RESEARCH IN PROGRESS TRABAJO DE GRADO I Una guía metodológica para el cálculo del retorno a la inversión (ROI) en seguridad informática: un caso de estudio Carrera de Ingeniería de Sistemas - Pontificia Universidad Javeriana Bogotá, Colombia
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
RESEARCH IN PROGRESS TRABAJO DE GRADO I
Una guía metodológica para el cálculo del retorno a la inversión (ROI) en seguridad
informática: un caso de estudio
Carrera de Ingeniería de Sistemas - Pontificia Universidad Javeriana Bogotá, Colombia
Research In Progress
Una guía metodológica para el cálculo del retorno a la inversión (ROI) en seguridad informática: un caso de estudio
Nicolás Sánchez Acevedo - Juan Sebastián Segura Castañeda [email protected]
2 de diciembre de 2005
Resumen El presente documento presenta los avances de la investigaciones adelantadas sobre el cálculo del retorno de la inversión en seguridad informática, para lo cual se ha revisado la evolución de la seguridad de la información, los conceptos generales de la seguridad informática y los elementos asociados con el retorno de la inversión, los cuales serán utilizados para plantear alternativas para el cálculo del ROI. Las alternativas planteadas serán revisadas a la luz de conceptos como la administración de riesgos y las métricas de seguridad, las cuales serán refinadas de acuerdo con los criterios de negocio que se plantean en las organizaciones. Adicionalmente, se presentan los detalles del modelo propuesto, que será implementado en una guía metodológica que será presentada posteriormente.
Palabras claves: seguridad informática, retorno, inversión, ROSI, administración de riesgos, análisis de riesgos, métricas, costo de impacto, costo de mitigación. 1. Introducción 1.1. El problema Muchas organizaciones hoy en día, son amenazadas constantemente en sus
activos, lo que puede representar miles o millones de dólares en pérdidas [HARR03]. Las vulnerabilidades en los sistemas de información pueden representar problemas graves, por ello es muy importante que las empresas contemporáneas comprendan los conceptos necesarios para combatir y defenderse de los posibles ataques a su información. En la actualidad, la información es el bien de mayor valor para las empresas [ALSI05]. El progreso de la informática y de las redes de comunicación no sólo ha sido un beneficio para las mismas, debido a que tienen mayores niveles de sistematización, sino que generan un mayor nivel de prevención y responsabilidad frente a las amenazas sobre dicha información. La seguridad de la información tiene como propósito proteger la información organizacional, independiente del lugar en donde se encuentre, ya que esta se puede encontrar en diferentes medios como por ejemplo en papel impreso, en los discos duros o incluso en la memoria de las personas que la conocen [ALSI05]. Por esto, la seguridad de la información es un asunto importante para todos, pues afecta directamente a los negocios de una empresa como a los individuos que hacen parte de ella.
Es por ello que hoy en día las empresas buscan la mejor forma de asegurar la organización y los recursos de la misma. En consecuencia surgen, tanto las empresas dedicadas a la seguridad informática y a los servicios de consultoría para el aseguramiento de los recursos tecnológicos y humanos que se ven involucrados en la organización, como los departamentos encargados de la seguridad de tecnología de información de las organizaciones. En ambos casos, es creciente la necesidad de establecer formas para justificar frente a los clientes, o a la alta gerencia, las ganancias o beneficios que se pueden llegar a obtener al implementar un proyecto de seguridad de la información realizando las respectivas inversiones en ellos [WILS03]. Existen algunas iniciativas de guías, modelos, estándares, metodologías definidas que permiten calcular los beneficios (tangibles e intangibles) que la organización podría percibir por concepto de una inversión realizada en seguridad informática [SCHW03], es decir el ROI de la seguridad informática, pero generalmente son de uso privado y es necesario pagar por ellas. Por tanto, y considerando estos esfuerzos iniciales, se plantea esta investigación para proponer una guía metodológica abierta a la comunidad para sugerir una manera básica de calcular el retorno a la inversión en seguridad informática. 1.2 Pregunta de Investigación y
