¿Cómo puedo calcular una sola expectativa de pérdida sin un factor de exposición determinado?
¿Alguien puede explicarme?
Comentarios
- Leyendo entre líneas la definición de LES, creo que el factor de exposición debe ser una medida algo subjetiva que debe estimar usted mismo.
Respuesta
No se puede calcular una expectativa de pérdida única (SLE) sin un factor de exposición real, histórico, estimado o estimado por conjetura (EF ). Creo que lo que falta en la mayoría de los materiales de capacitación en gestión de riesgos de INFOSEC que cubren el análisis cuantitativo es que no brindan mucha orientación sobre cómo traducir la definición genérica de riesgo [riesgo = f (activo, amenaza, vulnerabilidad)] en un FA y en las fórmulas SLE y ALE. Busqué en línea hace un momento y no vi a nadie que lo cubriera bien.
Para que exista un riesgo, debe haber una vulnerabilidad para explotar y amenazas contra esa vulnerabilidad. Esas amenazas también tienen una probabilidad de ocurrencia (que puede basarse en ataques observados). La probabilidad de amenaza se traduce en la tasa anualizada de ocurrencia en el análisis cuantitativo. Por lo tanto, su EF se basa principalmente en la vulnerabilidad y sus consecuencias para el activo cuando ocurre la amenaza.
Muchos EF por riesgo (es decir, por par de amenaza / vulnerabilidad) dan como resultado un EF de 0 o un EF de 1 lo que reduce parte de la carga de trabajo del análisis de riesgos. También ayuda a veces al hacer la estimación de EF tener en cuenta también los mitigadores que se implementan para ayudar a reducir o eliminar la vulnerabilidad.
Algunos ejemplos simplistas de EF triviales 0 y 1:
-
Activo: el saldo de una cuenta bancaria accesible en línea
-
Amenaza: un pirata informático emplea correos electrónicos de pesca para obtener inicios de sesión de cuentas bancarias para agotar cuentas
- Vulnerabilidades: HUMINT: se engaña al titular de la cuenta para que revele su ID de usuario & contraseña
- Mitigantes: ninguno
- EF resultante para saldo de la cuenta bancaria: 1.0
-
Amenaza: El pirata informático emplea correos electrónicos de pesca para obtener inicios de sesión de cuentas bancarias para agotar cuentas
- Vulnerabilidades: HUMINT : el titular de la cuenta es engañado para que revele su ID de usuario & contraseña
- Mitigadores: el banco no permite que se inicien transferencias de saldo externo en línea; el banco no muestra los números de cuenta ni números de ruta en línea
- EF resultante a la cuenta bancaria ba lanza: 0.0
-
Amenaza: El pirata informático utiliza listas recientes de ID de usuario / contraseña robadas de un sitio de redes sociales
- Vulnerabilidades: HUMINT : muchos titulares de cuentas utilizan las mismas contraseñas en todos los sitios y AUTHEN: muchos sitios (incluido este banco) utilizan una dirección de correo electrónico como ID de usuario
- Mitigadores: el banco tiene una autenticación de dos factores en el lugar
- EF resultante al saldo de la cuenta bancaria: 0.0
-
Para la mayoría de los otros riesgos, se debe evaluar la vulnerabilidad , la amenaza y los mitigadores de vulnerabilidad para decidir sobre un EF estimado. Si uno no tiene muchos datos reales observados para basar el FE dependiendo del riesgo, entonces estos LES individuales pueden estar muy fuera de línea. Cuando se acumula en Expectativas de pérdida anualizadas agregadas, podría tener un margen de error muy grande debido a todos los FE individuales mal estimados.
Sin embargo, utilizando la industria bancaria como ejemplo, para un banco que ha estado en -operación durante muchos años, tienen datos históricos detallados de pérdidas (incluidas las pérdidas relacionadas con el ciberespacio). Un banco puede calcular estos valores (EF, SLE, ARO, ALE) con bastante precisión para su historial hasta la fecha, y luego usarlos para predicciones de pérdidas futuras.
Además, dado ese historial de pérdidas detallado , los bancos pueden hacer un análisis hipotético relativamente preciso de costo vs beneficio de la implementación de nuevos mitigadores (como la autenticación de dos factores).
- Determinar la estimación del costo total para implementar e implementar ese mitigador .
- Calcule el ALE agregado dados los FE actuales durante un período de tiempo (digamos 10 años).
- Modifique cualquier FE que afecte el mitigador.
- Calcule el nuevo ALE agregado durante ese mismo período de tiempo
- Calcule la diferencia entre el nuevo ALE agregado y el actual ALE agregado (que es el beneficio esperado en el sentido de que el nuevo ALE idealmente sería más pequeño que el ALE actual)
- Si el beneficio (reducción de pérdidas) es mayor que el costo total de implementación, hágalo; si el beneficio (reducción de pérdidas) es significativamente menor que el costo total de implementación, entonces el análisis de costo vs beneficio recomendaría no implementar el mitigador.
Comentarios
- ¿Qué área " académica " trata con estas estimaciones? Parece de naturaleza bastante actuarial.
- Muchas áreas académicas utilizan y realizan investigaciones sobre el análisis de riesgos.El riesgo financiero / de seguros es un excelente ejemplo, y habiendo obtenido mi MBA, sé que el análisis de riesgos es parte de ese plan de estudios. La gestión de riesgos es la base real de toda la seguridad cibernética desde sus inicios, y como profesional certificado en evaluación de riesgos de INFOSEC, sé que se enseña en el plan de estudios de informática. Es probable que el análisis de riesgos también forme parte de la ciencia del comportamiento humano, la ciencia del manejo de enfermedades y muchas otras.
- Gracias. Me pareció un equivalente rudimentario del precio de la prima en el seguro general (costo de un reclamo x probabilidad de dicho reclamo).