Teraz zwykle mierzyliśmy takie problemy, mnożąc prawdopodobieństwo wystąpienia przez oczekiwane uszkodzenia, ale w tym przypadku gubimy się, próbując pomnożyć liczbę zmierzającą do zera przez liczbę zmierzającą do nieskończoności i znaleźć spójną odpowiedź.

Niestety, właśnie to musisz zrobić w tym przypadku. Ale nie wierzę, że te obliczenia są naprawdę tak trudne, jak się wydaje.

Ryzyko można oszacować, najpierw szacując, ile firm jest narażonych na to samo zagrożenie bezpieczeństwa i nie uwzględniają niezbędne środki ostrożności. Następnie przeglądasz wiadomości, aby sprawdzić, ile firm jest dotkniętych tym problemem każdego roku (oraz zgadnij, ile z nich udało się zapobiec upublicznieniu bałaganu). Podziel drugą liczbę przez pierwszą, a otrzymasz procent ryzyka.

Twoje obrażenia nie zmierzają w nieskończoność. Wydarzeniem, które byłoby najbliższe "nieskończonej szkody", byłoby załamanie się całego kontinuum czasowo-przestrzennego Wszechświata (a nawet to jest zdarzenie , w którym można by oszacować fermi, aby oszacować szkody w dolarach, jeśli jesteś znudzony i zainteresowany astrofizyką). Największe szkody, jakie możesz realnie wyrządzić, to bankructwo Twojej firmy. Może mógłbyś spowodować jeszcze większe szkody, jeśli weźmiesz pod uwagę szkody wyrządzone innym osobom. Ale kiedy Twoja firma jest bankrutem, nie może spłacić tych zobowiązań. Możesz więc użyć wartości netto firmy jako górnej granicy spodziewanych szkód.

Ostrzeżenie, że ta reakcja pochodzi z teorii, a nie z doświadczenia.

1. Czy istnieją konsekwencje etyczne dotyczące wpływu złego wydarzenia na innych? Czy zaszkodzi to Twoim użytkownikom? Weź również pod uwagę pracowników firmy, którzy mogą zostać zranieni, jeśli zostanie zrujnowana przez atak. Jeśli tak, możesz czuć, że masz etyczny obowiązek łagodzenia skutków.

2. Czy Twoja firma może wykorzystać to jako punkt sprzedaży lub przewagę konkurencyjną, jeśli faktycznie złagodzisz atak?

3. Ubezpieczenie może nie działać, jeśli szkoda zaszkodzi reputacji Twojej firmy; ubezpieczenie nie może naprawdę pomóc w wyzdrowieniu z tego. Zależy to od formy szkody, być może ubezpieczenie jest dobrym rozwiązaniem.

4. Maksymalizacja oczekiwanych wyników finansowych niekoniecznie jest dobrym sposobem na podejmowanie decyzji, z wyjątkiem problemów z niską stawką. Załóżmy, że możesz zaryzykować, mając 99% szans na bankructwo firmy, ale 1% szansy na pomnożenie jej wartości netto przez 200. „w oczekiwaniu” podwoisz wartość firmy, ale prawie na pewno stracisz pracę.

5. Zamiast wartości oczekiwanej, rozważ takie cele, jak długoterminowe przetrwanie firmy. Na przykład, w ramach dwóch opcji (łagodzić lub nie), jak długo oczekujesz, że firma będzie w pobliżu? (a) Jeśli firma boryka się z problemami i zwiększenie budżetu o 8% prawdopodobnie ją zbankrutuje, to nie masz innego wyjścia, jak zignorować problem i mieć nadzieję, że ci się poszczęści. Jeśli przetrwa ten okres i rozkwitnie, możesz w tym momencie zainwestować. (b) Jeśli firma dobrze sobie radzi, wydaje się, że stać ją na bezpieczne podejście. (c) Jeśli gdzieś pośrodku, decyzja z tej perspektywy staje się trudna.

6. Wydaje się mało prawdopodobne, aby przełożeni chcieli, aby taka decyzja została podjęta bez ich wkładu lub kontroli ...

Powinieneś wziąć pod uwagę fakt, że Twój zespół wie o tym wektorze ataku.

Jeśli po prostu wiedza na temat luki ułatwia wykonanie ataku, możesz masz większy problem niż myślisz. (Na przykład trudny do znalezienia backdoor znany Twojemu zespołowi.)

Jeśli tak jest, członkowie Twojego zespołu znajdują się wysoko na liście przeciwników, którymi należy się martwić, a prawdopodobieństwo, że zostaną zaatakowani może być znacznie wyższa niż byłaby, gdyby Twój zespół o tym nie wiedział.

Pracownicy mogą i często są niezadowoleni. Weź to pod uwagę.

Otrzymujesz ubezpieczenie, które pokryje to ryzyko. Ponieważ jest to bardzo małe prawdopodobieństwo, trudno jest to oszacować, więc zamiast tworzyć indywidualne ubezpieczenie, spróbuj włączyć je do ubezpieczenia, które obejmuje bardziej przyziemne ryzyka. Zasadniczo sprawdzasz, jakie ubezpieczenie, które już masz lub prawdopodobnie potrzebujesz, najprawdopodobniej je pokryje, a jeśli nie, spróbuj wynegocjować dodatkową umowę, która będzie objęta ochroną.

Ubezpieczenie polega na zamianie ubezpieczenia niższe sumaryczne ryzyko (prawdopodobieństwo wystąpienia zdarzenia pomnożone przez koszt pieniężny złagodzenia zdarzenia) na wyższe sumaryczne ryzyko (prawdopodobieństwo 1-krotności pieniężnego kosztu ubezpieczenia) przy zamianie wyższego ryzyka operacyjnego (prawdopodobieństwo zdarzenia pomnożone przez ostateczne szkody wszystkich następstw zdarzenia biznes) na niższy (pieniężny koszt ubezpieczenia).

Ma to sens tylko dla sprzedającego i kupującego ubezpieczenie, gdy szkoda bez łagodzenia jest wyższa niż koszt łagodzenia, a mianowicie gdy szkoda bez ograniczenia poważnie zagroziłoby dalszej działalności.

Wybrałeś właściwe podejście:

Teraz zwykle mierzyliśmy takie problemy, mnożąc prawdopodobieństwo wystąpienia przez spodziewane uszkodzenia ...

i właśnie w obliczu jego ograniczeń:

zgubiliśmy się próbując pomnożyć liczbę zmierzającą do zera przez liczbę zmierzającą do nieskończoności

Powiedziałbym, że masz do czynienia niedopuszczalne ryzyko ( może spowodować poważny cios w działalności firmy i potencjalnie zrujnować cały biznes ) z bardzo małą liczbą zdarzeń.

Moim zdaniem jesteś przed decyzja strategiczna. Jako lider zespołu Twoim zadaniem jest przekazanie problemu szefowi wraz z jego elementami: co się stanie, jeśli Twoja organizacja ucierpi w wyniku ataku, ile ataków zaobserwowano w ostatnich latach, jakie są możliwe środki zaradcze dla tych ataków jaki jest ich koszt. Jeśli chodzi o ważne ryzyko i duży koszt, decyzja zwykle należy do głównego szefa.

Pierwszym krokiem byłoby przeprowadzenie właściwej, ilościowej analizy ryzyka. Inne odpowiedzi dostarczyły już wskazówek, szczególnie chcę wesprzeć wzmiankę o genialnej książce „Jak mierzyć wszystko w ryzyku cyberbezpieczeństwa”. Możesz również spojrzeć na FAIR jako metodę ilościową.

Jednak zarządzanie ryzykiem nie zaczyna się ani nie kończy na analizie ryzyka. Szczególnie w przypadku ryzyka „czarnego łabędzia” w grę wchodzą inne czynniki. Obejmujesz je zdefiniowanymi apetytem na ryzyko i kryteriami ryzyka .

Twoja firma musi zdefiniować swój apetyt na ryzyko , który określa jaki ma to w ogóle związek z ryzykiem (woli być konserwatywnym i unikać ryzyka, woli być bardziej agresywnym i akceptować ryzyko itp.). Może to oznaczać, że ryzyko wykraczające poza określony wpływ jest niedopuszczalne, nawet jeśli ich prawdopodobieństwo lub częstotliwość są niskie. Zwykle ryzyko, które z pewnością zniszczyłoby firmę, mieści się w tej kategorii.

To są dobrzy kandydaci do złagodzenia poprzez ubezpieczenie, jeśli to możliwe. „Rzadkie zdarzenie, ale katastrofalne skutki” to terytorium, na którym działają ubezpieczenia.

Druga definicja, której potrzebujesz, to kryteria ryzyka , które określają, jakiego rodzaju ryzyka nie chcesz zaakceptować przyczyny etyczne, przyczyny odpowiedzialności prawnej lub inne. Na przykład można zdefiniować, że ryzyko dla życia ludzkiego jest niedopuszczalne, nawet jeśli kwantyfikacja mieści się w dopuszczalnym zakresie. Albo że potencjalna kara pozbawienia wolności dla kadry kierowniczej na poziomie C jest nie do przyjęcia bez względu na skwantyfikowaną wartość ryzyka.

Po wykonaniu tych trzech czynności - analizie ryzyka, apetycie na ryzyko i kryteriach ryzyka - powinieneś uzyskać praktyczny wynik. Twój czarny łabędź będzie nie do przyjęcia ze względu na apetyt lub definicje kryteriów, a jeśli nie, jest to po prostu kolejne ryzyko, które należy traktować jak każde inne. Analiza może być szczególnie niestabilna ze względu na niską częstotliwość i niepewność w prawidłowym jej oszacowaniu, co oznacza, że ​​w grę wchodzi odpowiednia metoda ilościowa, która może uwzględniać a) zakres wartości oraz b) wiarygodność szacunków. . (* patrz poniżej)

Na przykład w analizie ryzyka, którą zwykle wykonuję, stosuję metodę Monte Carlo i jednym z moich wyników jest wykres rozrzutu wszystkich wyników scenariusza. Wszystkie czarne łabędzie pojawią się jako pojedyncze (i rzadkie) wartości odstające, a ja mogę je zidentyfikować i zobaczyć w kontekście.

Ostatecznie, szczególnie w przypadku zagrożeń o dużym wpływie, przygotowujesz decyzję . Ktoś z odpowiednimi władzami podejmuje decyzję na podstawie twoich informacji, więc Twoim obowiązkiem jest przedstawienie jej pełnego obrazu bez przeładowywania ich informacjami, które nie są niezbędne do podejmowania decyzji.

Jeszcze jedna uwaga na temat leczenia ryzyka . Możesz wyjść poza analizę i sprawdzić możliwe opcje leczenia. Jeśli potrafisz zidentyfikować terapię, która przy niewielkim wysiłku radykalnie zmienia jedną z twoich wartości wejściowych, być może warto to zrobić w celu zbliżenia obozów do siebie. Na przykład, jeśli istnieje środek, który zmniejszyłby skutki z katastrofalnego zniszczenia firmy do poważnego, ale możliwego do przeżycia, i możesz zmienić swojego czarnego łabędzia w regularne zagrożenie o dużym wpływie.

(*)

Ponieważ wiele osób nigdy nie widziało właściwej ilościowej analizy ryzyka, szukasz czegoś, co nie przyjmuje jednej wartości jako danych wejściowych, ale zakres i parametr kształtu. PERT to jedna metoda - identyfikujesz najniższą racjonalnie prawdopodobną wartość, najwyższą racjonalnie prawdopodobną wartość i najbardziej prawdopodobną wartość. Znany również jako optymistyczno-realistyczno-pesymistyczny. Innym podejściem jest wyraźne określenie wartości ufności, która kształtuje twoją krzywą. W dystrybucji beta byłaby to wartość lambda.

Spójrz na Fair-U jako przykład. Całkiem podoba mi się metoda FAIR, ale są inne. Po prostu nie akceptuj mniej niż odpowiedniego ilościowego (czasami nazywanego statystycznym) podejściem do rozwiązania tych trudniejszych scenariuszy ryzyka.

tl; dr: Jeśli chodzi o lukę w zabezpieczeniach, wystarczająco duży wpływ oznacza, że ​​należy go złagodzić, niezależnie od tego, jak niskie jest prawdopodobieństwo. Co więcej, prawdopodobieństwo to nie jest statyczne, ale stale, być może radykalnie, rośnie.

Jest książka The Black Swan: The Impact of the Highly Nieprawdopodobne autorstwa Nassima Taleba, która większość przykładów czerpie z finansów, ale jest to książka o problemie, z którym się borykasz, gdzie

• Wydarzenie jest rzadkie, potencjalnie prawie nigdy się nie wydarza
• Gdyby zdarzenie miało miejsce, wpływ byłby poważny

W książce przedstawiono obszerny argument filozoficzny dotyczący tego, dlaczego proste / powszechne narzędzia oceny ryzyka, takie jak „prawdopodobieństwo pomnożenia przez wpływ”, są złe nadaje się do oceny ryzyka stwarzanego przez tak skrajne przypadki i prowadzi do niedocenienia ryzyka.

Taleb zachęca do minimalizacji narażenia na zdarzenia o dużym negatywnym wpływie, nawet jeśli prawdopodobieństwo zdarzenia jest znikomo małe, właściwy ruch łagodzi potencjalną katastrofę.

Podoba mi się pomysły Taleba i wydaje mi się, że wspomniał również o cyberbezpieczeństwie oraz o tym, że firmy nie doceniały ryzyka cybernetycznego w swoim dodatku do tej książki, ale oto moje zdanie jako osoba, która przynajmniej chwilowo interesuje się bezpieczeństwem.

Jeśli Twoja firma jest narażona na zagrożenie, które jest aktywnie wykorzystywane na wolności, prawdopodobieństwo, że ten atak zostanie skierowany na Twoją organizację, rośnie wraz z upływem czasu. Ataki nie znikają, stają się po prostu bardziej wyrafinowane i łatwiejsze do wykrycia oraz zautomatyzowania. To, co dziś wymaga pewnych umiejętności myślenia i manipulacji przez inteligentnego crackera, dzieli zaledwie kilka lat od automatycznego wykrycia i wykorzystania przez bota. Ten skok technologiczny może nastąpić z dnia na dzień i następnego dnia zostaniesz pokonany.

Wszystko to oznacza, że ​​w przeciwieństwie do niektórych wyjątkowych dni 0 w Twojej aplikacji, prawdopodobieństwo ataku w Twojej sytuacji nie jest stałą liczbą i rośnie. Co więcej, prawdopodobieństwo to nie będzie rosło w stałym tempie, może i prawdopodobnie będzie robić szybkie skoki i ograniczenia.

• Jeśli chodzi o możliwe szkody, porozmawiaj z kilkoma wykwalifikowanymi prawnikami o tym, kto może zostać pociągnięty do odpowiedzialności i w jaki sposób. Ryzyko dla firmy jako podmiotu komercyjnego może być ograniczone do wartości netto firmy, ale istnieją scenariusze, w których dyrektorzy generalni lub nawet pracownicy mogą być osobiście odpowiedzialni na podstawie prawa cywilnego lub karnego , jeśli powinni byli znał problem. (Oczywiście w zależności od Twojej jurysdykcji. Myślę o naruszeniu zasad prywatności, aby na przykład zwiększyć zyski).
• W zależności od liczby pracowników IT i tego, co robią, zatrudnienie innego pracownika może znacznie zwiększyć współczynnik autobusowy swojego działu. Mądrze nie wyjaśniłeś, co robisz na forum publicznym, ale posiadanie innego administratora może pozwolić ci na wprowadzenie zasady dwóch osób do większej liczby twoich procedur lub radzenie sobie z planowanymi lub nieplanowanymi nieobecnościami i tak dalej. Zatem stwierdzenie, że radzenie sobie z tym ryzykiem kosztuje 8% plus jednego pracownika. Byłoby bardziej jak 8% plus jeden pracownik, możemy zabezpieczyć się przed tym i wieloma innymi zagrożeniami.

Oto umowa:

Jeśli masz tylko własne dane do ochrony, rób, co chcesz, ale jeśli masz w systemie inne dane, które mogą zostać naruszone, wykonasz jedną z następujące:

1. Chroń dane za pomocą wszelkich standardów branżowych lub zaleceń.
2. Poinformuj swoich klientów / klientów / produkty, że chronisz powierzone przez nich dane, wierząc że atakujący nie zaatakują twoich systemów.

W ten sposób dochodzisz do prostego wniosku: chroń swoje systemy w taki sposób, abyś mógł powiedzieć swoim klientom / klientom / produktom jacy jesteś chroniąc swoje dane, nie zmuszając ich do tego, by przestali być Twoimi klientami / klientami / produktami.