Objetivos El objetivo principal de esta investigación es proponer y evaluar una guía metodológica para el cálculo del Retorno a la Inversión (ROI) en Seguridad Informática, aplicando dicha guía a un caso de estudio específico. Esta investigación trata de dar respuesta a la pregunta: ¿cómo calcular el retorno
a la inversión en seguridad informática? Para responder a esta pregunta, primero se realizó una revisión y síntesis de temas como, la historia de la seguridad informática, sus conceptos y modelo, su administración y un estado del arte de las investigaciones y modelos propuestos para el cálculo del ROI en dicha área. La síntesis de los temas anteriores, provee una base y los medios para proponer una guía, que en este caso es una guía metodológica, que luego será probada y analizada según sus resultados. Finalmente se evaluará la viabilidad y aplicabilidad de la guía propuesta, dentro de los límites especificados para el caso de estudio. 2. Revisión de Literatura La base literaria que se ha llevado a cabo durante esta investigación ha estado sustentada en diversos temas, pero centrada fundamentalmente en los conceptos principales de la seguridad informática, retorno a la inversión y algunos modelos de cálculo. Sin embargo, esta revisión de literatura considera sólo los aspectos requeridos para la preparación de la guía. El primer tema revisado, abarcó los principales hechos históricos que han sido la base de la evolución de la seguridad informática. Los principales autores consultados [MACM02] y [BAIL95], presentaron hechos importantes desde la década de los 50’s, época desde la cual se han presentado los principales eventos de seguridad, a raíz de los cuales han nacido los principios que hoy en día presenta el modelo de la seguridad de la información. Dicho modelo, fue revisado a través de los objetivos de la seguridad informática, principios, servicios y definiciones propuestas por autores
como [ALSI05], [NIST95] y [HARR03]. A partir de dichas referencias, se tienen los siguientes principios y servicios: Principios
• Confidencialidad • Integridad • Disponibilidad
Servicios • Autenticación • Autorización • Auditabilidad • No repudio
Luego de comprender los objetivos principales y los principios básicos de la seguridad informática, esta se puede resumir como, la definición y posterior implementación de protecciones, políticas y procedimientos, en búsqueda de la preservación de la integridad, disponibilidad y confidencialidad de la información, los recursos que la soportan (hardware, software, firmware, dispositivos de comunicación) y los individuos que la utilizan o conocen. Posteriormente se revisaron algunos de los conceptos y procesos que componen la Administración de la seguridad informática en las organizaciones, la cual comprende tareas tales como: administración de riesgos, definición, creación e implementación de políticas de seguridad, procedimientos, estándares, guías, clasificación de información, organización de la estructura de seguridad de la compañía, y la educación de los individuos de la organización, entre otras. [HARR03] [ALSI05] Finalmente, en esta primera revisión literaria, se investigaron algunas de las propuestas de ciertos autores [FOST04], [MCLE03] y [WILS03], sobre la forma de estimar el retorno a la inversión en seguridad informática.
Entre ellos, una propuesta realizada por la Universidad de Carnegie Mellon en asocio con el CERT (Computer Emergency Response Team) [MCLE03], la cual se basó en la recolección de datos empíricos sobre seguridad y amenazas de seguridad, y teniendo en cuenta dos variables principales: el nivel de protección, y la supervivencia del sistema. Los resultados mostraron que a mayor inversión, mayor supervivencia del sistema, pero reflejando también un punto de quiebre, a partir del cual, para aumentar la supervivencia del sistema, había que hacer una inversión mucho mayor. Una segunda propuesta, [FOST04] se desarrolló en la Universidad de Idazo, basada en la construcción de un IDS (Intrusión Detection System) y la valoración de los activos más importantes. Luego lograron calcular resultados teóricos a partir de lo que denominaron Pérdida Anual Esperada (ALE). Finalmente, sus estudios concluyeron en la siguiente forma de estimar el ROI:
IDSCostoIDSEficienciaALEROI
_)_( −×=
Por su parte, Marcia Wilson [WILS03] realizó un primer acercamiento a la estimación del ROI, basado en la identificación de amenazas y vulnerabilidades, y a partir de esto, Wilson presenta una fórmula para estimar la pérdida anual esperada (ALE):
AROSLEALE ×= En donde, el SLE, representa Pérdida Esperada causada por un solo incidente; y el ARO, la tasa de ocurrencia anual.
