it-swarm.com.de

Wie gehe ich mit Risiken mit geringer Wahrscheinlichkeit und hoher Auswirkung um?

Es gibt eine strategische Frage, gegen die wir uns in meiner IT-Abteilung stellen, die im Wesentlichen darauf hinausläuft:

  • Es gibt eine Art Angriff gegen unsere Systeme, der viel Schaden verursachen kann, wenn er übersehen oder nicht richtig angegangen wird. Genauer gesagt könnte dies einen schweren Schlag für die Geschäftstätigkeit des Unternehmens bedeuten und möglicherweise das gesamte Geschäft ruinieren.

  • Die Wahrscheinlichkeit eines solchen Angriffs ist sehr gering. Trotzdem passiert es regelmäßig anderen Unternehmen auf dem Gebiet (jedoch selten). Dies ist unseren Systemen noch nicht passiert.

  • Um den Angriff abwehren zu können, müssen wir einen anderen Mitarbeiter einstellen nd jedes Jahr zusätzliche 8% (mindestens) unseres Budgets ausgeben. Beides sind bedeutende Investitionen.

  • Normalerweise messen wir solche Probleme, indem wir die Wahrscheinlichkeit des Auftretens mit dem erwarteten Schaden multiplizieren. In diesem Fall verlieren wir jedoch den Versuch, eine Zahl, die gegen Null tendiert, mit einer Zahl zu multiplizieren, die gegen Unendlich tendiert, um eine zusammenhängende Antwort zu erhalten.

  • In diesem Sinne ist unser Team in zwei Lager aufgeteilt: Man glaubt, dass der Angriff niemals stattfinden wird und die Investition von Zeit und Geld verschwendet wird; Das andere Lager glaubt, dass der Angriff morgen kommen wird. Alle sind sich jedoch einig, dass halbherzige Maßnahmen sowohl eine Verschwendung von Ressourcen als auch keinen Schutz vor dem Angriff darstellen - wir gehen entweder All-In oder kümmern uns überhaupt nicht darum.

Als Teamleiter sehe ich in beiden Meinungen Verdienste - wir werden möglicherweise die nächsten 20 Jahre operieren, ohne einem solchen Angriff zu begegnen, und wir könnten ihn heute haben (aus heiterem Himmel, wie es normalerweise der Fall ist). Aber ich muss mich noch entscheiden, wie ich vorgehen soll.

In diesem Zusammenhang möchte ich Sie fragen, ob Sie auf solche Rätsel gestoßen sind und wie die Branche mit ihnen umgeht.

88
David Bryant

Normalerweise haben wir solche Probleme gemessen, indem wir die Eintrittswahrscheinlichkeit mit dem erwarteten Schaden multipliziert haben. In diesem Fall verlieren wir jedoch den Versuch, eine Zahl, die gegen Null tendiert, mit einer Zahl zu multiplizieren, die gegen Unendlich tendiert, und finden eine zusammenhängende Antwort.

Leider ist dies in diesem Fall das, was Sie tun müssen. Aber ich glaube nicht, dass diese Berechnung wirklich so schwierig ist, wie Sie es sich vorstellen.

Das Risiko kann geschätzt werden, indem zunächst geschätzt wird, wie viele Unternehmen derselben Sicherheitsbedrohung ausgesetzt sind und nicht die erforderlichen Vorsichtsmaßnahmen treffen. Anschließend überfliegen Sie die Nachrichtenberichte, um zu überprüfen, wie viele Unternehmen jedes Jahr davon betroffen sind (plus eine fundierte Vermutung, wie viele von ihnen es geschafft haben, zu verhindern, dass das Chaos öffentlich wird). Teilen Sie die zweite Zahl durch die erste, und Sie haben einen Risikoprozentsatz.

Ihr Schaden tendiert nicht zur Unendlichkeit. Das Ereignis, das dem "unendlichen Schaden" am nächsten kommen würde, wäre ein Zusammenbruch des gesamten Zeit/Raum-Kontinuums des Universums (und selbst das ist ein Ereignis bei dem Sie eine Fermi-Schätzung vornehmen könnten, um den Schaden in Dollar zu quantifizieren =, wenn Sie gelangweilt sind und sich für Astrophysik interessieren). Der höchste Schaden, den Sie realistisch anrichten können, ist der Bankrott Ihres Unternehmens. Vielleicht könnten Sie noch mehr Schaden anrichten, wenn Sie auch Schäden berücksichtigen, die anderen Personen zugefügt wurden. Aber wenn Ihr Unternehmen bankrott ist, kann es diese Verbindlichkeiten nicht bezahlen. Sie können also das Nettovermögen des Unternehmens als Obergrenze für Ihren erwarteten Schaden verwenden.

74
Philipp

Eine Warnung, dass diese Antwort aus der Theorie kommt, nicht aus der Erfahrung.

  1. Gibt es ethische Konsequenzen hinsichtlich der Auswirkungen des schlechten Ereignisses auf andere? Wird es Ihren Benutzern schaden? Berücksichtigen Sie auch die Mitarbeiter des Unternehmens, die verletzt werden können, wenn es durch einen Angriff ruiniert wird. In diesem Fall haben Sie möglicherweise das Gefühl, eine ethische Verpflichtung zur Minderung zu haben.

  2. Wenn Sie den Angriff abschwächen, kann Ihr Unternehmen dies als Verkaufsargument oder Wettbewerbsvorteil nutzen?

  3. Die Versicherung funktioniert möglicherweise nicht, wenn der Schaden den Ruf Ihres Unternehmens beeinträchtigt. Eine Versicherung kann Ihnen nicht wirklich helfen, sich davon zu erholen. Es kommt darauf an, wie der Schaden aussieht. Vielleicht ist eine Versicherung eine gute Option.

  4. Die Maximierung der erwarteten monetären Ergebnisse ist nicht unbedingt ein guter Weg, um Entscheidungen zu treffen, außer bei Problemen mit geringen Einsätzen. Angenommen, Sie könnten ein Risiko eingehen, bei dem eine 99% ige Chance besteht, das Unternehmen in Konkurs zu bringen, aber eine 1% ige Chance, das Nettovermögen mit 200 zu multiplizieren. "In Erwartung" verdoppeln Sie den Wert des Unternehmens, sind aber mit ziemlicher Sicherheit arbeitslos.

  5. Betrachten Sie anstelle des erwarteten Werts möglicherweise Ziele wie das langfristige Überleben des Unternehmens. Wie lange erwarten Sie beispielsweise unter den beiden Optionen (mildern oder nicht), dass das Unternehmen in der Nähe ist? (a) Wenn das Unternehmen Probleme hat und eine Erhöhung des Budgets um 8% wahrscheinlich zu einem Bankrott führen wird, haben Sie keine andere Wahl, als das Problem zu ignorieren und zu hoffen, dass Sie Glück haben. Wenn es diese Zeit überlebt und gedeiht, können Sie an diesem Punkt investieren. (b) Wenn es dem Unternehmen gut geht, kann es sich anscheinend leisten, auf Nummer sicher zu gehen. (c) Wenn irgendwo in der Mitte, wird die Entscheidung aus dieser Perspektive schwierig.

  6. Es ist unwahrscheinlich, dass die Höheren eine solche Entscheidung ohne ihren Beitrag oder ihre Kontrolle wünschen würden ...

56
usul

Sie sollten berücksichtigen, dass Ihr Team über diesen Angriffsvektor Bescheid weiß.

Wenn einfach Wissen über die Sicherheitsanfälligkeit die Ausführung des Angriffs erleichtert, haben Sie möglicherweise ein größeres Problem als gedacht. (Zum Beispiel eine schwer zu findende Hintertür, die Ihrem Team bekannt ist.)

Wenn dies der Fall ist, stehen Ihre eigenen Teammitglieder ganz oben auf der Liste der Gegner, über die Sie sich Sorgen machen müssen, und die Wahrscheinlichkeit, angegriffen zu werden, ist möglicherweise viel höher als wenn Ihr Team nichts davon wüsste.

Mitarbeiter können und werden oft verärgert. Berücksichtigen Sie das.

25
nerdfever.com

Sie erhalten eine Versicherung, die dieses Risiko abdeckt. Da die Wahrscheinlichkeit sehr gering ist, ist es für Sie schwer zu beurteilen. Anstatt eine Einzelversicherung abzuschließen, versuchen Sie, diese in eine Versicherung einzubeziehen, die eher weltliche Risiken abdeckt. Grundsätzlich prüfen Sie, welche Versicherung Sie bereits haben oder wahrscheinlich benötigen, um diese zu decken, und wenn dies nicht der Fall ist, versuchen Sie, ein zusätzliches Geschäft auszuhandeln, bei dem es unter Deckung fällt.