Cokolwiek innego i oszukujesz swoich interesariuszy (może to być zaskoczeniem, ale tak, Twoi klienci / klienci / produkty, których dane przechowujesz, są interesariuszami Twojej firmy - nawet zwykłymi ludźmi - zwłaszcza jeśli chodzi o dostępność tych danych dla osób z zewnątrz, t interesariusze mogą nie chcieć, aby się wydarzyło, a Ty jesteś odpowiedzialny za upewnienie się, że dane są odpowiednio chronione, aby nie powiedzieć im, że stosujesz półśrodki ochrony ich danych, kiedy je przesyłają).

Ponadto na wszystko inne: nie daj się zaślepić prostym formułom, które obliczają twoje szanse na bycie celem ataku; Cel ataku nie jest wybierany losowo ze wszystkich firm, na które można przeprowadzić atak (naiwna analiza statystyczna użyłaby tej listy do stworzenia statystycznej szansy na atak), ale ostatecznie jest jednym (może to być również WSZYSTKIE) z listy firm narażonych na atak.

Może to stworzyć iluzję, że nie musisz się martwić o ochronę siebie, ponieważ szansa na bycie celem jest tak mała, ale w rzeczywistości po prostu stawiasz się w grupie ryzyka narażonych celów i nie możesz tego wiedzieć Twoje rzeczywiste szanse bycia celem, ponieważ firmy nie reklamują dokładnie swojego poziomu obrony (z oczywistych powodów). Jeśli ta koncepcja jest trudna do uchwycenia, rozważ następujący scenariusz: na 100 firm co roku 1 firma jest skutecznie atakowana. Bez Twojej wiedzy 90 z tych firm stosuje silne zabezpieczenia przed atakami, a napastnicy po prostu zostawiają je w spokoju, próbując je zaatakować. Prawie wszystkie udane ataki dotyczą pozostałych 10 firm, które stosują półśrodki. Jako nowicjusz na tej scenie spojrzysz na statystyki i ustalisz, że nie musisz chronić swoich systemów, ponieważ istnieje tylko 1/100 szans, że Twoja firma stanie się celem ataku, podczas gdy w rzeczywistości twoje zmiany wynoszą 0, jeśli używasz silnych zabezpieczeń i 1 na 11, jeśli używasz półśrodków. Twoja wewnętrzna kalkulacja ryzyka byłaby kompletną bzdurą.

TLDR; Nie możesz zastosować analizy statystycznej, czy powinieneś chronić swoje systemy, czy nie, ponieważ nie masz wystarczających informacji, aby to zrobić. Powinieneś to zrobić w taki sposób, abyś mógł powiedzieć swoim interesariuszom (to znaczy upewnić się, że to rozumieją, a nie ukrywać przed nimi informacji), co robisz, aby chronić ich dane i nie przestawią się na innego usługodawcę.

Jako inżynier, który spędził dużo czasu na pracy związanej z bezpieczeństwem, prawdopodobnie zechcesz przyjrzeć się FMEA. FMEA stosuje metodę „mnożenia”, którą opisujesz, ale grupuje zakresy efektów / prawdopodobieństwa / współczynników wykrywalności przed wykonaniem mnożenia. Te zakresy są dobrze zdefiniowane, więc zakładając, że masz jakieś pojęcie o tych prawdopodobieństwach, możesz uzyskać wiarygodny wynik RPN z systemu.

Oczywiście nadal musisz uzasadnić wydawanie pieniędzy! Ale przynajmniej formalnie zidentyfikowałeś swoje ryzyko.

Dam ci zupełnie inną odpowiedź.

Myślę, że oceniasz to zupełnie źle. Nie wiem, w jaki sposób wymyśliłeś jedno ryzyko / lukę wymagające dość konkretnego (i bardzo dużego) kosztu pieniężnego i pełnego czasu pracy do zarządzania, ale wygląda na to, że sprzedajesz konkretne narzędzie do „rozwiązania” problemu.

Jeśli 8% kosztów pochodzi ze znajomości kosztu licencji na narzędzie lub FTE jest wymagane do zarządzania narzędziem (np. „nasz koleś od EDR”) ... Mam na myśli, że nie ma narzędzie, które samodzielnie rozwiąże ryzyko.