3. Análisis Preliminar Revisados los temas anteriormente mencionados, se profundizó en la exploración de temas como el análisis de riesgos y las métricas en seguridad informática, ya que fueron identificados como base del modelo propuesto para la guía metodológica, y que será presentado más adelante en este documento. En primera instancia, se profundizó en el proceso de análisis de riesgos, que una organización debe llevar a cabo dentro del marco de la administración de la seguridad de la información. Este proceso consta de nueve pasos principales [STON02]:
1. Caracterización del sistema 2. Identificación de amenazas 3. Identificación de vulnerabilidades 4. Análisis de controles existentes 5. Determinación de probabilidad 6. Análisis de impacto 7. Determinación de riesgos 8. Recomendaciones de Control 9. Documentación de resultados Como resultado de dicho proceso, se obtiene una lista de riesgos priorizados, a los cuales está expuesta la organización, y que será la base para establecer el modelo para la estimación del retorno de las inversiones de seguridad informática. Dicho proceso de análisis de riesgos, se puede resumir en la siguiente gráfica:
Figura 1.Diagrama Análisis de Riesgos
Un segundo tema analizado, consiste en el uso de las métricas para medir la probabilidad y el impacto de cada uno de los riesgos, durante su proceso de identificación y análisis. Las principales referencias consultadas para este tema, fueron [SWAN03], [PAYN02] y [FOUN03], con las cuales se pudieron analizar las métricas y el proceso de
desarrollo de estas, propuestas por el NIST (Nacional Institute of Standards and Technology) y por la organización FoundStone, basada en el análisis de las vulnerabilidades y la exposición de las infraestructuras de red de las organizaciones.
4. Modelo propuesto 4.1. Introducción En este capítulo se presentará el modelo propuesto en esta investigación, acerca de cómo podría estimarse el ROSI (Return On Security Investment), teniendo en cuenta lo visto y analizado a lo largo de la investigación. Una de las limitaciones que existen en los modelos propuestos presentados anteriormente, es la falta de medición o formas de medir los activos o aspectos intangibles de las organizaciones. Este parece ser uno de los factores más difíciles de abordar en la medición del retorno a la inversión, ya que es muy complicado tratar de medir algo que no es fácilmente cuantificable, y más aún cuando no hay datos o algún acercamiento hacia dichas medidas de los activos intangibles. Adicionalmente, una de las aproximaciones que se ha evaluado, como opción para tener una base para la guía metodológica, objetivo de esta investigación, es la Administración de
Riesgos. A través del proceso de análisis y administración de riesgos en una organización se puede llegar a medir el retorno de las inversiones en seguridad informática. En los modelos estudiados, no se encuentra una aproximación fuerte hacia dicho proceso, como una forma de acercarse al cálculo de retorno de inversiones en el área. Es por esto, que el modelo a proponer en este capítulo, se construirá alrededor de la administración y análisis de riesgos. De esta manera, y como resultado de los análisis realizados alrededor de los modelos para el cálculo del ROSI, el proceso de administración de riesgos y la utilidad de las métricas en la seguridad informática, se planteará el diseño del modelo con miras a la guía metodológica a desarrollar durante esta investigación. El siguiente diagrama, muestra el modelo general de cálculo del retorno a la inversión que será desarrollado en la guía metodológica, y que se detallará en las secciones siguientes:
Figura 2: Modelo propuesto
4.2. Explicación del Modelo El modelo inicia con base en el proceso de Administración de Riesgos, que para las organizaciones, consiste en un proceso iterativo que consta de una secuencia de pasos, que al ser ejecutados, posibilitan una mejora continua en el proceso de toma de decisiones. Este proceso incluye la identificación de los riesgos a los que está expuesta la organización en un momento dado, y que en este caso, se refieren a riesgos de seguridad de la información. Adicionalmente luego de dicha identificación, este proceso permite analizar, evaluar, tratar, monitorear y comunicar los riesgos asociados a la infraestructura de seguridad de la información.
Durante el proceso descrito anteriormente, la identificación y análisis de riesgos asociados, involucra un subproceso llamado Análisis de Riesgos. Como se explicó en su momento, este proceso permite establecer una lista de riesgos clasificados según su nivel de criticidad, determinado por la probabilidad de ocurrencia y la magnitud del impacto que generaría la materialización de un riesgo determinado. Los riesgos que resultan ser más críticos, o con prioridad alta, involucran los activos más importantes y valiosos de la organización, por lo cual son los que primero deben ser mitigados, en el menor tiempo posible. Sin embargo, el modelo propuesto permitiría evaluar cualquier tipo de riesgo, ya sea con prioridad alta, media o baja.
