Kuinka voin laskea yhden tappioodotuksen ilman annettua altistustekijää?

Voiko joku selittää minulle?

Kommentit

  • Lukemalla SLE-määritelmän rivien välillä uskon, että altistumistekijän on oltava jonkin verran subjektiivinen mittari, joka sinun on arvioitava itse.

vastaus

Et voi laskea yksittäisen tappion odotetta (SLE) ilman todellista, historiallista, arvioitua tai arviolta arvioitua altistuskerrointa (EF ). Mielestäni useimmista INFOSECin riskinhallintakoulutusmateriaaleista, jotka kattavat kvantitatiivisen analyysin, puuttuu se, että ne eivät anna paljon ohjeita siitä, miten yleinen riskimääritelmä [riski = f (omaisuus, uhka, haavoittuvuus)] muunnetaan EF: ksi ja SLE- ja ALE-kaavat. Katsoin juuri verkosta, enkä nähnyt ketään, joka kattoi sen hyvin.

Riskin olemassaolemiseksi on oltava haavoittuvuus, jota voidaan hyödyntää, ja uhka tätä haavoittuvuutta vastaan. Näillä uhilla on myös todennäköisyys esiintyä (joka voi perustua havaittuihin hyökkäyksiin). Uhkatodennäköisyys tarkoittaa kvantitatiivisessa analyysissä vuotuista esiintymisastetta. Joten sinun EF perustuu enimmäkseen haavoittuvuuteen ja sen seurauksiin omaisuuteen, kun uhka esiintyy.

Monet riskikohtaiset (eli uhka / haavoittuvuusparit) EF-arvot johtavat 0 EF: ään tai 1 EF: ään mikä vähentää osaa riskianalyysin työmäärästä. Joskus EF-estimointia tehtäessä on myös hyödyllistä ottaa huomioon mahdolliset lieventimet, jotka on otettu käyttöön haavoittuvuuden vähentämiseksi tai poistamiseksi.

Joitakin yksinkertaistettuja esimerkkejä triviaalista 0 ja 1 EF: stä:

  • Omaisuus: verkossa olevan pankkitilin saldo

    • Uhka: Hakkeri käyttää kalastussähköposteja saadakseen pankkitilin kirjautumistiedot tyhjentämään tilejä

      • Haavoittuvuudet: HUMINT: tilin haltija huijataan paljastamaan käyttäjätunnuksensa & salasana
      • Mitigatorit: ei mitään
      • Tuloksena oleva EF pankkitilin saldo: 1,0
    • Uhka: Hakkeri käyttää kalastussähköposteja saadakseen pankkitilin kirjautumistiedot tyhjentämään tilejä

      • Haavoittuvuudet: HUMINT : tilinomistaja huijataan paljastamaan käyttäjätunnuksensa & salasana
      • Lieventimet: pankki ei salli ulkoisten saldosiirtojen aloittamista verkossa; pankki ei näytä tilinumeroita tai numeroiden reitittäminen verkossa
      • Tuloksena oleva EF pankkitilille ba lance: 0.0
    • Uhka: Hakkeri käyttää viimeisimpiä luetteloita varastetuista käyttäjätunnuksista / salasanoista sosiaalisen median sivustolta

      • Haavoittuvuudet: HUMINT : monet tilinhaltijat käyttävät samoja salasanoja kaikilla sivustoilla ja AUTHEN: monet sivustot (mukaan lukien tämä pankki) käyttävät käyttäjän sähköpostiosoitetta
      • Lieventimet: pankilla on kaksitekijäinen todennus
      • Tuloksena oleva pankkitilin saldo: 0,0

Useimpien muiden riskien varalta on arvioitava haavoittuvuus , uhka ja mahdolliset haavoittuvuuden lieventimet arvioidun hyötysuhteen määrittämiseksi. Jos ei ole paljon todellisia havaittuja tietoja EF: n perustamiseksi riskistä riippuen, nämä yksittäiset SLE: t voivat olla villisti linjan ulkopuolella. Kun se kootaan yhteenlaskettuihin vuotuisiin tappioennusteisiin, sillä voi olla erittäin suuri virhemarginaali kaikkien huonosti arvioitujen yksittäisten sijoitusrahastojen vuoksi.

Kuitenkin käyttämällä esimerkkinä pankkialaa, pankille, joka on ollut -toimintaa monien vuosien ajan, heillä on yksityiskohtaiset historialliset tappiotiedot (mukaan lukien kyberhäviöt). Pankki voi tosiasiallisesti laskea nämä arvot (EF, SLE, ARO, ALE) melko tarkasti historiaansa tähän päivään mennessä ja käyttää niitä sitten tulevien tappioiden ennustamiseen.

Kun otetaan huomioon myös tämä yksityiskohtainen tappiohistoria , pankit voivat tehdä suhteellisen tarkan kustannus-hyötyanalyysin uusien lieventimien käyttöönotosta (kuten kaksivaiheinen todennus).

  1. Määritä kokonaiskustannusarvio tämän lieventimen toteuttamiseksi ja käyttöönottamiseksi .
  2. Laske yhteenlasketut ALE-arvot nykyisillä EF-arvoilla ajanjaksolla (sanotaan 10 vuotta).
  3. Hienosäädä kaikki EF: t, joihin lieventäjä vaikuttaa.
  4. Laske uusi aggregaatin ALE samana ajanjaksona
  5. Laske uuden aggregaatin ALE ja nykyisen välinen ero yhteenlaskettu ALE (jonka toivotaan hyötyvän siinä mielessä, että uusi ALE olisi mieluiten pienempi kuin nykyinen ALE)
  6. Jos hyöty (tappion vähentäminen) on suurempi kuin toteutuksen kokonaiskustannukset, tee niin; jos hyöty (tappion väheneminen) on huomattavasti pienempi kuin toteutuksen kokonaiskustannukset, kustannus-hyötyanalyysi suosittelee, ettei lieventäjää toteuteta.

Kommentit

  • Mikä " akateeminen " -alue käsittelee näitä arvioita? Se näyttää luonteeltaan varsin vakuutusmatemaattiselta.
  • Monet akateemiset alueet käyttävät ja tekevät tutkimuksia riskianalyyseistä.Rahoitus- ja vakuutusriski on erinomainen esimerkki, ja MBA-tutkinnon suorittamisen jälkeen tiedän, että riskianalyysi on osa tätä opetussuunnitelmaa. Riskienhallinta on kaiken kyberturvallisuuden todellinen perusta alusta asti, ja sertifioituna INFOSEC-riskinarvioinnin ammattilaisena tiedän, että sitä opetetaan tietojenkäsittelytieteen opetussuunnitelmassa. Riskianalyysi on todennäköisesti myös osa ihmisen käyttäytymistieteitä, tautienhallintatieteitä ja monia muita.
  • Kiitos. Minusta tuntui olevan alkeellinen vastine vakuutusmaksun hinnoittelusta (korvauskustannukset x mainitun vahingon todennäköisyys).

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *