Jak mohu vypočítat očekávanou jedinou ztrátu bez daného faktoru expozice?
Může mi někdo prosím vysvětlit?
Komentáře
- Čtení mezi řádky definice SLE Věřím, že faktor expozice musí být poněkud subjektivním měřítkem, které musíte sami odhadnout.
Odpověď
Nelze vypočítat Single Los Expectancy (SLE) bez skutečného, historického, odhadovaného nebo odhadovaného faktoru expozice (EF) ). Myslím, že ve většině výcvikových materiálů INFOSEC pro řízení rizik, které se zabývají kvantitativní analýzou, chybí to, že neposkytují mnoho pokynů, jak převést obecnou definici rizika [riziko = f (aktivum, hrozba, zranitelnost)] do EF a do vzorce SLE a ALE. Právě jsem se díval online a neviděl jsem nikoho, kdo by to dobře pokryl.
Aby mohlo existovat riziko, musí existovat zranitelnost, kterou lze zneužít, a hrozby proti této zranitelnosti. Tyto hrozby také mají pravděpodobnost výskytu (což může být založeno na pozorovaných útocích). Pravděpodobnost ohrožení se v kvantitativní analýze promítne do anualizované míry výskytu. Váš EF je tedy většinou založen na zranitelnosti a jejích důsledcích pro aktivum, když dojde k ohrožení.
Mnoho EF na riziko (tj. Pár na hrozbu / zranitelnost) vede k EF 0 nebo 1 EF což snižuje část pracovní zátěže analýzy rizik. Někdy také pomáhá při odhadu EF, aby zvážil také všechny zmírňovače, které jsou zavedeny, aby pomohly snížit nebo eliminovat zranitelnost.
Některé zjednodušující příklady triviálních EF 0 a 1:
-
Prostředek: zůstatek bankovního účtu přístupného online
-
Hrozba: Hacker využívá rybářské e-maily k získání přihlašovacích údajů bankovního účtu k odčerpání účtů
- Zranitelnosti: HUMINT: držitel účtu je podveden k odhalení svého uživatelského jména & hesla
- Zmírňovače: žádný
- Výsledný EF na zůstatek na bankovním účtu: 1,0
-
Hrozba: Hacker využívá rybářské e-maily k získání přihlašovacích údajů bankovního účtu k odčerpání účtů
- Zranitelnosti: HUMINT : držitel účtu je podveden k odhalení svého uživatelského jména & hesla
- Zmírňovače: banka neumožňuje provádět online převody zůstatků; banka neukazuje čísla účtu ani směrování čísel online
- Výsledný EF na bankovní účet ba kopí: 0,0
-
Hrozba: Hacker používá nedávné seznamy odcizeného jména uživatele / hesla ze stránky sociálních médií
- Zranitelnosti: HUMINT : mnoho držitelů účtů používá stejná hesla na všech webech a AUTHEN: mnoho webů (včetně této banky) používá jako e-mailovou adresu jednu e-mailovou adresu
- Zmírňovače: banka má zavedeno dvoufaktorové ověřování
- Výsledný EF k zůstatku na bankovním účtu: 0,0
-
U většiny ostatních rizik je třeba posoudit zranitelnost , hrozba a jakékoli zmírňovače zranitelnosti při rozhodování o odhadovaném EF. Pokud člověk nemá mnoho skutečných pozorovaných dat pro založení EF v závislosti na riziku, pak tyto jednotlivé SLE mohou být divoce out-of-line. Při shrnutí do souhrnných ročních ztrátových očekávání by to mohlo mít velmi velké rozpětí chyb kvůli všem špatně odhadnutým jednotlivým EF.
Nicméně jako příklad lze uvést bankovní odvětví pro banku, která byla v po mnoho let mají podrobné historické údaje o ztrátách (včetně ztrát souvisejících s kybernetickými útoky). Banka může tyto hodnoty (EF, SLE, ARO, ALE) skutečně přesně vypočítat pro jejich současnou historii a poté je použít pro předpovědi budoucích ztrát.
Také vzhledem k této podrobné historii ztrát , banky mohou provádět relativně přesnou analýzu nákladů a přínosů implementace nových mitigátorů (například dvoufaktorové ověřování).
- Určete odhad celkových nákladů na implementaci a implementaci tohoto mitigátoru .
- Vypočítejte agregovaný ALE daný aktuální EF za časové období (řekněme 10 let).
- Vylepšete všechny EF, které ovlivní mitigátor.
- Vypočítejte nový agregovaný ALE za stejné časové období
- Vypočítejte rozdíl mezi novým agregovaným ALE a aktuálním agregovaný ALE (od kterého se očekává přínos v tom, že nový ALE by měl být ideálně menší než současný ALE)
- Pokud je přínos (snížení ztráty) větší než celkové náklady na implementaci, udělejte to; pokud je přínos (snížení ztráty) podstatně menší než celkové náklady na implementaci, pak by analýza nákladů a přínosů doporučila neimplementovat zmírňovač.
Komentáře
- Jaká " akademická " oblast se zabývá těmito odhady? Vypadá to, že má docela pojistně-matematickou povahu.
- Mnoho akademických oblastí využívá a provádí výzkum v oblasti analýzy rizik.Finanční / pojistné riziko je ukázkovým příkladem a po získání titulu MBA vím, že analýza rizika je součástí tohoto studijního plánu. Řízení rizik je skutečným základem veškeré kybernetické bezpečnosti od jejích počátků a jako certifikovaný odborník na hodnocení rizik INFOSEC vím, že je vyučováno v osnovách informatiky. Analýza rizik je pravděpodobně také součástí Human Behavioral Science, Disease Management Science a mnoha dalších.
- Díky. Připadalo mi to jako rudimentární ekvivalent cen pojistného v obecném pojištění (náklady na pojistné plnění x pravděpodobnost uvedeného pojistného plnění).