Ahora bien, para cuantificar tanto la probabilidad de ocurrencia como el impacto del riesgo, se pueden utilizar como herramientas, algunas métricas definidas para valorar, por ejemplo, la magnitud de dicho impacto. Estas métricas pueden estar basadas en estudios anteriores, o también pueden ser definidas según las necesidades. Para lograr la estimación de la probabilidad o número de ocurrencias de los eventos no deseados, que para este modelo se tomarán en cuenta en períodos anuales, lo más deseable es contar con datos históricos de los eventos sucedidos en la organización, relacionados con el riesgo que se esté evaluando. De esta manera, se puede llegar a tener un estimado del número de ocurrencias anuales por cada amenaza que se materializaría en dicho riesgo. En caso de no tener registros de los eventos sucedidos en períodos anteriores que ayuden a estimar dicha probabilidad de ocurrencia, es posible basarse en historiales obtenidos de organizaciones de características similares, en cuanto a su tamaño, sector, ingresos anuales, número de clientes, entre otros aspectos. Sin embargo, es posible que estas organizaciones semejantes mantengan este tipo de información de manera confidencial y no sea de dominio público, por lo tanto, es poco probable que dicha información esté disponible para otras organizaciones, y por lo tanto habría que buscar otro medio para realizar dichas estimaciones. Es por esto que pueden ser de gran utilidad, las estadísticas que varios fabricantes de soluciones de seguridad informática tienen a disposición del público, sobre los eventos de seguridad más relevenates de los últimos períodos. De la misma forma, en algunas ocasiones, estas estadísticas tienen en cuenta el tipo de negocio, sector, tamaño, entre
otros, lo cual también ayudaría a realizar un acercamiento más preciso para la probabilidad de ocurrencia de los eventos. La estimación del impacto que puede causar la ocurrencia de un evento no deseado, consistiría en calcular el costo de recuperación de los daños causados por dicho evento. Para ello, es necesario tener en cuenta el mayor número de aspectos implicados en la recuperación de los sistemas o activos afectados por la ocurrencia del evento. Algunos de estos factores que se deben tener en cuenta son: el número de horas de inactividad de la organización debido al evento ocurrido y el costo que esto implica, porcentaje de actividades paralizadas debido al evento, cantidad correspondiente en dinero que implica el porcentaje de inactividad del negocio, costo por hora de los empleados afectados y de los empleados que se requieren para el reestablecimiento de los sistemas afectados, tiempo estimado de recuperación, número de transacciones perdidas por hora, entre muchos otros aspectos que pueden variar dependiendo del tipo y actividad principal de la organización y del tipo de evento analizado. Luego de tener la lista de los riesgos asociados a la infraestructura de seguridad de la organización, y de haber realizado el análisis de dichos riesgos, se contaría con el costo de impacto para cada uno de ellos, basado en la estimación del impacto, realizado en la valoración de cada uno de los riesgos, como se describió anteriormente. Por otra parte, para cada uno de los riesgos se puede también calcular el costo de mitigación, es decir el costo de implementar y mantener una solución que permita disminuir la probabilidad de la ocurrencia del evento o eventos asociados a dichos riesgos; esto incluye,
el costo de la inversión que implica la implementación de la solución, así como también, los costos de mantenimiento y soporte anual que requiere dicha solución y que comúnmente son ofrecidos por los mismos fabricantes de las soluciones que proveen la implementación de las mismas. Hay que tener en cuenta, que un riesgo no necesariamente se mitiga con un solo control o inversión; es posible tener la necesidad de hacer varias inversiones con el objetivo de mitigar algún riesgo de la manera más efectiva y que garantice un nivel de seguridad aceptable. Asimismo, es posible que una inversión planeada para la mitigación de un riesgo específico, ayude también a mitigar de manera parcial, otros riesgos identificados en la valoración realizada anteriormente. A partir de este punto en el modelo propuesto, ya se cuenta con la información necesaria para iniciar con el análisis periódico del comportamiento del ROSI, esto es:
• Lista de riesgos priorizados según su criticidad
• Probabilidad de ocurrencia y estimación de impacto para cada uno de dichos riesgos
• A partir de dicha estimación, se tiene el Costo de Impacto para cada riesgo, en caso de presentarse un evento asociado a este
• Costo de Mitigación para cada uno de los riesgos
