Как оценить риски в кибербезопасности. Лучшие инструменты и практики - Ричард Сирсен

В зависимости от своих ресурсов и потребностей организация может выбрать, с чего начать количественную оценку. Возможно, сперва она понадобится только для обоснования крупных расходов на информационную безопасность или для определения наиболее важных задач. Суть в том, что количественная оценка риска может быстро предоставить весьма ценные сведения и не будет тормозить работу, если применять ее вдумчиво, а не как попало.

Количественная оценка рисков информационной безопасности может привести к смене парадигмы в организации, и, как почти при любой смене парадигмы, придется в процессе преодолеть косность и неприязнь. Одним из ключей к успеху является понимание того, что самая сложная часть перехода – культурная, как в рамках организации, так и (по крайней мере пока) в сфере информационной безопасности в целом. И поскольку культура в значительной степени функционирует благодаря убеждениям, для достижения успеха необходимо сосредоточиться на их изменении.

1. Open Web Application Security Project, “OWASP Risk Rating Methodology,” last modified September 3, 2015, www.owasp.org/index.php/OWASP_Risk_Rating_Methodology.

2. IEC, “ISO 31010: 2009–11,” Risk Management – Risk Assessment Techniques (2009).

3. D. V. Budescu, S. Broomell, and H. Por, “Improving Communication of Uncertainty in the Reports of the Intergovernmental Panel on Climate Change,” Psychological Science 20, no. 3 (2009): 299–308.

4. Richards J. Heuer, Jr., Psychology of Intelligence Analysis (Langley, VA: Center for the Study of Intelligence, Central Intelligence Agency, 1999).

5. Rebecca M. Blank and Patrick D. Gallagher, Guide for Conducting Risk Assessments, NIST Special Publication 800–30, Revision 1 (Gaithersburg, MD: National Institute of Standards and Technology, 2012), http://csrc.nist.gov/publications/nistpubs/800–30‐rev1/sp800_30_r1.pdf.

6. K. E. See, C. R. Fox, and Y. Rottenstreich, “Between Ignorance and Truth: Partition Dependence and Learning in Judgment under Uncertainty,” Journal of Experimental Psychology: Learning, Memory and Cognition 32 (2006): 1385–1402.

7. G. Moors, N. D. Kieruj, and J. K. Vermunt, “The Effect of Labeling and Numbering of Response Scales on the Likelihood of Response Bias,” Sociological Methodology 44, no. 1 (2014): 369–399.

8. J. Chan, “Response‐Order Effects in Likert‐Type Scales,” Educational and Psychological Measurement 51, no. 3 (1991): 531–540.

9. L. A. Cox Jr., “What’s Wrong with Risk Matrices?” Risk Analysis 28, no. 2 (2008): 497–512.

10. D. Hubbard and D. Evans, “Problems with Scoring Methods and Ordinal Scales in Risk Assessment,” IBM Journal of Research and Development 54, no. 3 (April 2010): 2.

11. P. Thomas, R. Bratvold, and J. E. Bickel, “The Risk of Using Risk Matrices,” Society of Petroleum Engineers Economics & Management 6, no. 2 (April 2014): 56–66.

12. Edward R. Tufte and P. Graves-Morris, The Visual Display of Quantitative Information (Cheshire, CT: Graphics Press, 1983).

13. J. Kruger and D. Dunning, “Unskilled and Unaware of It: How Difficulties in Recognizing One’s Own Incompetence Lead to Inflated Self‐Assessments,” Journal of Personality and Social Psychology 77, no. 6 (1999): 1121–1134.

14. Ahiza Garcia, “Target Settles for $39 Million over Data Breach,” CNN Money, December 2, 2015.

Часть II. Эволюция модели риска кибербезопасности

Глава 6. Разложение на составляющие

Разбор по деталям

Повседневные значения большинства терминов содержат достаточно неоднозначности, чтобы считать их неподходящими для тщательного анализа решений.

Вспомним аналитика в сфере кибербезопасности из главы 5, который оценивал убытки в диапазоне «от 0 до 500 млн долл.» и переживал, как начальство отреагирует на такие неинформативные данные. Если подобные экстремальные убытки действительно могли возникнуть, безусловно, было бы неправильно скрывать это от начальства. К счастью, есть альтернатива: просто разложите их по компонентам. При подобном риске проведение более тщательного анализа будет вполне оправданно.

Воздействие обычно изначально представлено в виде перечня неустановленных и неопределенных возможных исходов. Его уточнение зависит от понимания объекта измерения, как обсуждалось в главе 2. То есть надо понять, что именно измеряется через более конкретное определение объекта. Ниже будет рассмотрено, как разделить неоднозначную гору исходов хотя бы на несколько основных категорий воздействия.

В главе 3 описано создание простой количественной модели, в которой всего лишь воспроизводятся этапы построения привычной матрицы рисков, но с опорой на количественные методы. Это элементарный базовый вариант, который можно усовершенствовать с помощью разложения. В исследованиях, приведенных в главе 4, упоминалось, что разложение на составляющие особенно помогает при очень высокой степени неопределенности, а именно такая, как правило, и бывает в сфере кибербезопасности. Поэтому в данной главе мы разберем, как можно развить простую модель из главы 3, воспользовавшись преимуществами разложения на составляющие.

Разложение простой модели замены «один на один»

В каждой строке модели, показанной в главе 3 (см. табл. 3.2), было только два вида данных: вероятность возникновения события и диапазон убытков. И то и другое подходит для разложения. К примеру, в случае наступления события можно оценить вероятность для событий подобного типа (была ли это утечка конфиденциальных данных, отказ в обслуживании и т. д.). Эта информация позволит дополнительно уточнить вероятность. Воздействие также возможно разделить на несколько видов затрат: судебные издержки, расходы на расследование нарушений, время простоя и т. д. Каждую из этих затрат можно вычислить на основе других входных данных, простых и менее абстрактных, чем некий совокупный итог воздействия.

Теперь рассмотрим подробнее, как использовать дальнейшее разложение на составляющие для повышения значимости данных.