Como posso calcular uma única expectativa de perda sem um determinado fator de exposição?

Alguém pode me explicar?

Comentários

  • Lendo nas entrelinhas da definição do SLE, acredito que o fator de exposição deve ser uma medida um tanto subjetiva que você mesmo deve estimar.

Resposta

Você não pode calcular uma expectativa de perda única (SLE) sem um fator de exposição real, histórico, estimado ou estimado estimado (EF ) Eu acho que o que está faltando na maioria dos materiais de treinamento de Gerenciamento de Risco INFOSEC que cobrem a análise quantitativa, é que eles não dão muita orientação sobre como traduzir a definição de risco genérico [risco = f (ativo, ameaça, vulnerabilidade)] em um EF e em as fórmulas SLE e ALE. Procurei online agora mesmo e não vi ninguém que cobrisse bem.

Para que exista um risco, deve haver uma vulnerabilidade a ser explorada e ameaças contra essa vulnerabilidade. Essas ameaças também têm uma probabilidade de ocorrência (que pode ser baseada em ataques observados). A Probabilidade de Ameaça se traduz na Taxa Anualizada de Ocorrência na análise quantitativa. Portanto, seu EF é baseado principalmente na vulnerabilidade e suas consequências para o ativo quando a ameaça ocorre.

Muitos EFs por risco (significando par por ameaça / vulnerabilidade) resultam em 0 EF ou 1 EF o que reduz parte da carga de trabalho da análise de risco. Também ajuda, às vezes, ao fazer a estimativa de EF, considerar também quaisquer mitigadores que são colocados em prática para ajudar a reduzir ou eliminar a vulnerabilidade.

Alguns exemplos simplistas de EFs 0 e 1 triviais:

  • Ativo: o saldo de uma conta bancária acessível online

    • Ameaça: o hacker emprega e-mails de pesca para obter logins de contas bancárias para drenar contas

      • Vulnerabilidades: HUMINT: o titular da conta é enganado para revelar seu ID de usuário & senha
      • Mitigadores: nenhum
      • EF resultante para saldo da conta bancária: 1,0
    • Ameaça: Hacker emprega e-mails de pesca para obter logins de contas bancárias para drenar contas

      • Vulnerabilidades: HUMINT : o titular da conta é enganado para revelar seu ID de usuário & senha
      • Mitigadores: o banco não permite que transferências externas de saldo sejam iniciadas online; o banco não mostra os números das contas números de roteamento online
      • EF resultante para conta bancária ba lance: 0.0
    • Ameaça: Hacker usa listas recentes de ID de usuário / senha roubados de um site de mídia social

      • Vulnerabilidades: HUMINT : muitos titulares de contas usam as mesmas senhas em todos os sites e AUTENTICO: muitos sites (incluindo este banco) usam um endereço de e-mail como ID de usuário
      • Atenuadores: o banco possui autenticação de dois fatores no local
      • EF resultante para o saldo da conta bancária: 0,0

Para a maioria dos outros riscos, é necessário avaliar a vulnerabilidade , a ameaça e quaisquer mitigadores de vulnerabilidade para decidir sobre um EF estimado. Se não houver muitos dados reais observados para basear a FE dependendo do risco, então esses SLEs individuais podem estar totalmente fora de linha. Quando acumulado em expectativas de perda anualizadas agregadas, pode ter uma margem de erro muito grande devido a todos os EFs individuais mal estimados.

No entanto, usando o setor bancário como exemplo, para um banco que esteve em -operação por muitos anos, eles têm dados históricos detalhados de perdas (incluindo perdas relacionadas à cibernética). Um banco pode realmente calcular esses valores (EF, SLE, ARO, ALE) com bastante precisão para seu histórico até o momento e, em seguida, usá-los para previsões de perdas futuras.

Além disso, dado o histórico de perdas detalhado , os bancos podem fazer análises hipotéticas relativamente precisas de custo x benefício de implementação de novos mitigadores (como autenticação de dois fatores).

  1. Determine a estimativa de custo total para implementar e implantar esse mitigador .
  2. Calcule o ALE agregado dado os EFs atuais ao longo de um período de tempo (digamos 10 anos).
  3. Ajuste quaisquer EFs que o mitigador afeta.
  4. Calcule o novo ALE agregado durante o mesmo período
  5. Calcule a diferença entre o novo ALE agregado e o atual ALE agregado (que é o benefício esperado, pois a nova ALE é idealmente menor do que a ALE atual)
  6. Se o benefício (redução de perdas) for maior do que o custo total de implementação, faça isso; se o benefício (redução de perdas) for significativamente menor do que o custo total para implementar, a análise de custo versus benefício recomendaria não implementar o mitigador.

Comentários

  • Qual área " acadêmica " lida com essas estimativas? Parece bastante atuarial por natureza.
  • Muitas áreas acadêmicas utilizam e fazem pesquisas sobre análise de risco.O risco financeiro / de seguros é um excelente exemplo e, tendo obtido meu MBA, sei que a análise de risco faz parte desse currículo. O gerenciamento de risco é a base real de toda a segurança cibernética desde seu início e, como um profissional certificado de avaliação de risco da INFOSEC, sei que isso é ensinado no currículo de Ciência da Computação. A análise de risco também provavelmente faz parte da Human Behavioral Science, Disease Management Science e muitos outros.
  • Obrigado. Pareceu-me ser um equivalente rudimentar do preço do prêmio em seguros gerais (custo de um sinistro x probabilidade do referido sinistro).

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *