Sono uno studente e abbastanza nuovo nel campo della sicurezza IT. La maggior parte degli articoli e dei libri afferma che è necessario correggere una vulnerabilità solo se i costi di una violazione sono superiori ai costi di patch della vulnerabilità. Tuttavia, non riesco a trovare alcuna spiegazione che possa darmi almeno alcune conoscenze e competenze di base su questo problema.
Come professionista della sicurezza, spesso è meglio "esternalizzare" questo calcolo all'azienda. Ad esempio, se si identifica una vulnerabilità che è possibile dimostrare facilmente a un utente malintenzionato di sfruttare per distruggere il database del cliente, e il team delle operazioni stima di riportarlo dai backup richiederà 4 ore, inclusi i controlli, chiedere al proprietario dell'azienda cosa significherà per loro in termini di costi o di impatto.
L'azienda dovrebbe avere una visione dei costi indiretti creati dai clienti che evitano l'azienda e un annuncio pubblicitario si lamenta per ripristinare la fiducia.
Una volta che ti hanno detto il costo, la tua parte - che aiuta a definire la protezione - è molto più facile, come ha detto @growse.
L'equazione di solito non funziona su uno a uno però. Penseresti che se il costo della violazione è più alto del costo per la correzione, allora esegui il lavoro per risolvere il problema, ma più comunemente vediamo che è più come se il costo della violazione sia più di 10 volte il costo da riparare per poi rimediare.
Penso che per rispondere a questa domanda, è necessario avere una solida comprensione del valore delle risorse che stai cercando di proteggere. Se pensiamo che la sicurezza delle informazioni fornisca riservatezza, integrità e disponibilità (CIA), possiamo anche provare a determinare il costo per l'organizzazione se queste assicurazioni sono minate.
C: Dato il valore di alcune informazioni proprietarie, usalo per stimare il costo se questi dati vengono divulgati.
I: Dato il valore di alcuni dati operativi, utilizzalo per stimare la potenziale perdita o interruzione delle operazioni se questi dati vengono modificati maliziosamente (o accidentalmente) senza rilevamento per un po 'di tempo.
A: viste le entrate generate da un servizio (es. sito web di e-commerce) o la produttività abilitata da un sistema (es. sistema di posta elettronica interno), utilizzale per stimare quale perdita finanziaria accadrebbe se il servizio o il sistema dovesse andare giù per un dato periodo di tempo. È utile se hai un'idea di quanto a lungo può durare un'interruzione del servizio prima di essere identificato e corretto.
Come altri hanno menzionato, consiglierei di coinvolgere i proprietari di dati e servizi nella tua azienda per aiutare a calcolare stime di valore migliori. Non solo i tuoi risultati saranno più accurati e avranno più significato, ma aumenterai anche il buy-in dalla gestione nel processo.
In breve, non è facile.
Praticamente tutte le decisioni sulla sicurezza IT dovrebbero essere prese nel contesto di ciò che il "business" sta cercando di fare (quando dico "business", intendo "persone che pagano il sistema e fanno soldi" - di solito un business ).
Per stimare il costo di un incidente, è necessario pesare tutti i costi correlati relativi al ripristino del sistema come al solito. Se il tuo intero database clienti viene rubato e poi cancellato, ci possono essere costi significativi in downtime, multe regolamentari (se il governo non pensa che stavi proteggendo i dati correttamente), perdita di business attraverso la reputazione del cliente ecc. Ovviamente, i costi per diversi incidenti possono variare selvaggiamente.
Il costo per mitigare una vulnerabilità è solitamente più facile da elaborare, è solo la quantità di cose che devi comprare + il tempo che impiega per rafforzare il controllo ed eseguire il processo. Se è necessario assumere una persona a tempo pieno extra per lavorare su un particolare controllo (es. IDS), questo è un costo abbastanza significativo e potrebbe non valere la spesa rispetto al probabile incidente che potrebbe accadere se non si implementasse il controllo.
Speriamo che questo abbia un senso.
Poiché domande precedenti sono state toccate in modo marginale, lì ci sono molti schemi formali per la gestione del rischio, che la stima dei costi è una parte importante di. Fondamentalmente, tuttavia, una violazione della sicurezza sarà un costo aziendale più di un costo IT. Il / i proprietario / i dei dati che vengono distrutti, compromessi o resi temporaneamente inaccessibili dovranno avere molto input nella stima dei costi. Quella parte del costo di solito sminuisce il "reinstallare il sistema operativo del server, aggiusta il buco in cui sono entrati".
Leggi altre domande sui tag metrics risk-management