Cum pot calcula o singură speranță de pierdere fără un factor de expunere dat?
Poate cineva să-mi explice?
Comentarii
- Citind între liniile definiției SLE cred că factorul de expunere trebuie să fie o măsură oarecum subiectivă pe care trebuie să o evaluați.
Răspuns
Nu puteți calcula o singură speranță de pierdere (SLE) fără un factor de expunere (EF) real, istoric, estimat sau estimat ). Cred că ceea ce lipsește în majoritatea materialelor de formare INFOSEC privind managementul riscurilor care acoperă analiza cantitativă, este că acestea nu oferă prea multe îndrumări despre cum să traducem definiția generică a riscului [risc = f (activ, amenințare, vulnerabilitate)] într-un EF și formulele SLE și ALE. Am căutat online chiar acum și nu am văzut pe nimeni care să o acopere bine.
Pentru a exista un risc trebuie să existe o vulnerabilitate de exploatat și amenințări împotriva acestei vulnerabilități. Aceste amenințări au, de asemenea, o probabilitate de apariție (care poate fi bazată pe atacuri observate). Probabilitatea amenințării se traduce prin rata anuală de apariție în analiza cantitativă. Așadar, EF-ul dvs. se bazează în principal pe vulnerabilitate și consecințele acestuia asupra activului atunci când apare amenințarea.
Multe EF per-risc (adică perechi per-amenințare / vulnerabilitate) au ca rezultat un EF 0 sau 1 EF ceea ce reduce o parte din volumul de lucru al analizei riscurilor. De asemenea, ajută uneori la efectuarea estimării EF să ia în considerare orice atenuant care este pus în loc pentru a ajuta la reducerea sau eliminarea vulnerabilității.
Câteva exemple simpliste de EF-uri 0 și 1 banale:
-
Active: soldul unui cont bancar accesibil online
-
Amenințare: hackerul folosește e-mailuri de pescuit pentru a obține date de conectare la cont bancar pentru a scurge conturile
- Vulnerabilități: HUMINT: titularul contului este păcălit să-și dezvăluie parola de utilizator &
- Atenuante: niciuna
- EF rezultat la sold cont bancar: 1.0
-
Amenințare: hacker folosește e-mailuri de pescuit pentru a obține date de conectare la cont bancar pentru a scurge conturile
- Vulnerabilități: HUMINT : titularul contului este înșelat să-și dezvăluie parola de utilizator &
- Atenuante: banca nu permite inițierea online a transferurilor de sold extern; banca nu afișează numerele de cont sau numere de rutare online
- EF rezultat către contul bancar ba lance: 0.0
-
Amenințare: hackerul folosește liste recente de user / parole furate de pe un site de socializare
- Vulnerabilități: HUMINT : mulți deținători de cont folosesc aceleași parole pe toate site-urile și AUTHEN: multe site-uri (inclusiv această bancă) folosesc adresa de e-mail ca identificator de utilizator
- Atenuante: banca are autentificare în loc cu doi factori
- EF rezultat la soldul contului bancar: 0,0
-
Pentru majoritatea celorlalte riscuri, trebuie să evalueze vulnerabilitatea , amenințarea și orice atenuare a vulnerabilității pentru a decide asupra unui EF estimat. Dacă nu există o mulțime de date reale observate pentru a baza EF în funcție de risc, atunci aceste SLE individuale pot fi extrem de în afara liniei. Atunci când este acumulat în speranțe de pierdere anualizate agregate, ar putea avea o marjă de eroare foarte mare datorită tuturor FE individuale slab estimate.
Cu toate acestea, folosind industria bancară ca exemplu, pentru o bancă care a fost în -operarea timp de mai mulți ani, au date istorice detaliate privind pierderile (inclusiv pierderile legate de cibernetice). O bancă poate efectiv să calculeze aceste valori (EF, SLE, ARO, ALE) destul de precis pentru istoricul lor până în prezent și apoi să le folosească pentru previziunile pierderilor viitoare.
De asemenea, având în vedere acest istoric detaliat al pierderilor , băncile pot face o analiză relativ exactă a costurilor și beneficiilor implementării noilor atenuante (cum ar fi autentificarea cu doi factori).
- Determinați estimarea costului total pentru a implementa și implementa atenuatorul. .
- Calculați ALE agregate date EF curente pe o perioadă de timp (să zicem 10 ani).
- Modificați orice EF pe care îl afectează atenuatorul.
- Calculați noul ALE agregat în aceeași perioadă de timp
- Calculați diferența dintre noul ALE agregat și actualul ALE agregat (care este beneficiul sperat prin faptul că noul ALE ar fi în mod ideal mai mic decât actualul ALE)
- Dacă beneficiul (reducerea pierderilor) este mai mare decât costul total de implementat, atunci faceți acest lucru; dacă beneficiul (reducerea pierderilor) este semnificativ mai mic decât costul total de implementat, atunci analiza cost-vs-beneficiu ar recomanda să nu implementați atenuatorul.
Comentarii
- Ce " zona academică " se ocupă de aceste estimări? Pare destul de actuarial.
- Multe domenii academice utilizează și fac cercetări în analiza riscurilor.Riscul financiar / de asigurare este un prim exemplu și, după ce am obținut MBA, știu că analiza riscurilor face parte din acel curriculum. Gestionarea riscurilor este baza reală a întregii securități cibernetice de la începuturile sale și, în calitate de profesionist certificat în evaluarea riscurilor INFOSEC, știu că este predat în programa informatică. Analiza riscurilor face parte, de asemenea, probabil din știința comportamentului uman, știința gestionării bolilor și multe altele.
- Mulțumesc. Mi s-a părut a fi un echivalent rudimentar al prețurilor primelor în asigurarea generală (costul unei daune x probabilitatea unei astfel de daune).