Как оценить риски в кибербезопасности. Лучшие инструменты и практики - Ричард Сирсен
Шрифт:
Интервал:
Закладка:
Возможно, эксперты, высказывающие такую озабоченность, имеют в виду, что при разных обстоятельствах одна и та же вероятность могла бы быть оценена в 5, в 2 или 8 %. И это, несомненно, так. При индивидуальном выборе создается впечатление, что можно дать слегка другую оценку, и все равно она останется удовлетворительной. Но метод линзы, естественно, не зависит от одной оценки или даже от одного эксперта. А при объединении большого количества точек данных неизбежно возникают закономерности, даже когда эксперты считают, что в своих оценках отдельных случаев действовали наугад.
Можно столкнуться и с другим заблуждением: «Эти переменные сами по себе ничего мне не говорят. Мне нужно гораздо больше информации для оценки». Отвечая на вопрос, как одно условие может изменить вероятность в методе ЛОШ или как поменяются оценки на основе множественных условий (которых было всего лишь несколько), некоторые эксперты возразят, что, не зная больше (а кто-то скажет, что не зная всего), они не могут дать оценку.
Иными словами: «Сведения о том, как часто вносятся исправления, сообщат мне кое-что о вероятности, если я также буду знать и ряд других [обычно неустановленных и бесчисленных] данных». Подобные заявления неверны, и их можно опровергнуть математически. Формальную версию доказательства можно найти в книге «Как измерить все, что угодно. Оценка стоимости нематериального в бизнесе», а пока просто знайте, что такая точка зрения математически нелогична.
Другая проблема этого возражения заключается в том, что, как мы знаем, относительно простые модели вполне достойно будут предсказывать суждения экспертов. И часто в итоге из модели даже исключаются одна или несколько переменных как бесполезные для прогнозирования суждений экспертов. То есть переменная, которую эксперты, как им казалось, в какой-то момент учитывали в своих суждениях, вообще не оказывала никакого влияния на их выводы. Они просто занимались тем, что в предыдущих главах мы называли неинформативным разложением.
Мы все склонны верить, что наши субъективные суждения являются результатом достаточно тщательного и продуманного анализа вариантов. Если давать более реалистичное описание, то наше суждение является скорее весьма скромным набором переменных с очень простыми правилами и большим количеством шума и ошибок.
Дальнейшее снижение неопределенности и когда к нему следует прибегать
Не обязательно полагаться только на калиброванные оценки и субъективные разложения. В конечном итоге оценки нужно обосновать эмпирическими данными. Например, условные вероятности могут быть вычислены на основе сведений за прошлые периоды. Бета-распределение и другие методы вычисления условных вероятностей можно комбинировать необычным образом. Можно даже принимать рациональные решения о необходимости более глубокого анализа, исходя из экономической ценности информации.
Оценка стоимости информации для сферы кибербезопасности: очень простая инструкцияВ первой книге Хаббарда «Как измерить все, что угодно. Оценка стоимости нематериального в бизнесе» гораздо подробнее описан процесс определения стоимости информации. Здесь же в основном будут рассмотрены простые правила и процедуры, которые актуальны для сферы кибербезопасности.
Информация обладает ценностью, поскольку решения, влекущие за собой экономические последствия, нам приходится принимать в условиях неопределенности. Иначе говоря, есть цена ошибки и шанс допустить ошибку. Произведение шанса допустить ошибку и ее цены называется ожидаемыми потерями от упущенных возможностей (Expected Opportunity Loss, EOL). В анализе решений под стоимостью информации понимается снижение EOL. Если устранить неопределенность, то EOL станут равны нулю, и тогда разницей в EOL будет их полная стоимость. Эту стоимость также называют ожидаемой стоимостью полной информации (Expected Value of Perfect Information, EVPI). Неопределенность, как правило, устранить невозможно, но EVPI дает понимание верхней границы ценности дополнительной информации. Если EVPI всего 100 долл., то, вероятно, не стоит тратить время на снижение неопределенности. А вот когда EVPI составляет 1 млн долл., снижение неопределенности выгодно, даже если удастся уменьшить ее только наполовину, потратив при этом 20 000 долл. (или и вовсе лишь силы на анализ).
В кибербезопасности стоимость информации всегда связана с решениями, которые можно принять для снижения риска. Вы будете принимать решения о том, внедрять ли определенные средства контроля, а они стоят денег. Если вы решите применить средство контроля, то ценой ошибки будут деньги, которые, как выяснится, не нужно было тратить на это средство контроля. В обратном случае ценой ошибки станет наступление события, которого можно было бы избежать, имея средства контроля, от внедрения которых вы отказались.
На сайте www.howtomeasureanything.com/cybersecurity нами предоставлена электронная таблица для расчета стоимости информации. В табл. 9.2 показано, как структурированы значения в электронной таблице последствий. Обратите внимание, что здесь приводится очень простой пример, где предполагается, что предложенное средство контроля исключает возможность наступления события. При желании таблицу можно усложнить и рассмотреть возможность того, что, несмотря на внедрение средства контроля, событие все же произойдет (скорее всего, с меньшей вероятностью и/или воздействием).
Таблица 9.2. Таблица последствий внедрения средства контроля кибербезопасностиВ электронной таблице также фиксируются условные вероятности, подобные тем, что мы вычисляли ранее: P(КУД), P(КУД | ПТП) и P(КУД | ~ПТП) (напомним, что КУД означает «крупная утечка данных», а ПТП – «положительный тест на проникновение»). Расчет несложный: на основе P(КУД), стоимости средства контроля и стоимости события без средства контроля вычисляются EOL для каждой стратегии – внедрения средства контроля или невнедрения. То есть, опираясь на выбранную стратегию, мы просто вычисляем цену ошибки и шанс допустить ошибку для каждой стратегии.
В таблицу можно вводить различные комбинации условных вероятностей, стоимости событий и затрат на средства контроля. Однако все в итоге сводится вот к чему: если не внедрять средство контроля, то стоимость информации может равняться произведению вероятности наступления события и стоимости события. А если внедрить средство контроля, цена ошибки составит произведение вероятности, что событие не произойдет, и стоимости средства контроля. Таким образом, чем выше стоимость средства контроля, тем более значительное событие оно должно смягчить, и чем больше неопределенность в отношении события, тем выше стоимость дополнительной информации.
Дальнейшее снижение неопределенности с помощью эмпирических данных, используемых