Jak mogę obliczyć oczekiwaną pojedynczą stratę bez określonego współczynnika ekspozycji?
Czy ktoś może mi wyjaśnić?
Komentarze
- Czytanie między wierszami definicji SLE Uważam, że współczynnik narażenia musi być nieco subiektywną miarą, którą trzeba samodzielnie oszacować.
Odpowiedź
Nie można obliczyć przewidywanej pojedynczej straty (SLE) bez faktycznego, historycznego, szacowanego lub szacowanego współczynnika narażenia (EF ). Myślę, że to, czego brakuje w większości materiałów szkoleniowych INFOSEC z zakresu zarządzania ryzykiem, które obejmują analizę ilościową, to fakt, że nie zawierają one zbyt wielu wskazówek, jak przetłumaczyć ogólną definicję ryzyka [ryzyko = f (aktywa, zagrożenie, podatność)] na EF i na formuł SLE i ALE. Sprawdziłem teraz w Internecie i nie widziałem nikogo, kto by to dobrze opisał.
Aby istniało ryzyko, musi istnieć luka w zabezpieczeniach, którą można wykorzystać, oraz zagrożenie dla tej luki. Zagrożenia te mają również prawdopodobieństwo wystąpienia (które może być oparte na zaobserwowanych atakach). Prawdopodobieństwo zagrożenia przekłada się na roczny wskaźnik występowania w analizie ilościowej. Więc twój EF opiera się głównie na luce i jej konsekwencjach dla zasobu, gdy pojawi się zagrożenie.
Wiele EF na ryzyko (czyli para na zagrożenie / podatność) daje 0 EF lub 1 EF co zmniejsza część obciążenia pracą związaną z analizą ryzyka. Czasami pomaga również w oszacowaniu EF, aby wziąć pod uwagę wszelkie środki ograniczające zagrożenie, które zostały wprowadzone w celu zmniejszenia lub wyeliminowania luki.
Kilka uproszczonych przykładów trywialnych EF 0 i 1:
-
Zasób: dostępne online saldo konta bankowego
-
Zagrożenie: haker wykorzystuje e-maile wędkarskie, aby uzyskać dane logowania do konta bankowego w celu opróżnienia kont
- Luki: HUMINT: właściciel konta jest oszukiwany, aby ujawnić swój identyfikator użytkownika & hasło
- Ograniczniki: brak
- Wynikowy EF do saldo konta bankowego: 1.0
-
Zagrożenie: haker wykorzystuje e-maile wędkarskie, aby uzyskać dane logowania do kont bankowych w celu opróżnienia kont
- Luki w zabezpieczeniach: HUMINT : właściciel konta jest oszukiwany, aby ujawnić swój identyfikator użytkownika & hasło
- Ograniczenia: bank nie zezwala na inicjowanie zewnętrznych przelewów salda online; bank nie wyświetla numerów kont ani numery rozliczeniowe online
- Wynikowy EF na konto bankowe ba lance: 0.0
-
Zagrożenie: haker wykorzystuje ostatnie listy skradzionych identyfikatorów użytkowników / haseł z serwisu społecznościowego
- Luki w zabezpieczeniach: HUMINT : wielu posiadaczy kont używa tych samych haseł we wszystkich witrynach i AUTHEN: wiele witryn (w tym ten bank) używa adresu e-mail użytkownika jako identyfikatora użytkownika.
- Ograniczenia: bank ma uwierzytelnianie dwuskładnikowe na miejscu
- Wynikowy EF na saldo konta bankowego: 0,0
-
W przypadku większości innych rodzajów ryzyka należy ocenić lukę , zagrożenie i wszelkie czynniki ograniczające podatność, aby zdecydować o szacowanym EF. Jeśli ktoś nie ma wielu rzeczywistych obserwowanych danych, aby oprzeć EF w zależności od ryzyka, wtedy te indywidualne SLE mogą być dziko poza linią. Po uwzględnieniu zagregowanych rocznych prognoz strat może mieć bardzo duży margines błędu ze względu na wszystkie słabo oszacowane poszczególne EF.
Jednak na przykładzie sektora bankowego dla banku, który był w -pracują przez wiele lat, posiadają szczegółowe dane historyczne o stratach (w tym o stratach cybernetycznych). Bank może właściwie obliczyć te wartości (EF, SLE, ARO, ALE) dość dokładnie na podstawie ich dotychczasowej historii, a następnie wykorzystać je do przewidywania przyszłych strat.
Ponadto biorąc pod uwagę tę szczegółową historię strat banki mogą przeprowadzić stosunkowo dokładną analizę kosztów i korzyści wdrażania nowych czynników ograniczających zagrożenie (takich jak uwierzytelnianie dwuskładnikowe).
- Określić całkowity szacunek kosztów wdrożenia i wdrożenia tego środka łagodzącego .
- Oblicz zagregowany ALE dla danych bieżących EF w okresie (powiedzmy 10 lat).
- Popraw wszystkie EF, na które wpływa ogranicznik.
- Oblicz nowy zagregowany ALE w tym samym okresie
- Oblicz różnicę między nowym zagregowanym ALE a bieżącym zagregowany ALE (który jest oczekiwaną korzyścią, ponieważ nowy ALE idealnie powinien być mniejszy niż obecny ALE)
- Jeśli korzyść (redukcja strat) jest większa niż całkowity koszt wdrożenia, zrób to; jeśli korzyść (redukcja strat) jest znacznie mniejsza niż całkowity koszt wdrożenia, wówczas analiza kosztów i korzyści zalecałaby, aby nie wdrażać środka łagodzącego.
Komentarze
- Jaki " obszar akademicki " zajmuje się tymi szacunkami? Wydaje się, że ma to dość aktuarialny charakter.
- Wiele obszarów akademickich wykorzystuje i prowadzi badania nad analizą ryzyka.Ryzyko finansowe / ubezpieczeniowe jest najlepszym przykładem, a po uzyskaniu tytułu MBA wiem, że analiza ryzyka jest częścią tego programu nauczania. Zarządzanie ryzykiem jest faktyczną podstawą całego cyberbezpieczeństwa od samego początku i jako certyfikowany specjalista ds. Oceny ryzyka INFOSEC wiem, że jest to nauczane w programie informatyki. Analiza ryzyka jest również prawdopodobnie częścią nauk o zachowaniu ludzi, nauk o zarządzaniu chorobami i wielu innych.
- Dzięki. Wydało mi się, że jest to podstawowy odpowiednik ceny składki w ubezpieczeniach ogólnych (koszt roszczenia x prawdopodobieństwo tego roszczenia).