Jeśli wysokie koszty Cię powstrzymują, zamiast tracić czas na usprawiedliwianie ryzyka jako wymaganie wydatków, dlaczego nie przyjrzeć się pierwotną przyczynę i sposób jej rozwiązania mniejszymi nakładami. EDR, DLP ... nie ma obszaru bezpieczeństwa (lub luki), który miałby jedno rozwiązanie z jednym kosztem.

Branża podchodzi do większości decyzji związanych z „inwestowaniem w kontrolę ryzyka” za pomocą „analizy ilościowej”, a poniżej przedstawiono standardowy sposób podejścia do tej analizy. Poniższa tabela przedstawia macierze używane podczas tego procesu decyzyjnego.

Poniżej znajduje się tylko przykład pokazujący, jak zastosuj następujące formuły:

Załóżmy, że Twoja firma sprzedaje telefony komórkowe online i była wielokrotnie atakowana przez odmowę usługi (DoS). Twoja firma zarabia średnio 30 000 USD tygodniowo, a typowy atak DoS obniża sprzedaż o 50%. Cierpisz średnio siedem ataków DoS rocznie. Usługa łagodzenia skutków DoS jest dostępna za opłatą abonamentową w wysokości 15 000 USD / miesiąc. Przetestowałeś tę usługę i uważasz, że złagodzi ataki. Pytanie brzmi, czy warto skorzystać z tej usługi i zmniejszyć ryzyko, czy zaakceptować ryzyko i nic nie robić?

Zróbmy analizę:

AV = 40 000 $

EF = 50%

SLE = AV * EF = 20 000 USD

ARO = 7

ALE = SLE * ARO = 140 000 USD

TCO (1 rok) = Subskrypcja DDoS * 12 miesięcy = 180 000 USD

ROI (1 rok) = ALE - TCO = - 40 000 USD (ujemny)

Ponieważ ROI wynosi negatywny (-40 000 USD rocznie), możesz polecić z faktami, że zdecydujesz się nie inwestować w ograniczanie ryzyka (w tym przypadku subskrypcja anty-DDoS) i zaakceptować ryzyko. > Uwaga: w praktyce może zaistnieć potrzeba oceny tego z wpływem również innych wartości (na przykład szkody związane z reputacją marki itp.).

Patrz: https://resources.infosecinstitute.com/quantitative-risk-analysis/#gref

Dlatego w Twoim przypadku, jeśli potrafisz zidentyfikować AV, EF, ARO itp., będziesz w stanie poprzeć swoją decyzję (przynajmniej w przybliżeniu) f dzieje.

Nawet jeśli przy bardzo niskim prawdopodobieństwie (powiedzmy, że dla ryzyka dolnego poziomu ARO wynosi 0,001), wpływ może być bardzo duży (10 000 000 USD), a ALE byłby znacznie wysoki. Jeśli koszt kontroli mitygacji jest niższy, możesz kontynuować wdrażanie kontroli łagodzenia z faktami.

Symulacja to technika, która może pomóc w budowaniu silniejszych intuicji dotyczących strategicznych pytań, w przypadku których występuje znaczna ilość niepewności.

W kontekście pytania, prostym sposobem na rozpoczęcie jest:

1. Wybierz zestaw odrębnych ram czasowych w oparciu o dowolną elastyczność organizacji w podejmowaniu decyzji. Oznacza to, że jeśli organizacja może podejmować decyzje w tej sprawie w zakresie 3/6/12 miesięcy, zaplanuj uruchamianie modeli dla każdego z tych przedziałów czasowych.

2. Współpracuj z innymi użytkownikami w celu zebrania danych, które pozwolą na uzyskanie danych dotyczących prawdopodobieństwa wystąpienia w określonych ramach czasowych, kosztu ograniczenia, kosztu wpływu.

   Jedna z pozostałych odpowiedzi opisuje rozsądny proces, aby to zrobić: uzyskać listę rówieśników, porozmawiać z nimi / zapoznać się z wiadomościami, aby ustalić, czy / kiedy widzieli podobny atak i dowiedzieć się, co wydali, aby złagodzić / unikaj, czyli ile wydali na reakcję i koszt wpływu.

   Będą nieodłączne problemy z tymi danymi, ale to jest w porządku. Symulacja pomaga rozwiązać te problemy.

