Как оценить риски в кибербезопасности. Лучшие инструменты и практики - Ричард Сирсен

основанные на распространенных заблуждениях. Подведем итоги.

• Применение популярных шкал и матриц ничего не дает. Они подвержены влиянию тех же факторов, которые считаются препятствиями для количественных методов (сложность кибербезопасности, участие людей, меняющиеся технологии и т. д.). Фактически они вносят неясность в коммуникацию и банально используют неверные вычисления. Лучше отказаться от их применения во всех формах анализа риска.

• Все, что можно смоделировать с помощью качественных шкал, также моделируется и с помощью количественных вероятностных методов, даже если задействовать лишь тот же источник данных, что и в большинстве качественных методов (т. е. эксперта в области кибербезопасности). Эти методы демонстрируют измеримое повышение эффективности на основе предыдущих исследований. Их эффективность также можно измерить после внедрения, поскольку здесь применимы стандартные статистические методы для сравнения оценки рисков с наблюдаемой реальностью.

• Количественные модели были многократно реализованы на практике. Отказ от них как от «теоретических» лишь показывает, что человек, использующий такое название, их боится.

Кибербезопасность стала слишком важной областью, чтобы оставить ее на откуп методам, которые, как читатель должен признать после наших веских аргументов, очевидно несостоятельны. Компании и правительства больше не могут позволить себе придерживаться заблуждений, мешающих внедрять работающие методы. Мы довольно много написали на эту тему и ценим ваше терпение, если вы дочитали все до конца. Нами приводилось множество источников в подтверждение каждого довода, но хочется закончить эту главу еще одним аргументом в поддержку количественных методов. Прочитайте, что пишет ниже Джек Джонс, лидер в области кибербезопасности, и закроем эту тему, вернувшись к разбору более эффективных методов.

Формирование положительного отношения к более эффективным методам

Джек Джонс, приглашенный автор

Джек Джонс работает в сфере информационной безопасности более 25 лет, в том числе в качестве руководителя отдела информационной безопасности. Он также является создателем подхода FAIR.

Почти все согласны, что применение количественных оценок и метрик – в целом хорошая практика, но тема количественной оценки риска в сфере защиты информации может стать причиной серьезных споров и даже ссор. Многие даже не верят, что это возможно или практически осуществимо. В таком случае зачем же пытаться количественно оценить риск? Почему бы не обойтись без раздоров и не продолжить просто считать уязвимости, уровни осведомленности и количество атак? Причина – в контексте. Другими словами, все эти и прочие элементы сферы информационной безопасности, которые могут быть выбраны для измерения, имеют значение лишь применительно к их влиянию на риск (т. е. частоту возникновения и величину убытков).

С особенно сильным неприятием количественной оценки риска можно столкнуться при взаимодействии со специалистами по информационной безопасности и аудиторами, чья карьера и репутация построены на определенном образе мышления и действий, тем более когда их подход широко применяется во всей отрасли, а его ограничения мало кому известны. Ситуация усугубляется, если сюда добавляются заблуждения относительно количественной оценки, и, что еще хуже, когда не утверждаются базовые понятия (например, такие термины, как «риск», не для всех означают одно и то же). Для успешного преодоления подобного неприятия необходимо сочетание тактик.

Просвещение: развенчивание мифов

У повышения осведомленности в области количественной оценки рисков есть по крайней мере несколько аспектов, в том числе следующие.

• Выработка единого мнения в отношении содержания понятия «риск» (подсказка: угрозы и недостаток контроля не являются рисками). Без такой основы все остальное будет оставаться борьбой, и, скорее всего, безуспешной. Стоит помнить, что конечная цель информационной безопасности – способность контролировать частоту возникновения убытков и уровень их серьезности.

• Помощь в понимании того, что количественная оценка – это не так сложно, она не требует высшего математического образования. На самом деле при правильном подходе она интуитивно понятна, концептуально проста и прагматична. Но все же для количественной оценки нужно обладать критическим мышлением, и вот это уже может оказаться серьезной проблемой, поскольку многие люди нашей профессии годами не пытались мыслить критически, когда речь заходила об измерении рисков. В основном риск определяется на глазок. Я не пытаюсь умалить их ум или врожденную способность к критическому мышлению, но ставлю в укор методы, на которые в нашей профессии так сильно полагаются (например, те же контрольные списки и порядковое ранжирование рисков).

Маленькие быстрые победы

Одно из основных опасений многих людей состоит в том, что количественная оценка риска окажется слишком трудоемкой. Лучший способ опровергнуть данное заблуждение – начать с анализа небольших, легче воспринимаемых проблем. Вместо того чтобы пытаться измерить нечто аморфное вроде «риска вычислений в облачных средах», измеряйте строго определенные проблемы, такие как «риск, связанный с тем, что облачный сервис конкретного провайдера выйдет из строя из-за кибератаки». Подобные более четкие и однозначные задачи требуют меньше времени и намного легче поддаются анализу, а еще их удобно использовать для быстрой демонстрации практической ценности количественного анализа рисков.

Несколько таких небольших анализов способны также продемонстрировать, насколько оперативно входные данные можно задействовать в разных анализах, что может еще больше ускорить достижение результатов и повысить эффективность.

Привлечение «тяжелой артиллерии» – специалистов по количественному анализу

Во многих организациях независимо от их размера есть функции, где главную роль играет количественный анализ. В качестве примера можно привести некоторые из наиболее зрелых направлений, связанных с риском (скажем, кредитный риск в финансовых учреждениях), и бизнес-аналитику. Там, где подобные функции существуют, часто встречаются компетентные руководители, которые ценят количественные показатели и готовы отстаивать соответствующие методы. Такие люди могут стать важными союзниками в сложных ситуациях корпоративной политики.

Поддержание связи с реальностью

Считается, что количественная оценка риска сродни переключателю: стоит организации начать количественно оценивать риски информационной безопасности, как она полностью перестает действовать на глазок. Это в корне неверно. Ни одна из организаций, с которыми мне доводилось работать, не могла даже приблизиться к количественному определению всех имевшихся проблем информационной безопасности. Для этого банально нет ни ресурсов, ни времени. Поэтому важно разработать процедуру выработки приоритетов, которая