Bei der Versicherung geht es darum, ein geringeres zusammenfassendes Risiko (Wahrscheinlichkeit des Ereignisses mal monetäre Kosten für die Minderung des Ereignisses) in ein höheres zusammenfassendes Risiko (Wahrscheinlichkeit des 1-fachen der monetären Kosten der Versicherung) umzuwandeln und gleichzeitig ein höheres operationelles Risiko (Wahrscheinlichkeit des Ereignisses mal endgültiger Schaden aller) umzuwandeln Folgen des Auftretens für das Unternehmen) in eine niedrigere (monetäre Versicherungskosten).

Dies ist sowohl für den Versicherungsverkäufer als auch für den Käufer nur dann sinnvoll, wenn der Schaden ohne Schadensminderung höher ist als die Kosten der Schadensminderung, dh wenn der Schaden ohne Schadensminderung das fortgesetzte Geschäft kritisch gefährden würde.

16
user182846

Sie haben den richtigen Ansatz gewählt:

Normalerweise haben wir solche Probleme gemessen, indem wir die Eintrittswahrscheinlichkeit mit dem erwarteten Schaden multipliziert haben ...

und stand gerade vor seinen Grenzen:

wir sind verloren beim Versuch, eine Zahl, die gegen Null tendiert, mit einer Zahl zu multiplizieren, die gegen Unendlich tendiert

Ich würde sagen, dass Sie einem inakzeptablen Risiko (könnte einen schweren Schlag für die Geschäftstätigkeit des Unternehmens verursachen und möglicherweise das gesamte Unternehmen ruinieren) mit einem sehr geringen Auftreten ausgesetzt sind.

Meiner Meinung nach stehen Sie vor einer strategischen Entscheidung. Als Teamleiter besteht Ihre Aufgabe darin, das Problem zusammen mit seinen Elementen an Ihren Chef weiterzugeben: Was passiert, wenn Ihre Organisation diesen Angriff erleidet, wie viele Angriffe in den letzten Jahren verzeichnet wurden, welche möglichen Abschwächungen für diese Angriffe möglich sind und Was kostet es? Wenn es um ein wichtiges Risiko und wichtige Kosten geht, liegt die Entscheidung normalerweise beim Hauptchef.

13
Serge Ballesta

Ihr erster Schritt wäre eine ordnungsgemäße quantitative Risikoanalyse. Andere Antworten haben hier bereits Hinweise gegeben. Ich möchte insbesondere die Erwähnung von "Wie man alles im Cybersicherheitsrisiko misst" , einem brillanten Buch, unterstützen. Sie können auch FAIR als quantitative Methode betrachten.

Das Risikomanagement beginnt und endet jedoch nicht mit einer Risikoanalyse. Insbesondere bei den "Black Swan" -Risiken spielen andere Faktoren eine Rolle. Sie decken diese mit definierten Risikoappetit und Risikokriterien ab.

Ihr Unternehmen muss seinen Risikoappetit definieren, der angibt, wie er sich überhaupt auf das Risiko bezieht (bevorzugt konservativ und vermeidet Risiken, bevorzugt aggressiver und Risiken eingehen usw.). Dies könnte definieren, dass Risiken über eine bestimmte Auswirkung hinaus nicht akzeptabel sind, selbst wenn ihre Wahrscheinlichkeit oder Häufigkeit gering ist. In der Regel fallen Risiken, die das Unternehmen sicherlich zerstören würden, in diese Kategorie.

Dies sind gute Kandidaten, um wenn möglich über Versicherungen zu entschärfen. Das "seltene Ereignis, aber katastrophale Auswirkungen" ist das Heimatgebiet der Versicherungen.

Die zweite Definition, die Sie benötigen, sind Risikokriterien , die definieren, welche Arten von Risiken Sie aus ethischen Gründen, aus Gründen der gesetzlichen Haftung oder aus anderen Gründen nicht akzeptieren möchten. Sie können beispielsweise definieren, dass das Risiko für das menschliche Leben nicht akzeptabel ist, selbst wenn die Quantifizierung in den akzeptablen Bereich fällt. Oder dass eine mögliche Haftstrafe für Führungskräfte auf C-Ebene unabhängig vom quantifizierten Risikowert nicht akzeptabel ist.

Mit diesen drei Dingen - Risikoanalyse, Risikoappetit und Risikokriterien - sollten Sie ein umsetzbares Ergebnis erzielen. Ihr schwarzer Schwan ist entweder aufgrund von Appetit- oder Kriteriendefinitionen inakzeptabel, oder wenn nicht, ist es einfach ein weiteres Risiko, das wie jedes andere behandelt werden muss. Die Analyse kann aufgrund der geringen Häufigkeit und Unsicherheit bei der richtigen Schätzung besonders volatil sein. Hier kommt eine geeignete quantitative Methode ins Spiel, die a) Wertebereich und b) Vertrauen der Schätzungen berücksichtigt und Ihnen hilft . (* siehe unten)

Zum Beispiel verwende ich in der Risikoanalyse, die ich normalerweise mache, eine Monte-Carlo-Methode und eine meiner Ausgaben ist ein Streudiagramm aller Szenarioergebnisse. Alle schwarzen Schwäne werden als einzelne (und seltene) Ausreißer angezeigt, und ich kann sie identifizieren und im Kontext sehen.

Am Ende bereiten Sie die Entscheidung vor , insbesondere bei Risiken mit hohen Auswirkungen. Jemand mit der richtigen Autorität trifft die Entscheidung auf der Grundlage Ihrer Informationen. Ihre Aufgabe ist es daher, ihnen das Gesamtbild zu vermitteln, ohne sie mit Informationen zu überladen, die für die Entscheidungsfindung nicht entscheidend sind.


Noch eine Bemerkung zur Risikobehandlung. Sie können über die Analyse hinausblicken und mögliche Behandlungsoptionen prüfen. Wenn Sie mit geringem Aufwand eine Behandlung identifizieren können, die sich dramatisch auf Ihre Eingabewerte auswirkt, lohnt es sich möglicherweise, dies zu tun, um Ihre Lager näher zusammenzubringen. Wenn es zum Beispiel eine Maßnahme gibt, die die Auswirkungen von katastrophalen Unternehmenszerstörungen auf schwerwiegende, aber überlebensfähige Maßnahmen reduziert und Sie Ihren schwarzen Schwan in ein regelmäßiges Risiko mit hohen Auswirkungen verwandeln können.


(*)

Da viele Menschen noch nie eine richtige quantitative Risikoanalyse gesehen haben, suchen Sie nach etwas, das nicht einen Wert als Eingabe, sondern einen Bereich und einen Formparameter verwendet. PERT ist eine Methode - Sie identifizieren den niedrigsten Wert mit vernünftiger Wahrscheinlichkeit, den höchsten Wert mit vernünftiger Wahrscheinlichkeit und den wahrscheinlichsten Wert. Auch als optimistisch-realistisch-pessimistisch bekannt. Ein anderer Ansatz besteht darin, explizit einen Konfidenzwert anzugeben, der Ihre Kurve formt. In einer Beta-Verteilung wäre dies der Lambda-Wert.

Schauen Sie sich Fair- als Beispiel an. Ich mag die FAIR-Methode sehr, aber es gibt noch andere. Akzeptieren Sie nur nicht weniger als einen geeigneten quantitativen (manchmal als statistisch bezeichneten) Ansatz, um diese schwierigeren Risikoszenarien zu lösen.

11
Tom

tl; dr: Wenn es um eine Sicherheitslücke geht, bedeutet eine ausreichend hohe Auswirkung, dass sie gemindert werden sollte, egal wie gering die Wahrscheinlichkeit ist. Darüber hinaus ist diese Wahrscheinlichkeit nicht statisch, sondern ständig, vielleicht radikal. ansteigend.


Es gibt ein Buch Der schwarze Schwan: Die Auswirkungen des Unwahrscheinlichen von Nassim Taleb, das die meisten seiner Beispiele aus dem Finanzwesen bezieht, aber ein Buch über die Problem, vor dem Sie stehen, wo

  • Das Ereignis ist selten und kann möglicherweise nie eintreten
  • Wenn das Ereignis eintreten würde, wären die Auswirkungen schwerwiegend

Das Buch enthält ein umfassendes philosophisches Argument dafür, warum einfache/gängige Risikobewertungsinstrumente wie Ihre "Wahrscheinlichkeit mit Auswirkungen multiplizieren" nicht geeignet sind, die von solchen Extremfällen ausgehenden Risiken zu bewerten und zu einer Unterbewertung des Risikos führen.

Taleb befürwortet die Minimierung der Exposition gegenüber Ereignissen mit hohen negativen Auswirkungen, selbst wenn die Wahrscheinlichkeit eines Ereignisses verschwindend gering ist, wird durch den richtigen Schritt eine potenzielle Katastrophe gemindert.


Ich mag Talebs Ideen, und ich glaube, er hat in seinem Nachtrag zu diesem Buch auch die Cybersicherheit erwähnt und wie Unternehmen das Cyber-Risiko unterschätzt haben, aber hier ist meine Meinung als jemand, der zumindest ein vorübergehendes Interesse an Sicherheit hat.

Wenn Ihr Unternehmen für eine Bedrohung anfällig ist, die in freier Wildbahn aktiv ausgenutzt wird, steigt die Wahrscheinlichkeit, dass dieser Angriff auf Ihr Unternehmen angewendet wird, mit der Zeit geometrisch an. Angriffe verschwinden nicht, sie werden nur komplexer und einfacher zu erkennen und zu automatisieren. Was heute einige praktische Überlegungen und Manipulationen durch einen intelligenten Cracker erfordert, ist nur wenige Jahre davon entfernt, von einem Bot automatisch erkannt und ausgenutzt zu werden. Dieser Technologiesprung könnte über Nacht passieren und Sie werden am nächsten Tag pwned.

All dies bedeutet, dass im Gegensatz zu einigen eindeutigen 0-Tagen in Ihrer Anwendung die Wahrscheinlichkeit eines Angriffs in Ihrer Situation keine feste Zahl ist, sondern zunimmt. Darüber hinaus wird diese Wahrscheinlichkeit nicht stetig wachsen, sondern kann und wird wahrscheinlich schnelle Sprünge machen.

7
Will Barnwell

Das ist der Deal:

Wenn Sie nur Ihre eigenen Daten zum Schutz haben, tun Sie, was Sie wollen. Wenn Sie jedoch andere Daten in Ihrem System haben, die möglicherweise gefährdet sind, führen Sie einen der folgenden Schritte aus:

  1. Schützen Sie die Daten mit allen Industriestandards oder Empfehlungen.
  2. Informieren Sie Ihre Kunden/Kunden/Produkte darüber, dass Sie die ihnen anvertrauten Daten schützen, indem Sie darauf vertrauen, dass Angreifer Ihre Systeme nicht angreifen.

Damit kommen Sie zu einer einfachen Schlussfolgerung: Schützen Sie Ihre Systeme so, dass Sie Ihren Kunden/Kunden/Produkten mitteilen können, wie Sie ihre Daten schützen, ohne dass sie aufhören, Ihre Kunden/Kunden/Produkte zu sein.

Weniger als das und Sie betrügen Ihre Stakeholder (Dies mag überraschen, aber ja, Ihre Kunden/Kunden/Produkte, deren Daten Sie speichern, sind Stakeholder in Ihrem Unternehmen - sogar normale Leute -, besonders wenn es darum geht auf die Verfügbarkeit dieser Daten für Außenstehende, die diese Stakeholder möglicherweise nicht haben möchten, und Sie sind dafür verantwortlich, dass die Daten angemessen geschützt sind, damit Sie ihnen nicht mitteilen, dass Sie bei der Übermittlung ihrer Daten halbe Maßnahmen zum Schutz ihrer Daten anwenden).

Zusätzlich zu allem anderen: Lassen Sie sich nicht von einfachen Formeln blenden, die Ihre Chancen berechnen, das Ziel eines Angriffs zu sein. Das Ziel eines Angriffs wird nicht zufällig aus allen Unternehmen ausgewählt, die für einen Angriffsversuch zur Verfügung stehen (eine naive statistische Analyse würde diese Liste verwenden, um die statistische Wahrscheinlichkeit eines Angriffs zu ermitteln), sondern es wird eines (möglicherweise auch ALL). aus der Liste der für den Angriff anfälligen Unternehmen.

Dies kann zu der Illusion führen, dass Sie sich nicht die Mühe machen müssen, sich selbst zu schützen, weil die Chance, das Ziel zu sein, so gering ist. In Wirklichkeit stellen Sie sich jedoch nur in die Risikogruppe der gefährdeten Ziele und können Ihre tatsächlichen Chancen unmöglich kennen ein Ziel zu sein, da Unternehmen nicht genau für ihre Verteidigungsstufe werben (aus offensichtlichen Gründen). Wenn dieses Konzept schwer zu verstehen ist, betrachten Sie das folgende Szenario: Von 100 Unternehmen wird jedes Jahr 1 Unternehmen erfolgreich angegriffen. 90 dieser Unternehmen verwenden, ohne dass Sie es wissen, einen starken Schutz vor Angriffen, und Angreifer lassen sie einfach in Ruhe, nachdem sie versucht haben, sie anzugreifen. Fast alle erfolgreichen Angriffe richten sich gegen die verbleibenden 10 Unternehmen, die halbe Sachen anwenden. Als Neuling in dieser Szene sehen Sie sich die Statistiken an und stellen fest, dass Sie Ihre Systeme nicht schützen müssen, da Ihr Unternehmen nur eine 1/100 Chance hat, Ziel eines Angriffs zu werden, wenn Ihre Änderungen in Wirklichkeit 0 sind, wenn Sie verwenden starken Schutz und 1 zu 11, wenn Sie halbe Sachen verwenden. Ihre interne Berechnung des Risikos wäre völliger Müll.

TLDR; Sie können keine statistische Analyse durchführen, ob Sie Ihre Systeme schützen sollen oder nicht, da Sie nicht über genügend Informationen verfügen, um dies zu tun. Sie sollten dies so tun, dass Sie Ihren Stakeholdern mitteilen können (dh sicherstellen, dass sie diese verstehen und die Informationen nicht vor ihnen verbergen), was Sie tun, um ihre Daten zu schützen, und sie nicht zu einem anderen Dienstanbieter wechseln.

3
pie
  • Sprechen Sie mit einigen qualifizierten Anwälten über mögliche Schäden und darüber, wer wie zur Rechenschaft gezogen werden könnte. Das Risiko für ein Unternehmen als Unternehmen kann auf das Nettovermögen des Unternehmens begrenzt sein. Es gibt jedoch einige Szenarien, in denen CEOs oder sogar Mitarbeiter in zivil- oder strafrechtlichen Gesetz, wenn sie das Problem hätten kennen sollen. (Abhängig von Ihrer Gerichtsbarkeit natürlich. Ich denke über Verstöße gegen Datenschutzbestimmungen nach, um beispielsweise den Gewinn zu steigern.)
  • Je nachdem, wie viele IT-Mitarbeiter Sie haben und was sie tun, kann die Einstellung eines anderen Mitarbeiters den Busfaktor Ihrer Abteilung erheblich erhöhen. Sie haben mit Bedacht nicht erklärt, was Sie in einem öffentlichen Forum tun, aber wenn Sie einen anderen Administrator haben, können Sie möglicherweise eine Zwei-Mann-Regel für mehr Ihrer Verfahren einführen oder sich mit geplanten oder ungeplanten Abwesenheiten usw. befassen. Es könnte also falsch sein zu sagen, der Umgang mit diesem Risiko kostet 8% plus einen Mitarbeiter. Es wäre eher für 8% plus einen Mitarbeiter können wir uns gegen diesen und viele schützen andere Risiken.
3
o.m.

Als Ingenieur, der viel Zeit mit sicherheitsrelevanten Arbeiten verbracht hat, möchten Sie wahrscheinlich FMEA untersuchen. FMEA wendet die von Ihnen beschriebene "Multiplikations" -Methode an, gruppiert jedoch Bereiche von Effekt-/Wahrscheinlichkeits-/Erkennungsraten, bevor die Multiplikation durchgeführt wird. Diese Bereiche sind genau definiert. Wenn Sie also eine Vorstellung von diesen Wahrscheinlichkeiten haben, können Sie einen zuverlässigen RPN-Score aus dem System erhalten.

Natürlich müssen Sie das Geld noch rechtfertigen! Aber zumindest haben Sie Ihre Risiken formell identifiziert.

2
Graham

Ich werde Ihnen eine ganz andere Antwort geben.

Ich denke, Sie beurteilen das völlig falsch. Ich weiß nicht, wie Sie auf ein Risiko/eine Schwachstelle gekommen sind, für deren Verwaltung ziemlich spezifische (und sehr hohe) Geldkosten und Vollzeitstellen erforderlich sind, aber das klingt so, als würden Sie mit einem bestimmten Tool verkauft, um ein Problem zu lösen.

Wenn die 8% -Kosten aus der Kenntnis der Lizenzkosten eines Tools stammen oder der Vollzeitbeschäftigte für die Verwaltung eines Tools erforderlich ist (z. B. "unser EDR-Typ") ... Ich meine, es gibt nein Tool aus dort wird das ein Risiko ganz von selbst lösen.

Wenn die hohen Kosten Sie zurückhalten, anstatt Zeit damit zu verbringen, das Risiko zu rechtfertigen, indem Sie die Ausgaben fordern, warum nicht die Grundursache untersuchen und wie Sie sie mit geringeren Ausgaben lösen können. EDR, DLP ... es gibt keinen Sicherheitsbereich (oder eine Sicherheitslücke), in dem eine Lösung mit eine kosten.

1

Die Industrie nähert sich den meisten Entscheidungen zur „Risikokontrollinvestition“ mit der „quantitativen Analyse“. Die folgenden Methoden sind die Standardmethode für diese Analyse. Die folgende Tabelle zeigt die Matrizen, die während dieses Entscheidungsprozesses verwendet werden.

(enter image description here

Das Folgende ist nur ein Beispiel, um zu zeigen, wie diese Formeln angewendet werden:

Nehmen wir an, Ihr Unternehmen verkauft Mobiltelefone online und hat viele DoS-Angriffe (Denial-of-Service) erlitten. Ihr Unternehmen erzielt einen durchschnittlichen Gewinn von 30.000 USD pro Woche, und ein typischer DoS-Angriff senkt den Umsatz um 50%. Sie erleiden durchschnittlich sieben DoS-Angriffe pro Jahr. Ein DoS-Minderungsdienst ist für eine Abonnementgebühr von 15.000 USD/Monat verfügbar. Sie haben diesen Dienst getestet und glauben, dass er die Angriffe abschwächen wird. Die Frage ist, ob es sich lohnt, diesen Service in Anspruch zu nehmen und das Risiko zu mindern oder das Risiko zu akzeptieren und nichts zu tun.

Lassen Sie uns die Analyse durchführen:

AV = 40.000 USD

EF = 50%

SLE = AV * EF = 20.000 USD

ARO = 7

ALE = SLE * ARO = 140.000 USD

TCO (1 Jahr) = DDoS-Abonnement * 12 Monate = 180.000 USD

ROI (1 Jahr) = ALE - TCO = - 40.000 USD (negativ)

Da der ROI negativ ist (- 40.000 USD pro Jahr), können Sie mit Fakten zu einer Entscheidung empfehlen, nicht in die Risikominderung (in diesem Fall Anti-DDoS-Abonnement) zu investieren und das Risiko zu akzeptieren.

Hinweis : Im praktischen Szenario müssen Sie dies möglicherweise auch anhand der Auswirkungen anderer Werte bewerten (z. B. Marke) Reputationsschaden usw.).

Siehe :https://resources.infosecinstitute.com/quantitative-risk-analysis/# gref

Wenn Sie also in Ihrem Fall AV, EF, ARO usw. identifizieren können, können Sie Ihre Entscheidung (zumindest ungefähr) mit Fakten unterstützen.

Auch wenn bei einer sehr geringen Wahrscheinlichkeit (beispielsweise für das Floor-Risiko beträgt die ARO 0,001) die Auswirkungen sehr hoch sein könnten (10.000.000 USD) und der ALE beträchtlich hoch wäre. Wenn Ihre Kosten für die Schadensbegrenzungskontrolle geringer sind, können Sie mit der Bereitstellung der Schadensbegrenzungskontrolle mit Fakten fortfahren.

1
Sayan