3. Dla każdego przedziału czasowego utwórz arkusz kalkulacyjny zawierający:

   • zakres kosztów wpływu, od minimum do maksimum, z 90% pewnością ( IOW - ekspert ma 90% pewność, że koszt wpływu będzie mieścił się w przedziale od minimalnego do maksymalnego)
   • prawdopodobieństwo wystąpienia określonego zdarzenia w określonym czasie

   Użyj dane zebrane od innych użytkowników w celu uzyskania szeregu prawdopodobieństw i zakresów kosztów wpływu oraz wybrania określonego prawdopodobieństwa i określonego zakresu.

4. Przy tej minimalnej ilości danych wprowadzonych do arkusza kalkulacyjnego, użyj generowania liczb losowych, aby utworzyć 2 dodatkowe komórki:

   • czy problem faktycznie występuje
   • jeśli wystąpi, jaki ma wpływ finansowy

5. Jednokrotne wykonanie tej randomizacji to próba. Przeprowadź ponownie arkusz kalkulacyjny, tak aby można było przeprowadzić 10 000 lub 100 000 prób, a następnie zbierz i przedstaw na wykresie wszystkie wyniki tych prób.

6. Powtórz z różnymi prawdopodobieństwami i zakresami wpływu, które odzwierciedlają różne interpretacje zebranych danych, i powtórz dla różnych przedziałów czasowych.

W pewnym momencie wystarczy wykonać telefon, ale celowa symulacja z wizualizacją może oświetlić założenia i implikacje w sposób, którego ciągłe poruszanie się po pokoju w trybie dyskusji nie może.

Te i znacznie bardziej wyrafinowane techniki symulacji oceny ryzyka w compsec są omówione w świetnej książce:

Jak zmierzyć wszystko w ryzyku cyberbezpieczeństwa

https://www.amazon.com/How-Measure-Anything-Cybersecurity-Risk-ebook/dp/B01J4XYM16/ https://www.howtomeasureanything.com/ cyberbezpieczeństwo /

• Czy nie masz alternatywy po prostu (tj. tylko) posiadania planu odzyskiwania i procesu na wypadek wystąpienia danego ataku - kopii zapasowej, że tak powiem?

Powiedziawszy to… od Twoje sformułowanie wygląda tak, jakbyś mógł doświadczyć ataku tego typu, nawet o tym nie wiedząc, chyba że wydasz pieniądze tylko po to, aby móc go wykryć. … Więc może powyższe jest pustą koncepcją.

• Bardziej subiektywnie, wygląda na to, że ma to standardową (i niezwykle irytującą) cechę trudnych decyzji, polegającą na tym, że wiąże się z niewiadomymi. Gdybyś wiedział, X (w tym przypadku, że atak się nie wydarzy), z pewnością zrobiłbyś Y (w tym przypadku wydałbyś dużo pieniędzy na kontrę lub nie). Czasami pomocne może być przyznanie, że naprawdę nie masz informacji potrzebnych do określenia sposobu, w jaki skaczesz; następnie rzucasz monetą i skaczesz… w przeciwieństwie do wydawania ogromnych ilości energii na załamywanie rąk. (W sytuacjach ekstremalnych ludzie zachowują się w oparciu o założenie, że ewentualność będzie taka, na jaką mają nadzieję, jakkolwiek mało prawdopodobna może być).

Dla personelu ma wartość osoba, która ma wziąć odpowiedzialność za ciemne nieznane.

Chciałbym skinąć głową na odpowiedź Willa Barnwella (i cytowanego Nassima Taleba). Oznacza to, że absolutnie żadna obraza dla „obszernego argumentu filozoficznego //”… takie niekoniecznie są poprawne. Problemem dla mnie jest to, że łatwo sobie wyobrazić, że w ciągu kilku lat mogą być od dwóch do trzech takich bestii, co oznacza, że ​​koszt środków zaradczych wzrośnie ze znacznego do paraliżującego. Niezależnie… jeśli można racjonalnie oczekiwać wzrostu ryzyka, zmienia to (dane) parametry decyzji.

Z jednej strony mamy koszt ataku. Jak zauważył Philipp, istnieje maksymalna wartość określona przez wartość firmy; Byłoby błędem wydawanie 10 milionów dolarów na odbudowę firmy wartej tylko 1 milion dolarów. Niestety, pomija to łączny koszt dla klientów firmy. Podczas gdy dla firmy o wartości 1 miliona dolarów nie jest rozsądne wycenianie potencjalnego problemu bardziej niż jego własną wartość, pozostaje prawdą, że znaczenie problemu mogłoby łatwo wynieść (powiedzmy) 50 milionów dolarów.

