Финансовые потери как ключевой индикатор риска безопасности
Ключевые индикаторы риска (KRI) - это измерения, которые помогают отслеживать возможные риски для организации и обеспечивают представление о том, как эти риски можно снизить до приемлемого уровня. Как инструмент отчетности KRI позволяют службе, ответственной за информационную безопасность, привлекать внимание руководства и других ключевых заинтересованных сторон. Ведь если показатель не может быть измерен, его нельзя использовать для отслеживания риска. Если исполнительное руководство не обеспокоено информацией, которую раскрывает индикатор, вряд ли на него будут действовать какие-либо доводы в пользу нивелирования потенциальной опасности.
Финансовые потери представляют собой общий язык, используемый в бизнес-среде, внутри организаций, а также при общении с внешними сторонами, такими как регулирующие органы и страховые компании. Исполнительный менеджмент всегда говорит о финансах и, прежде всего, боится потерь. Потери могут быть измерены, отслежены и скорректированы. Моделируя и симулируя финансовые потери как часть количественной оценки риска, такие показатели становятся ключевым индикатором киберрисков для компании.
Существует ряд других факторов, которые существенно влияют на показатель финансовых потерь, и которые также необходимо фиксировать и отслеживать, но финансовые потери являются ключевым показателем киберрисков и самым понятным способом донесения информации до руководства.
Часто исполнительное руководство не полностью понимает значение риска, когда угроза оценивается как «высокая», поскольку она, вероятно, приведет к отключению системы на период до 72 часов с последующим устранением в течение 48 часов. Однако они поймут риск, если им будет сказано, что организация потеряет 1 500 000 рублей в следующем году из-за цифровых угроз. Такой показатель значим для всех заинтересованных сторон и сопоставим с другими конкурирующими проблемами. Отсюда, в зависимости от склонности исполнительного руководства к риску, может быть выделен бюджет для устранения выявленного киберриска или его снижения до приемлемых уровней.
Цена вопроса
Создание индикатора KRI может быть достигнуто с помощью сценарного моделирования в количественных оценках рисков, выполняемых в рамках более широкой системы управления информационной безопасностью. Количественные оценки включают в себя финансовую оценку активов предприятия и моделирование различных событий потерь для моделирования вероятных финансовых последствий, возникающих в результате инцидентов безопасности.
При моделировании сценариев генераторы случайных чисел, такие как моделирование по методу Монте-Карло, используются для получения тысяч возможных результатов, которые могут произойти, на основе количественных данных, предоставленных в ходе оценки. Распространенным результатом моделирования сценариев является кривая превышения потерь.
Чтобы создать сценарий, организации должны определить событие-угрозу для моделирования, после чего оценивать, сколько раз (частота) угроза будет воздействовать на организацию в течение определенного периода (обычно за период оценки принимается один год). Эту частоту следует умножить на расчетную стоимость потерь (убыток), которую вызовет эта угроза. Формула, разработанная для этого, выглядит очень просто и выражается как «РИСК = ЧАСТОТА * ПОТЕРИ».
Затраты по устранению последствий инцидента могут значительно варьироваться от относительно небольших сумм на ремонт или замену компонентов системы до значительных – например, снижения стоимости акций и юридических последствий для организаций. Данные о вероятностной частоте и прогнозируемых потерях должны быть получены из различных источников, включая журналы происшествий, от поставщиков, исходя из данных системы защиты информации и управления событиями, а также в виде калиброванных оценок от опытных практиков.
Чтобы применить симуляцию Монте-Карло к приведенной выше формуле, вероятностная и статистическая математика используется для получения множества возможных результатов, которые могут произойти с учетом неопределенного характера риска. Анализ итоговых данных (или результатов) моделирования позволяет получить единый прогноз финансовых потерь, который затем может быть представлен руководству. Именно эта цифра может служить ключевым индикатором кибер-риска.
Каждый сценарий представляет отдельную угрозу, и поэтому финансовые потери, прогнозируемые для каждого из них, будут различными. Усилия по восстановлению должны быть расставлены по приоритетам в зависимости от размера предполагаемой потери. Исполнительному руководству и другим заинтересованным сторонам необходимо решить, какой уровень возможных потерь является приемлемым, и сколько они готовы потратить на снижение риска.
Сценарии должны регулярно дорабатываться и обновляться, чтобы организации могли отслеживать риски с течением времени и внедрять новые предусмотренные бюджетом меры безопасности. Вычисляя единый прогнозируемый показатель финансовых потерь и используя его в качестве ключевого индикатора риска кибербезопасности, организации получают возможность измерять, отслеживать и контролировать риск прозрачным и всеобъемлющим образом.