Un paradigma en la seguridad de la información es el concepto de expectativa de pérdida anual (Annualized Loss Expectancy o ALE por sus siglas en inglés), que permite modelar el impacto que los riesgos de seguridad pueden tener sobre los activos de una organización.
Es un elemento que puede ser utilizado durante la realización de análisis de riesgos o directamente en un análisis de costo-beneficio para destinar recursos al área de seguridad de la información.
ALE es una fórmula algebraica que multiplica el valor de un evento discreto de pérdida (expectativa de pérdida individual o SLE) por su expectativa anual de ocurrencia (ARO), es decir, la pérdida monetaria que se puede esperar para un activo debido a la materialización de una o más amenazas en un periodo de un año. Se define a través de la siguiente fórmula:
ALE = SLE x ARO
SLE = FE x VA
Donde:
- ALE: Expectativa de Pérdida Anual
- SLE: Expectativa de Pérdida Individual
- ARO: Tasa de Ocurrencia Anualizada
- FE: Factor de Exposición
- VA: Valor del activo
Para obtener el valor de ALE, se multiplica la esperanza de pérdida derivada de un riesgo, por su tasa de ocurrencia anualizada. A su vez, SLE es el resultado del producto entre el factor de exposición del activo por el valor del mismo. En el siguiente ejemplo se muestran los pasos sugeridos para calcular la pérdida anualizada.
1. Definición del alcance y los activos involucrados en la operación del proceso
En este ejemplo se enlista el costo de los activos necesarios para ofrecer el servicio de hosting:
2. Selección del activo crítico
Para continuar, se selecciona el activo considerado como crítico para la operación (puede seleccionarse más de uno si así se considera). En el ejemplo se estiman los ingresos generados por el activo:
3. Identificación de amenazas y probabilidad de ocurrencia
De la misma manera que en el análisis de riesgos, se definen escenarios de amenaza posibles para los activos. Para obtener resultados más apegados a la realidad, es conveniente utilizar datos estadísticos que permitan realizar una mejor estimación de la probabilidad:
4. Identificación del factor de exposición
El factor de exposición es el porcentaje de pérdida potencial para un activo, si una amenaza específica se materializa. Es un elemento subjetivo, que debe ser definido por el encargado de realizar el cálculo; sin embargo, a pesar de la subjetividad, debe utilizar criterios consistentes, para obtener resultados repetibles. Por ejemplo:
5. Cálculo de ALE
En el ejemplo se aplica el cálculo de la pérdida anualizada para el servidor de aplicaciones, considerando sólo la amenaza de infección por virus:
Entonces:
- Valor del Activo (VA): $17,000.00
- Factor de Exposición (FE): 20% (Porcentaje de pérdida de activo causada por la amenaza)
- Tasa Anualizada de Ocurrencia (ARO): 50% (1 vez cada dos años)
Si aplicamos la fórmula, obtenemos el siguiente resultado:
ALE = (VA x FE) x ARO
ALE = (17000 x 0.2) x 0.5
ALE = 1700
Para obtener valores con mayor precisión, es necesario considerar todas las amenazas identificadas para el activo. El resultado final es la suma de los valores de ALE de cada amenaza.
Si el valor final de ALE supera el costo del activo (y en este caso las ventas asociadas al activo), es necesario considerar la aplicación de medidas de seguridad, pero siempre considerando que si el costo de los controles de seguridad supera el valor del activo, la implementación de los mismos resulta inviable.
Las principales desventajas de ALE recaen en la ausencia de información para estimar la probabilidad de ocurrencia o de pérdidas, es decir, la dificultad para generar datos estadísticos que permitan tener un mayor apego al impacto y probabilidad de los riesgos.
Además, como ya se mencionó, se trata de un modelo que se aplica de manera subjetiva por lo que la experiencia y conocimientos de la persona que lo realiza, influyen de manera directa en los resultados. Finalmente, el uso de pocas variables en la fórmula lo convierte en un modelo altamente sensible a los valores propuestos y utilizados en el cálculo.