Z drugiej strony jest rozmiar ryzyka. Księgowy (że tak powiem) może po prostu dowiedzieć się, ile jest firm podatnych na dany rodzaj ataku i ile z nich zostało zaatakowanych w każdym z ostatnich kilku lat, i bezpośrednio wyliczyć prawdopodobieństwo jakąkolwiek firmę uderzoną w danym roku. Nieco bardziej wyrafinowana wersja obejmowałaby oszacowanie liczby trafień i udało się utrzymać to w tajemnicy - o ile jest to rozsądnie możliwe. Jeszcze bardziej wyrafinowana wersja sprawdzałaby, ile z tych firm było wartych zaatakowania… co może, ale nie musi, obejmować kwestię, czy indywidualnie podjęły środki zaradcze… z wyjątkiem tego, że byłoby to tajemnica… i do pewnego stopnia jest znana atakującemu.

Następnie istnieje możliwość, że z jednej strony dostępna może być sprytna, tania obrona, az drugiej strony, że napastnicy mogą być mniej lub bardziej zmotywowani lub liczni w ciągu pięciu lat, lub może znaleźć lukę w podzbiorze możliwych celów i tak dalej. Co więcej, może wyjść na jaw, że niektóre firmy są atakowane w ten lub podobny sposób i nie wiedzą o tym (a niektórzy mogą się dowiedzieć po wydarzeniu, jeśli w ogóle).

Ponadto istnieje skumulowane ryzyko. Bardzo dobrze jest obliczyć ryzyko jako wielkość roczną, jeśli jest ono dość wysokie i pytanie dotyczy tego, ile wydać na zapobieganie mu i łagodzenie go. Jeśli, odwrotnie, efekt mógłby pochłonąć całą spółkę, wówczas dane w ujęciu rocznym mają mniejsze znaczenie.

OP powiedział, że tego typu ataki są rzadkie, ale zdarzają się. Cały powód, dla którego OP postawił pytanie na tej stronie, jest taki, że nie jest prawdą, że ryzyko jest znikome, i nie jest prawdą, że jest ono wystarczająco wysokie, aby przyjąć je za pewnik.

Wyobraźmy sobie, że firma postanawia nic nie robić. Załóżmy dalej, że jest to obiektywnie uzasadnione (dla idealnego obserwatora). Jeśli trafi za kilka lat, koszt będzie druzgocący nie tylko dla firmy, ale i dla wielu jej klientów (ja to biorę). Istnieje ryzyko, że nie jest to znikome, a być może niebanalne, małe.

Wyobraźmy sobie na odwrót, że firma decyduje się wydać znaczne kwoty na zapobieganie i łagodzenie tego ataku, i znowu, że jest to uzasadnione. Jeśli nigdy nie zostanie trafiony, koszt (zapobiegania) jest znaczny lub bardzo znaczny. Istniało ryzyko ataku, ale było bardzo małe, a pieniądze bardzo przypominały znaczną stratę.

Wreszcie istnieje możliwy quasi-catch-22, który napastnicy zobaczą i poszukają gdzie indziej, jeśli ma środki zaradcze, i na odwrót.

Mogę również zauważyć, że otrzymanie wypłaty z ubezpieczenia, która jest (powiedzmy) równa (księgowej) wartości firmy, nie jest w stanie rozwiązać problemu, jeśli siła życiowa firmy - dane - zostanie utracona lub inaczej zagrożone.

Jeśli nieco zmienimy problem, aby stwierdzić, że jeśli tak się stanie (i wydaje się, że może), stracisz pracę, a złagodzenie tego problemu oznacza nieznaczne zwiększenie wydatków firm na IT, to myślę, że odpowiedź będzie trochę łatwiejsza do wymyślenia.

tj jeśli tego nie zrobię, a tak się stanie, stracę pracę (prawdopodobnie z reputacją w strzępach). Jeśli coś z tym zrobisz, Twoja firma będzie musiała zapłacić trochę więcej pieniędzy.

Wydaje mi się, że to nie myślenia.