El modelo está diseñado para realizar periódicamente el proceso descrito, y se sugieren lapsos anuales, en los cuales se realicen las iteraciones sobre el modelo, con el objetivo de ver y analizar el comportamiento de las inversiones y su
retorno a través del tiempo, y poder estimar los ahorros e inversiones que cada año se harían. Ahora bien, para cada uno de los análisis anuales, es importante tener en cuenta, además de los factores listados anteriormente, un nuevo valor que desde este momento, llamaremos el Costo de Referencia de Impacto Anual (CRIA). Este valor corresponde al costo estimado de impacto, calculado en el año 0, es decir el costo de impacto que ya se tiene en el listado previo. Este valor de referencia servirá para poder comparar, desde el segundo año en adelante, el ahorro anual que se tiene gracias a la inversión realizada. Es decir que el CRIA, podría verse como la cantidad que habría tenido que gastarse en la recuperación de los daños, en el caso en que no se hubiera hecho la inversión inicial. A continuación se presentarán ejemplos de los casos de análisis de los valores descritos, a través del tiempo, y así poder observar los beneficios o retorno que da la inversión hecha, vista, por ahora, como ahorro de dinero. El análisis anual para cada riesgo, comienza entonces con la relación de los valores de Impacto versus la Inversión inicial que se haría para mitigar el riesgo en el primer año, esto es: Año 1 Impacto menor que la Inversión inicial
Riesgo n Año 1 (US$) Inversión 100 Impacto 80 Gasto Adicional -20
En este caso, el ejemplo muestra una inversión de 100 dólares, y un costo de
impacto de 80 dólares. Adicionalmente a partir de estos datos, y como se dijo anteriormente, el valor del CRIA sería de 80 dólares, ya que es la cantidad que se tendría que gastar en reparación de daños, si no se implementa la solución o inversión. Asimismo, se puede apreciar que para este año, se tiene un valor negativo de -20 dólares; este valor muestra la relación entre Inversión e Impacto, que haciendo una simple resta aritmética, indica que en dicho año hubo que gastar 20 dólares más de lo que se hubiera gastado sin la inversión, es decir, 20 dólares más que el CRIA. Son estos 20 dólares los que se tendrían que tener en cuenta para “recuperar” al siguiente año, y lo demás sería parte del ahorro que representa el retorno o beneficio que da la inversión a través del tiempo. Impacto mayor que la Inversión inicial
Riesgo n Año 1 (US$) Inversión 100 Impacto 120 Ahorro +20
En este caso, la inversión inicial es de 100 dólares, contra un costo de impacto de 120 dólares. Es por esto que en este primer año, cuando la inversión inicial es menor que el costo de impacto, ya se tiene un ahorro de 20 dólares, con lo cual se tendría ya un retorno de la inversión, que estaría representado por el beneficio del ahorro. En este caso, para el primer año, y con las condiciones dadas entre el impacto y la inversión, se podría definir el ahorro como:
InversiónimpactoCRIAAhorro −= )(
Año 2 en adelante Para los años siguientes al año 1, como se había mencionado anteriormente, se debe realizar una nueva iteración sobre el modelo, para cada uno de los riesgos, y de esta manera se obtendrán nuevos valores para la inversión y el impacto. En el caso de la inversión, se tendrían en cuenta los costos de mantenimiento de la solución implementada en el año 1. Y en el caso del impacto, se tendrían en cuenta los costos que implica la reparación de los daños residuales asociados con cada uno de los riesgos. Es decir, el impacto que probablemente no fue mitigado en su totalidad por la solución implementada. Con base en lo anterior, para el año 2 se tendría, por ejemplo: Riesgo n Año 1
(US$) Año 2 (US$)
Inversión 100 15 Impacto 80 20 -20 35 Ahorro 0 25 En el ejemplo, hubo una inversión (en costos de mantenimiento) en el año 2, de 15 dólares, y un costo de impacto de 20 dólares. Esto daría un total de 35 dólares que habría que gastar en ese segundo año, y comparando este valor con el valor del CRIA (US$80, para este caso), se tendría un ahorro de 45 dólares; pero hay que tener en cuenta el valor que había pendiente por recuperar del año anterior, que para el ejemplo, es de 20 dólares. Por lo tanto, el ahorro finalmente sería de 25 dólares. Dado esto, se podría para estos casos, del año 2 en adelante, definir el ahorro como:
recuperarporPendienteañodelGastoCRIAAhorro
__)__( −−=
25$20)3580( USAhorro =−−=
De esta forma, la organización debería poder realizar un proceso iterativo que la lleve a determinar a lo largo de los años, un valor estimado de los beneficios o retornos que se presentan debido a las inversiones realizadas en períodos anteriores.
