una simple matriz en trminos de Alto, Medio y Bajo basado en la definicin de cada simple matriz en trminos de Alto, Medio y Bajo basado en la definicin de cada organizacin. Para cada activo considere el costo total, inicial y de mantenimiento para el organizacin. Para cada activo considere el costo total, inicial y de mantenimiento para el ciclo de vida completo del activo. Determinar el valor del activo en terminos de ciclo de vida completo del activo. Determinar el valor del activo en terminos de productividad, Investigacin y Desarrollo y criticidad para el modelo de negocio (tangible productividad, Investigacin y Desarrollo y criticidad para el modelo de negocio (tangible e intangible. Responsa la pregunta de cuanto vale el activo en el mercado incluyendo los e intangible. Responsa la pregunta de cuanto vale el activo en el mercado incluyendo los derechos de propiedad intelectual. derechos de propiedad intelectual.

2. 2.

3. 3.

ROSI Modelo SageSecure

(Risk Exposure*%Risk Mitigated) Solution Cost ROSI = Solution Cost Ejemplo: Un Antivirus que captura 3 de cada 4 virus (75%). El Antivirus cuesta 25.000 USD y es lo mismo que cuestan las intrusiones al ao (25.000*75%) 25.000 ROSI = 25.000
Tomado de Return On Security Investment (ROSI): A Practical Quantitative Model, SageSecure

= 200%

ALE Annual Loss Expectancy

Asset Value (AV) = Valor del Activo Single Loss Expectancy (SLE) = Expectativa de perdida x Evento Exposure Factor (EF) = Factor de Exposicin SLE = AV * EF Annual Rate of Occurrence (ARO) = Taza anual de eventos Annual Loss Expectancy (ALE) = SLE * ARO Ejemplo:
Un sitio de comercio electrnico genera 100 Millones al ao, el costo de un evento que interrumpa el servicio por una hora es de 42372 US (SLE) que se incrementa a media que aumenta la indisponibilidad. El ao anterior sufri al menos 1 ataque mensual.

ALE = 42372 (SLE) * 12 (ARO) = USD 508.474

Idaho University ROSI Model (R E) + T = ALE

T = Costo herramienta (ej. Firewall) E = Ahorros de intrusiones prevenidas R = Costo anual de recuperarse de las intrusiones

ROSI = R - (ALE)

ROSI Vulnerability Reduction Model

ROSI = (RCbefore RCafter)/SMcost
Ejemplo: Anualmente hay al menos 2 robos de porttiles de los 50 Ejemplo: Anualmente hay al menos 2 robos de porttiles de los 50 empresa. El reemplazo del laptop cuesta 1800 USD. El siguiente ao empresa. El reemplazo del laptop cuesta 1800 USD. El siguiente ao hay 50 laptops en la compaa y cuesta 60 USD el cable de seguridad hay 50 laptops en la compaa y cuesta 60 USD el cable de seguridad para cada equipo.. EL siguiente ao se van a tener 75 porttiles. La para cada equipo.. EL siguiente ao se van a tener 75 porttiles. La probabilidad de robo se planea que disminuya a 1 por ao despus de probabilidad de robo se planea que disminuya a 1 por ao despus de instalado el mecanismo instalado el mecanismo

ROSI = ((1800+IV)*2 ((1800+IV)*1 +75*60))/(75*60) IV = Valor de la Informacin, Ej. IV=0 ROSI = -60% Aqu es cuando se debe tomar decisiones de proteger nicamente los equipos con mayor riesgo e informacin critica para que la inversin se justifique.

Y en la practica como lo hacemos?

Directrices de nivel ejecutivo para seguridad de la informacin

No-tcnicos. Puede o no puede requerir justificacin econmica

Cumplimiento Requerimientos
Regulacin Contractuales Comit Auditoria Mandatos Junta o CEO

Reducir Riesgo
Disminucin de riesgos Amenazas del valor de la marca Evolucin legislativa Eventos recientes de Seguridad

Mejorar el negocio
Iniciativas de la Compaa Aumento de ingresos Reduccin de costos Ventaja competitiva

Esquema para proyectar valor financiero

Retorno Sobre la Inversin
Reducir Perdida Anual Esperada

Incrementar Oportunidad De Ingresos

Mejoras En Productividad

Ahorros en Costos de HW

Disminuye Variabilidad

Ejemplo Caso de Negocio Proteccin Permetro

ROI 3 Aos 277% Proteccin de Permetro vs Status Quo VPN TIR $565,563 94% Punto de Equilibrio 11.4 Meses

