Comment puis-je calculer une seule espérance de perte sans facteur dexposition donné?

Quelquun peut-il mexpliquer?

Commentaires

  • Lecture entre les lignes de la définition SLE Je pense que le facteur dexposition doit être une mesure quelque peu subjective que vous devez estimer vous-même.

Réponse

Vous ne pouvez pas calculer une espérance de perte unique (SLE) sans un facteur dexposition réel, historique, estimé ou estimé (FE ). Je pense que ce qui manque dans la plupart des supports de formation INFOSEC Risk Management qui couvrent lanalyse quantitative, cest quils ne donnent pas beaucoup dindications sur la manière de traduire la définition générique du risque [risque = f (actif, menace, vulnérabilité)] en FE et en les formules SLE et ALE. Jai regardé en ligne tout à lheure, et je nai vu personne qui le couvrait bien.

Pour quun risque existe, il doit y avoir une vulnérabilité à exploiter, et des menaces contre cette vulnérabilité. Ces menaces ont également une probabilité doccurrence (qui peut être basée sur les attaques observées). La probabilité de menace se traduit par le taux doccurrence annualisé dans lanalyse quantitative. Ainsi, votre EF est principalement basé sur la vulnérabilité et ses conséquences sur lactif lorsque la menace se produit.

De nombreux EF par risque (cest-à-dire par paire menace / vulnérabilité) donnent un EF 0 ou un 1 EF ce qui réduit une partie de la charge de travail danalyse des risques. Il est également parfois utile, lors de lestimation dEF, de prendre en compte les atténuateurs mis en place pour réduire ou éliminer la vulnérabilité.

Quelques exemples simplistes dEF 0 et 1 triviaux:

  • Actif: solde dun compte bancaire accessible en ligne

    • Menace: le pirate utilise des e-mails de pêche pour obtenir des identifiants de compte bancaire afin de vider les comptes

      • Vulnérabilités: HUMINT: le titulaire du compte est amené à révéler son ID utilisateur & mot de passe
      • Mitigateurs: aucun
      • EF résultant à solde du compte bancaire: 1.0

    • Menace: le pirate utilise des e-mails de pêche pour obtenir des identifiants de compte bancaire pour vider les comptes

      • Vulnérabilités: HUMINT : le titulaire du compte est amené à révéler son identifiant dutilisateur & mot de passe
      • Mitigeurs: la banque nautorise pas les virements de solde externes en ligne; la banque naffiche pas les numéros de compte ou acheminement des numéros en ligne
      • EF résultant vers le compte bancaire ba lance: 0.0

    • Menace: le pirate informatique utilise des listes récentes dID utilisateur / mot de passe volés sur un site de réseau social

      • Vulnérabilités: HUMINT : de nombreux titulaires de compte utilisent les mêmes mots de passe sur tous les sites et AUTHEN: de nombreux sites (y compris cette banque) utilisent leur adresse e-mail comme identifiant d’utilisateur
      • Mitigators: la banque dispose d’une authentification à deux facteurs
      • EF résultant sur le solde du compte bancaire: 0,0

Pour la plupart des autres risques, il faut évaluer la vulnérabilité , la menace et les éventuels atténuateurs de vulnérabilité pour décider dun FE estimé. Si lon ne dispose pas de beaucoup de données réelles observées pour baser le FE en fonction du risque, alors ces SLE individuels peuvent être complètement hors ligne. Lorsquil est regroupé en attentes de pertes annualisées agrégées, il peut présenter une très grande marge derreur en raison de tous les FE individuels mal estimés.

Cependant, en utilisant le secteur bancaire comme exemple, pour une banque qui -opérationnel depuis de nombreuses années, ils disposent de données historiques détaillées sur les pertes (y compris les pertes liées à la cyber-criminalité) Une banque peut en fait calculer ces valeurs (EF, SLE, ARO, ALE) assez précisément pour leur historique à ce jour, puis les utiliser pour prédire les pertes futures.

De plus, étant donné cet historique détaillé des pertes. , les banques peuvent effectuer une analyse hypothétique coût / bénéfice relativement précise de la mise en œuvre de nouveaux atténuateurs (comme lauthentification à deux facteurs).

  1. Déterminer lestimation du coût total pour mettre en œuvre et déployer cet atténuateur .
  2. Calculez lALE agrégée en fonction des FE actuels sur une période de temps (disons 10 ans).
  3. Ajustez tous les EF que latténuation affecte.
  4. Calculez le nouvel ALE agrégé sur la même période
  5. Calculez la différence entre le nouvel ALE agrégé et lactuel ALE agrégée (qui est lavantage espéré dans la mesure où le nouvel ALE sera idéalement plus petit que lALE actuel)
  6. Si lavantage (réduction des pertes) est supérieur au coût total de mise en œuvre, alors faites-le; si lavantage (réduction des pertes) est nettement inférieur au coût total à mettre en œuvre, lanalyse coût / bénéfice recommande de ne pas mettre en œuvre latténuation.

Commentaires

  • Quel domaine " académique " traite de ces estimations? Cela semble assez actuariel par nature.
  • De nombreux domaines universitaires utilisent et font des recherches sur lanalyse des risques.Le risque financier / dassurance est un excellent exemple, et après avoir obtenu mon MBA, je sais que lanalyse des risques fait partie de ce programme. La gestion des risques est la base réelle de toute cybersécurité depuis ses débuts, et en tant que professionnel certifié de lévaluation des risques INFOSEC, je sais quelle est enseignée dans le programme dinformatique. Lanalyse des risques fait également probablement partie de la science du comportement humain, de la science de la gestion des maladies et de bien dautres.
  • Merci. Cela ma semblé être un équivalent rudimentaire de la tarification des primes en assurance générale (coût dune réclamation x probabilité de réclamation).

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *