支持决策:控制回报
最终,风险分析的重点(即使我们正在替换风险矩阵)也是为了支持决策。但我们之前遇到的困难是为特定的控制做出特定的资源分配选择。毕竟,将高风险转移到中等风险有什么价值呢?是5,000美元还是500万美元?或者,如果我们的网络安全预算为800万美元,其中80个低项、30个中项和15个高项怎么办?如果我们可以用与一种媒介相同的资金来缓解十个低点呢?
如果您观察到(正如作者所言)有人提出这样的问题:“如果我们再花费一百万美元,我们能否将这种风险从红色变为黄色?”那么您可能已经感受到流行的定性方法的不满。显然,传统的风险矩阵提供了一旦CISO实际上必须就资源分配做出选择,就几乎没有什么指导。您可能认为您最好完全不使用这些方法。但是,正如我们稍后将展示的,CISO绝对不应该假设他们仅凭专家直觉就能很好地处理这些决策。
CISO需要的是“控制回报”计算。这是预期损失减少的货币化价值除以控制成本。如果我们只考虑一年的收益(忽略其他时间价值考虑因素),我们可以将其表示为:
控制前后损失的差异就是上面简单公式中的“预期损失的减少”。如果预期损失的减少量恰好与成本一样多,那么该公式将表示控制回报率(ROC)为0%。这将是其他形式投资的惯例。假设对于给定的威胁,我们的AEL为100,000美元,并且我们有一个控制措施,我们估计可以将损失的可能性减少一半。这将使预期损失减少50,000美元。如果控制成本为10,000美元,则ROC为50,000/10,000–1,即400%
如果ROC只是减少影响而不是威胁事件发生的机会,那么它可能会带来好处。在攻击造成更大损害之前检测并阻止攻击的方法或在业务中断后快速恢复的方法可能不会减少事件发生的可能性,但会减少其影响。这种特定类型的控制可以称为风险缓解。无论它是否降低可能性、影响或两者兼而有之,ROC的计算都是相同的。
在此示例中,我们假设您仅支付一年的风险降低费用。如果控制是一项旨在在多年内降低风险的投资,那么您还必须确定在多长时间内会发生预期的损失减少。如果控制只是一项可以随时启动和停止的持续支出,那么这个简单的公式就可以应用于一年的收益(损失减少)和一年的成本。如果控制权是一次性投资,可以在较长时间内提供收益,那么请遵循公司的资本投资财务惯例。然后,您可能需要将收益计算为给定贴现率下一系列投资的“现值”。或者您可能会被要求提供“内部回报率”。我们不会在这里花时间讨论这些方法,但是有相当简单的财务计算,可以完全使用Excel中的简单函数来完成。
如果您计划将我们的简单影响范围进一步分解为更多计算影响的变量,则需要注意。在我们到目前为止所展示的示例中,计算预期损失是一个非常简单的计算。我们只需将计算出的影响分布平均值乘以事件发生的概率即可(我们在网站上提供的电子表格可以为您完成此操作)。但是,如果我们将影响分解为需要相乘的多个组成部分(例如,记录泄露次数、每条记录的成本、中断持续时间、受影响人数、每人每小时的成本),那么使用平均值就不再合理估计。我们实际上必须对每一行运行单独的模拟。但在我们最简单的模型中,我们现在可以忽略它。当我们使模型更加先进时,我们可以添加更多细节。后面的章节将描述如何通过添加逐渐提高真实性的元素来改进模型。
您刚刚回顾了如何对网络安全风险进行非常简单的快速审核。我们遗漏了很多有关概率方法的细节,但这足以应付成为CISO的第一天。现在,在继续本章之前,让我们展示一下简单的模拟可以如何处理您已经收集的范围和概率。
原文始发于微信公众号(河南等级保护测评):快速风险审计:支持决策-控制回报
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论