Reduccin de Costos
Obtener los costos suaves (Reducir la Expectativa de Perdida Anual) Realizar Ahorros de Costos duros (Eficiencia en estructura de IT)

Mejora en Productividad
Incrementar productividad de usuario final (Anti-Spam, Filtrad de contenido) Optimizar utilizacin del persnal de seguridad/TI (Patch Management)

Incrementar Oportunidad de Ingresos

Habilitar proyectos que de otra manera serian evitados debido a preocupaciones de seguridad

Entregable Caso de Negocio

Dos mitades del caso de negocio: Narrativa Financiera
NARRATIVA NARRATIVA
Directivas de nivel ejecutivo Directivas de nivel ejecutivo Beneficios subjetivos Beneficios subjetivos
Difciles de cuantificar Difciles de cuantificar Beneficios alternos Beneficios alternos

FINANCIEROS (VALOR) FINANCIEROS (VALOR)

Cuantificar cuando sea posible Cuantificar cuando sea posible Reduccin de costos Reduccin de costos
Ahorros de costos de hardware Ahorros de costos de hardware Reducir Perdida Anual Reducir Perdida Anual Esperada Esperada

Mejoras en productividad Mejoras en productividad

Usuarios finales Usuarios finales Personal de IT/Seguridad Personal de IT/Seguridad

Incrementar oportunidad de Incrementar oportunidad de ingresos ingresos

FINANCIEROS (INVERSION) FINANCIEROS (INVERSION)

Costos por adelantado Costos por adelantado
Productos & Servicios Productos & Servicios

Costos recurrentes Costos recurrentes

Subscripciones & Subscripciones & Mantenimientos Mantenimientos

Costos de desarrollo interno Costos de desarrollo interno

Caso de Estudio
Objetivo Proyecto: Implantar la Norma ISO 27001 en una empresa de las siguientes caractersticas:
Sector Numero de Empleados Valor/Hora Empleado Nivel 1, Nivel 2 y 3 Numero de PCs Numero de Nodos de Red Numero de Incidentes al ao Tiempo Promedio por fuera despues de un incidente Utilidades Anuales Valor de Activos Tipo Sector Numero Total Empleados $100, $50, $20 Promedio Servidores y PCs Incluyendo Equipos Seguridad Financiero 1000 56 1200 200 10 240 $100.000.000,00 $1.000.000.000,00

Minutos Dolares Dolares

Costos
Utilizamos los clculos para un proyecto tipo de certificacin basado en datos por tipo de empresa de Computer Economics.
Procesos $54.600,00

Productos de seguridad de computadores Productos de seguridad de red Preparacion Auditoria Implantacin Pruebas Mantenimiento Total

$81.200,00 $160.000,00 $26.400,00

$36.000,00

$442.656,00

$667.000,00

$2.830.500,00

$4.298.356,00

Obtencin de Datos
Tablas actuariales propias (incidentes internos o referencias del sector) Fuentes: CSI/FBI Survey, Computer Economics, Encuesta Seguridad Informtica ACIS.

Tablas Computer Economics

Number of nodes in the organization Projected costs for computer security products $2,500 $5,200 $9,900 $23,300 $45,900 $81,200 $148,500 $207,800 $324,800 $617,200 $1,100,000 $2,784,000 Projected costs for network security products $2,100 $4,200 $8,850 $23,500 $47,850 $160,000 $226,500 $354,700 $612,700 $1,257,800 $1,625,000 $6,590,000 Associated personnel costs Total projected security costs Economic impact of malicious attacks ROI for security spending 25 50 100 250 500 1,000 2,000 3,000 5,000 10,000 20,000 50,000 $4,800 $9,400 $18,600 $46,600 $102,630 $207,015 $416,650 $632,800 $1,065,900 $2,127,500 $3,725,000 $10,788,000 $9,400 $18,800 $37,350 $93,400 $196,380 $448,215 $791,650 $1,195,300 $2,003,400 $4,002,500 $6,450,000 $20,162,000 $66,138 $131,040 $233,370 $509,363 $916,200 $1,729,568 $3,306,870 $5,104,377 $8,751,113 $14,635,498 $24,587,059 $53,726,400 $56,738 $112,240 $196,020 $415,963 $719,820 $1,281,353 $2,515,220 $3,909,077 $6,747,713 $10,632,998 $18,137,059 $33,564,400

