providing the most essential




Различия между риском и страхом при обеспечении безопасности

Опубликовано Vladilen

 

Когда речь идет о корпоративной безопасности, кажется, что все необходимые для ее обеспечения меры следует предпринимать немедленно. Рафаль Лос, эксперт в области безопасности из компании HP, обсуждает технику привнесения логики в столь важный процесс, как защита ИТ-систем.

Ответственность за принятие ключевых решений по защите ИТ-инфраструктуры современного предприятия, деятельность которого отличается высокой степенью гибкости, может стать неблагодарным занятием. Поиск баланса между выгодой для бизнеса и вероятностью привнесения новых рисков, особенно когда решения принимаются инстинктивно, а не на основе объективного анализа, может привести к созданию излишне перегруженной ИТ-среды. Слишком часто информационная безопасность зависит от эмоций, при этом прошлые ошибки иногда повторяются снова. Поскольку атаки хакеров и утечки данных могут привести к серьезным последствиям, а количество угроз для предприятий постоянно растет, мы идем на поводу у своих страхов.

Rafal Los567984096577.8888В другой статье настоящего издания, посвященной данной теме, дается совет оставаться хладнокровными. Но когда на информационной панели или в отчетах появляются красные метки, сигнализирующие об опасности, первое, что хочется сделать —немедленно устранить проблему. Только после тщательного и объективного анализа можно определить, является ли неисправность критической для бизнеса в целом или ограничивается областью информационной безопасности. В последнем случае для ее решения не требуется принимать немедленные меры и выделять ресурсы. Представим то волнение, с которым несколько лет назад директор по ИТ реагировал на известие о потере первой пленки с данными резервного копирования. Сколько часов работы и миллионов долларов было потеряно из-за неправильного решения, принятого на основе эмоций?

Сложно абстрагироваться от бурных дискуссий в средствах массовой информации и в социальных сетях, а также от споров с коллегами. Когда существование корпорации находится под угрозой, лица, отвечающие за информационную безопасность, нуждаются в аналитическом инструменте, который поможет им принимать обоснованные и действенные решения. К счастью, я могу предложить такой инструмент. Он был опробован на реальных задачах и готов к использованию.

Преодоление проблемы
За время своей 15-летней работы в области информационной безопасности и корпоративных ИТ-решений я часто использовал методику FMEA (анализ характера и последствий отказов) для оценки рисков безопасности в различных ситуациях. Несмотря на то, что этот мощный инструмент не получил пока широкого распространения, FMEA очень прост в освоении и быстро приносит дивиденды. Поэтому он может быть полезен каждому руководителю.

FMEA позволяет выявлять самые значимые риски (сбои) и, благодаря этому, создавать оптимальный план действий в отношении продукта, проекта или операционного задания. Необходимость взвешивать все возможные сценарии сбоев приводит к тому, что у специалиста, принимающего критические важные решения, не остается времени на эмоции, и его выводы о сути проблемы уже не будут субъективными.

Оценивая требования на основе FMEA, можно беспристрастно определить степени риска как для системы без исправлений, потенциально открытой для хакерских атак, так и для системы с внесенными в нее исправлениями, но сохраняющей возможность возникновения сбоев - в любом случае решение будет принято в результате хладнокровного и объективного анализа.

Математический расчет
Посредством FMEA выполняется анализ возможного сбоя на основе трех ключевых компонентов: вероятность возникновения, потенциальная серьезность и простота обнаружения уже произошедшего сбоя. Таким образом рассчитывается уровень/приоритет риска. Формула FMEA, определяющая значение уровня/приоритета риска проста: Вероятность, умноженная на Серьезность и умноженная на Обнаружение. Именно этот показатель и поможет объективно оценить степень риска и принять взвешенное решение. Ключевым моментом, конечно, является определение количественных значений тех величин, которые включены в формулу.

Предприятия должны разработать понятные инструкции для определения значений Вероятности, Серьезности и Обнаружения, определяющих баланс между управлением рисками и информационной безопасностью. Тогда по этой формуле можно будет легко рассчитать риск возникновения различных ситуаций для любого проекта. Такая методика позволяет лицам, отвечающим за безопасность, ранжировать риски по приоритетам (можно установить 10 как максимальное значение показателя и 1 как минимальное).

Попробуем для примера оценить по приведенной выше методике риски установки пакета исправлений для какой-либо системы. Проведем простейший базовый и приблизительный анализ FMEA, чтобы выяснить, следует ли немедленно установить очередной пакет или достаточно придерживаться стандартного графика. Будет ли срочная установка исправлений поспешностью или проявлением предусмотрительности? Предположим, что речь идет о сервере веб-приложений, доступном широкой публике и предназначенном для поддержки электронной торговли, — очень важного для компании сервиса.

table873858662200.8591

Если можно доверять показателям в столбце вероятности обнаружения, то можно установить исправления, но это решение не всегда оправдано. В нашем примере решающими факторами были сложность обнаружения утечки данных, а также негативные последствия, связанные с кражей данных, принадлежащих заказчикам. При этом в ходе анализа других уязвимостей может оказаться, что риски от простоя системы гораздо выше рисков нарушения плана установки обновлений.

Определение показателя вероятности является неоднозначным. Оно основано на частоте выявления аналогичных сбоев в подобных продуктах или процессах, действующих в самой компании или за ее пределами. Однако эти оценки необходимо адаптировать для условий именно вашего предприятия. При внедрении абсолютно новых продуктов или процессов неизвестно, какие сбои могут возникнуть. Поэтому можно ориентироваться на опыт, накопленный в аналогичных отраслях с использованием таких же платформ и т. д.

Стандартное решение — применение указанных ниже значений и объяснений в соответствии с вашими потребностями:

10-9: очень высокая вероятность (практически неизбежно)
8-7: высокий уровень (высокая вероятность сбоя, множество случаев)
6-4: средний уровень (весьма вероятно, несколько случаев)
3-2: низкий уровень (мало случаев)
1: маловероятно (отсутствие случаев)

Логический выбор
FMEA — это фантастический и, к сожалению, недооцененный инструмент для принятия критически важных решений, связанных с безопасностью и рисками. Поскольку потребности бизнеса становятся более комплексными, для обеспечения безопасности ИТ требуются правильные средства, которые позволят предприятию быть более гибким и динамичным, способным повысить свою производительность. Для достижения данной цели как нельзя лучше подходит методика FMEA.

Рафаль Лос, «евангелист» в сфере обеспечения безопасности, один из самых выдающихся экспертов в этой области. Вступите в группу SecBiz на портале LinkedIn, общайтесь посредством @Wh1t3Rabbit и посетите его блог Following the White Rabbit.

Источник информации