5. Conclusión A partir del modelo expuesto anteriormente, se pretende desarrollar una guía metodológica objetivo de esta investigación, explicando en detalle cada uno de los pasos a seguir para la estimación del ROSI, considerando posibles condiciones o situaciones particulares de las organizaciones o arquitecturas, que se han identificado a lo largo de la investigación. El modelo presentado es una propuesta básica, para la estimación de los beneficios de las inversiones en el área de la seguridad de la información, sabiendo que el modelo expuesto es una sugerencia académica más a las investigaciones hasta el momento realizadas sobre el tema. Vale la pena aclarar, que este modelo puede ser objeto de algunas modificaciones y ajustes como parte del refinamiento continuo del mismo, los cuales se verán reflejados en la guía metodológica actualmente en desarrollo. Finalmente, durante el desarrollo de dicha guía, se presentarán algunos ejemplos de aplicación, con el fin de orientar a los posibles usuarios en el uso de la misma y sus limitaciones.
6. Referencias [SWAN03] SWANSON, Marianne; BARTOL, Nadya; SABATO, John; HASH, Joan y GRAFFO Laurie. NIST Special Publication 800-55: Security Metrics Guide for Information Technology Systems. Washington, Estados Unidos de América. National Institute of Standards and Technology (NIST), 2003. Disponible en: http://www.csrc.nist.gov/publications/nistpubs/800-55/sp800-55.pdf [NIST95] NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. An Introduction to Computer Security: The NIST Handbook, Special Publication 800-12 Washington, Estados Unidos de América. National Institute of Standards and Technology (NIST), 1995. Disponible en: http://www.csrc.nist.gov/publications/nistpubs/800-12/handbook.pdf [STON01] STONEBURNER, Gary. NIST Special Publication 800-33: Underlying Technical Models for Information Technology Security. Gaithersburg, Estados Unidos de América. National Institute of Standards and Technology (NIST), 2001. Disponible en: http://csrc.nist.gov/publications/nistpubs/800-33/sp800-33.pdf [MCLE03] MCLEAN, Greg y BROWN, Jason. Determining the ROI in IT security. Toronto, Canadá. CICA. 2003. Disponible en: http://www.davidfrico.com/mclean03.htm [FOST04] FOSTER, Steve y PACL, Bob. Análisis of Return on Investment for Information Security. Billerica, MA Estados Unidos de América. Getronics. 2004. Disponible en: http://www.getronics.com/NR/rdonlyres/en6bl7yole4i5vzvzzzrl5ud3klueu2ex5mnyt2it3zwuivhfkenfftpxjn3gsewh3bihoeconfdy3u5x33zpw2mqlb/SecurityROI.pdf [WILS03] WILSON, Marcia J. Calculating security ROI is tricky business. Estados Unidos de América. ComputerWorld. 2003. Disponible en: http://www.computerworld.com/securitytopics/security/story/0,10801,83207,00.html?SKC=security-83207 [ALSI05] ACADEMIA LATINOAMERICANA DE SEGURIDAD INFORMÁTICA. Unidad 1: Introducción a la Seguridad de la Información. Microsoft
Technet. 2005. Disponible en: http://www.mslatam.com/latam/technet/cso/Html-ES/home.asp [BAIL95] BAILEY, David. Information Security: An Integrated Collection of Essays: Essay 3 A Philosophy of Security Management. California, Estados Unidos de América. ACSAC. 1995. Disponible en: http://www.acsac.org/secshelf/book001/03.pdf [HARR03] HARRIS, Shon. CISSP Certification: All-in-one Exam Guide. Second Edition. Emerville, California, Estados Unidos de América. McGraw Hill. 2004 [PAYN02] PAYNE, Shirley C. A Guide to Security Metrics. Estados Unidos de América. SANS Institute. 2002. Disponible en: http://www.sans.org/rr/papers/download.php?id=55&c=4f096b16c5b7e00c7bda5a6fac7031e1 [FOUN03] FOUNDSTONE – Strategic Security. Information Security Metrics: Using Foundstone’s FoundScoreTM to Assign Metrics and Measure Enterprise Risk. Estados Unidos de América. FoundStone. 2003. Disponible en: http://www.foundstone.com/resources/whitepapers_registration.htm?file=wp_securitymetrics.pdf [ALSI05-2] ACADEMIA LATINOAMERICANA DE SEGURIDAD INFORMÁTICA. Unidad 2: Concepto de Análisis de Riesgo. Microsoft Technet. 2005. Disponible en: http://www.mslatam.com/latam/technet/cso/Html-ES/home.asp [STON02] STONEBURNER, Gary; GOGUEN, Alice; FERINGA Alexis. NIST Special Publication 800-30: Risk Management Guide for Information Technology Systems. Gaithersburg, Estados Unidos de América. National Institute of Standards and Technology (NIST), 2002. Disponible en: http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf
Related Documents