Source: Computer Economics, Annual Cost and ROI for security expenditure in a High intensity e-business enviroment

Impacto en Productividad
Problem Application and System related crashes Email Filtering Sorting and Spam Bandwidth Efficiency and Throughput Inefficient and ineffective Security Policies Enforcement of Security Policies System related rollouts and upgrades from IT Security patches for OS and applications Insecure and Inefficient Network Topology Viruses, Virus Scanning Worms Trojans, Key logging Spyware, System Trackers Popup Ads Compatibility Issues - Hardware and Software Permissions based Security Problems (User/Pass) File System Disorganization Corrupt or inaccessible data Hacked or stolen system information and data Backup / Restoration Application Usage Issues Total Time Average Downtime (in minutes) 10 15 10 10 10 10 10 15 10 10 10 10 10 15 15 10 15 15 15 15 240 minutes

Beneficios del Proyecto

Datos Antes de ISO 27001 Valor Despues de ISO 27001 Valor

Costo Incidentes por ao

10 Incidentes x Ao (240 Minutos por fuera, $1'729.568)

$1.729.568,00

5 Incidentes x Ao (130 Minutos por fuera) $864.784

$864.784,00

Costo Seguros por ao

15 % del valor de activos (150 Millones)

$150.000.000,00

14% del valor de activos (140 Millones)

$140.000.000,00

Provisiones por siniestros al ao (Regulatorio)

20% de las utilidades (20 Millones)

$20.000.000,00

12% de las utilidades (12 Millones)

$12.000.000,00

Ingresos generados por proyecto que no se hacan por temas de seguridad

$0,00

Proyecto VPN para dar acceso a clientes corporativos a txt bancarias.

$1.000.000,00

Flujo de caja e indicadores

Inversion Inicial Ao 0 2006, Ao 1 2007, Ao 3 2008, Ao 4 2009, Ao 5 2010,

Inversion Increment/Decremento Ingresos Incremento/Decremento Opex Beneficio Periodo

$4.298.356,00

$2.830.500,00 $1.000.000,00 $19.864.764,00

$2.830.500,00 $2.000.000,00 $198.647,64 $631.852,36

$2.830.500,00 $3.000.000,00 $397.295,28 $566.795,28

$2.830.500,00 $4.000.000,00 $595.942,92 $1.765.442,92

$2.830.500,00 $5.000.000,00 $794.590,56 $2.964.090,56

$4.298.356,00

$18.034.264,00

VPN

$ 14.154.141,85

ROI

300%

BEP

12 Meses

TIR

318%

Conclusiones
La inseguridad cuesta Usar calculos para justificar la inversin en seguridad Si el costo de seguridad < costo de inseguridad la inversin es justificada

Bibliografia
[1] Information Security Forum, Standard of Good Practice, [1] Information Security Forum, Standard of Good Practice, See: http://www.isfsecuritystandard.com/index_ns.htm See: http://www.isfsecuritystandard.com/index_ns.htm [2] ISO 17799 [2] ISO 17799 [3] NSW Government Office of Information and [3] NSW Government Office of Information and Communications Technology, Information Security Communications Technology, Information Security Guideline, June 2003. See: http://www.oict.nsw.gov.au/ Guideline, June 2003. See: http://www.oict.nsw.gov.au/ [4] Security Metrics Guide for Information Technology [4] Security Metrics Guide for Information Technology Systems Special, Publication 800-55 US National Institute Systems Special, Publication 800-55 US National Institute

