Come posso calcolare una singola aspettativa di perdita senza un determinato fattore di esposizione?
Qualcuno può spiegarmelo?
Commenti
- Leggere tra le righe della definizione di SLE Credo che il fattore di esposizione debba essere una misura in qualche modo soggettiva che devi stimare da solo.
Risposta
Non è possibile calcolare una singola aspettativa di perdita (SLE) senza un fattore di esposizione effettivo, storico, stimato o stimato (EF ). Penso che ciò che manca nella maggior parte dei materiali di formazione INFOSEC sulla gestione del rischio che coprono lanalisi quantitativa, è che non danno molte indicazioni su come tradurre la definizione di rischio generico [rischio = f (risorsa, minaccia, vulnerabilità)] in un EF e in le formule SLE e ALE. Ho guardato online in questo momento e non ho visto nessuno che lo coprisse bene.
Perché esista un rischio, deve esserci una vulnerabilità da sfruttare e minacce contro quella vulnerabilità. Tali minacce hanno anche una probabilità di accadimento (che può essere basata su attacchi osservati). La probabilità di minaccia si traduce nel tasso di occorrenza annualizzato nellanalisi quantitativa. Quindi il tuo EF si basa principalmente sulla vulnerabilità e sulle sue conseguenze per la risorsa quando si verifica la minaccia.
Molti EF per rischio (ovvero coppia per minaccia / vulnerabilità) danno come risultato un EF 0 o un EF 1 che riduce parte del carico di lavoro dellanalisi dei rischi. A volte aiuta anche a fare la stima EF considerare anche eventuali mitigatori messi in atto per aiutare a ridurre o eliminare la vulnerabilità.
Alcuni esempi semplicistici di EF banali 0 e 1:
-
Risorsa: saldo di un conto bancario accessibile online
-
Minaccia: lhacker utilizza email di pesca per ottenere gli accessi al conto bancario per drenare i conti
- Vulnerabilità: HUMINT: il titolare dellaccount è indotto a rivelare il proprio ID utente & password
- Mitigatori: nessuno
- EF risultante a saldo del conto bancario: 1.0
-
Minaccia: lhacker utilizza email di pesca per ottenere gli accessi al conto bancario per drenare i conti
- Vulnerabilità: HUMINT : il titolare del conto viene indotto con linganno a rivelare il proprio ID utente & password
- Mitigatori: la banca non consente lavvio online di trasferimenti di saldo esterno; la banca non mostra i numeri di conto o numeri di instradamento online
- EF risultante al conto bancario ba lance: 0.0
-
Minaccia: lhacker utilizza elenchi recenti di userid / password rubati da un sito di social media
- Vulnerabilità: HUMINT : molti titolari di account utilizzano le stesse password su tutti i siti e AUTHEN: molti siti (inclusa questa banca) utilizzano il proprio indirizzo email come ID utente
- Mitigatori: la banca dispone dellautenticazione a due fattori
- EF risultante al saldo del conto bancario: 0,0
-
Per la maggior parte degli altri rischi, è necessario valutare la vulnerabilità , la minaccia e gli eventuali mitigatori di vulnerabilità per decidere su un EF stimato. Se non si hanno molti dati reali osservati per basare lEF a seconda del rischio, allora questi singoli SLE possono essere selvaggiamente fuori linea. Se aggregato in previsioni di perdita annualizzate aggregate, potrebbe avere un margine di errore molto ampio a causa di tutti i singoli EF stimati in modo inadeguato.
Tuttavia, utilizzando il settore bancario come esempio, per una banca che è stata -operativo per molti anni, hanno dati storici dettagliati sulle perdite (comprese le perdite legate al cyber). Una banca può effettivamente calcolare questi valori (EF, SLE, ARO, ALE) in modo abbastanza accurato per la loro cronologia fino ad oggi, e quindi utilizzarli per le previsioni di perdite future.
Inoltre, data quella cronologia dettagliata delle perdite , le banche possono eseguire unanalisi costi-benefici relativamente accurata dellimplementazione di nuovi mitigatori (come lautenticazione a due fattori).
- Determina la stima del costo totale per implementare e distribuire tale mitigatore .
- Calcola lALE aggregato dato gli EF attuali in un periodo di tempo (diciamo 10 anni).
- Modifica tutti gli EF influenzati dal mitigatore.
- Calcola il nuovo ALE aggregato nello stesso periodo di tempo
- Calcola la differenza tra il nuovo ALE aggregato e lattuale ALE aggregato (che è il vantaggio sperato in quanto il nuovo ALE idealmente è più piccolo dellattuale ALE)
- Se il vantaggio (riduzione delle perdite) è maggiore del costo totale da implementare, allora fallo; se il vantaggio (riduzione delle perdite) è significativamente inferiore al costo totale da implementare, lanalisi costi-benefici consiglierebbe di non implementare il mitigatore.
Commenti
- Quale " accademico " si occupa di queste stime? Sembra di natura abbastanza attuariale.
- Molte aree accademiche utilizzano e fanno ricerca sullanalisi del rischio.Il rischio finanziario / assicurativo è un ottimo esempio e, avendo conseguito il mio MBA, so che lanalisi del rischio fa parte di quel curriculum. La gestione del rischio è la base effettiva di tutta la sicurezza informatica sin dai suoi inizi e, come professionista certificato INFOSEC nella valutazione dei rischi, so che viene insegnato nel curriculum di Informatica. Anche lanalisi del rischio è probabilmente parte di Human Behavioral Science, Disease Management Science e molti altri.
- Grazie. Mi è sembrato un rudimentale equivalente del prezzo del premio nellassicurazione generale (costo di un sinistro x probabilità di detto sinistro).