of Standards and Technology Computer Security Research of Standards and Technology Computer Security Research Centre,, 2002. See csrc.nist.gov/publications/nistpubs/800Centre 2002. See csrc.nist.gov/publications/nistpubs/80055/sp800-55.pdf. 55/sp800-55.pdf. [5] The Return on Investment for Information Security see: [5] The Return on Investment for Information Security see: http://www.oit.nsw.gov.au/content/7.1.15.ROSI.asp http://www.oit.nsw.gov.au/content/7.1.15.ROSI.asp [6] The Return on Investment for Information Security See: [6] The Return on Investment for Information Security See: http://www.cisco.com/en/US/netsol/ns340/ns394/ns171/netw http://www.cisco.com/en/US/netsol/ns340/ns394/ns171/netw orking_solutions_audience_business_benefit09186a008010e orking_solutions_audience_business_benefit09186a008010e 490.html 490.html [7] Calculated Risk Scott Berinato in CSO Magazine, December [7] Calculated Risk Scott Berinato in CSO Magazine, December 2002. See www.csoonline.com/read/120902/calculate.html 2002. See www.csoonline.com/read/120902/calculate.html [8] Security Attribute Evaluation Method: A Cost-Benefit [8] Security Attribute Evaluation Method: A Cost-Benefit Approach Shawn A. Butler, Computer Science Department, Approach Shawn A. Butler, Computer Science Department, Carnegie Mellon University, 2002. See Carnegie Mellon University, 2002. See www2.cs.cmu.edu/~Compose/ftp/SAEM-(Butler)www2.cs.cmu.edu/~Compose/ftp/SAEM-(Butler)ICSE_2002.pdf .. ICSE_2002.pdf

Bibliografia
[9] Cost-Benefit Analysis for Network Intrusion Detection [9] Cost-Benefit Analysis for Network Intrusion Detection Systems Huaqiang Wei, Deborah Frinke et al. Centre for Systems Huaqiang Wei, Deborah Frinke et al. Centre for Secure and Dependable Software, University of Idaho. In Secure and Dependable Software, University of Idaho. In Proceedings of the 28th Annual Computer Security Proceedings of the 28th Annual Computer Security Conference October 2001. See Conference October 2001. See wwwcsif.cs.ucdavis.edu/~balepin/new_pubs/costbenefit.pdf. wwwcsif.cs.ucdavis.edu/~balepin/new_pubs/costbenefit.pdf. [10] A Guide to Security Risk Management for Information [10] A Guide to Security Risk Management for Information Technology Systems Published by the Government of Technology Systems Published by the Government of Canada Communications Security Establishment, 1996. See Canada Communications Security Establishment, 1996. See www.cse.dnd.ca/en/documents/knowledge_centre/publicatio www.cse.dnd.ca/en/documents/knowledge_centre/publicatio ns/manuals/mg2e.pdf. ns/manuals/mg2e.pdf. [11] Executives Need to Know: The Arguments to Include in a [11] Executives Need to Know: The Arguments to Include in a Benefits Justification for Increased Cyber Security Spending Benefits Justification for Increased Cyber Security Spending Timothy Braithwaite in Information Systems Security, Timothy Braithwaite in Information Systems Security, Auerbach Publications, September/October 2001. Auerbach Publications, September/October 2001. [12] Seeking Security Scorecards Chris King, Meta Group (File: [12] Seeking Security Scorecards Chris King, Meta Group (File: 9377), Dec 2001. 9377), Dec 2001. [13] Analysis of Return on Investment for Information Security: [13] Analysis of Return on Investment for Information Security: Steve Foster and Bob Pacl, Getronics. Steve Foster and Bob Pacl, Getronics. [14] VPN Security and Return on Investment: RSA Solution [14] VPN Security and Return on Investment: RSA Solution White Paper[15] Finally, a Real Return on Security Spending CIO Magazine, White Paper[15] Finally, a Real Return on Security Spending CIO Magazine, 15 February 2002; see 15 February 2002; see www.cio.com/archive/021502/security.html. www.cio.com/archive/021502/security.html. [16] Secure Business Quarterly, Special Issue on Return on [16] Secure Business Quarterly, Special Issue on Return on Security Investment, Quarter 4, 2001. See Security Investment, Quarter 4, 2001. See www.sbq.com/sbq/rosi/index.html. www.sbq.com/sbq/rosi/index.html.

Bibliografia
[17] ROI of Software Process Improvement, David F. Rico, 2004 [17] ROI of Software Process Improvement, David F. Rico, 2004 [18] CISSP Examination Textbooks, S. Rao Vallabhaneni, 2004 [18] CISSP Examination Textbooks, S. Rao Vallabhaneni, 2004 [19] Hack Notes, Network Security, Mike Horton, Clinton Mugge, 2003 [19] Hack Notes, Network Security, Mike Horton, Clinton Mugge, 2003

Gracias