Come confronti i rischi dei tuoi siti web, perimetro fisico, personale ecc

10

Nell'assegnare razionalmente il budget, ossia in modo proporzionale al rischio in una determinata area, come puoi calcolare i rischi relativi?

Riesco a pensare ad esempi in cui i miei clienti si sono assicurati i loro siti web molto bene, ma non hanno alcuna sicurezza sulla loro porta principale e nessun controllo degli appaltatori - questo sembra folle ma in genere si riduce al fatto che non hanno avuto modo di confrontare rischi.

Le risposte possono essere quantitative o qualitative, ma sono solo interessato a come questo viene fatto nelle organizzazioni che conosci.

    
posta Rory Alsop 05.05.2011 - 14:39
fonte

2 risposte

12

Sono sicuro che ci sono molti processi - il termine generale da cercare è "analisi del rischio" o "valutazione del rischio". Il processo con cui ho più familiarità è ciò che viene sostenuto da NIST .

Generalmente, il processo NIST:

  • qual è il tuo sistema - ciò che conta come parte del tuo sistema e non parte del tuo sistema

  • quali sono le tue minacce? quali gruppi o persone, cosa cercano, quali sono le loro risorse?

  • quali sono le tue vulnerabilità? cosa può essere sfruttato da una di queste minacce?

  • cosa hai già protetto le tue vulnerabilità? Quanto è efficace?

  • quanto è probabile che la tua vulnerabilità venga sfruttata da una minaccia, nonostante i tuoi controlli.

  • qual è l'impatto se viene sfruttata la vulnerabilità? quanto ti perderai? Sia nelle risorse, sia nella possibilità di fare soldi in futuro, o danneggiare la reputazione

  • combina verosimiglianza e impatto - se entrambi sono alti - questa è la tua DEVE fare la lista. Se entrambi sono bassi, hai candidati per le cose da differire.

  • indagare su nuove protezioni - bilanciare il costo della protezione rispetto al costo dello sfruttamento della vulnerabilità per vedere se vale la pena pagare il denaro.

Crea insieme un piano per le protezioni per le quali investirai ora. Tieni presente che ci sono altre opzioni oltre a fermare l'exploit, ad esempio, e una polizza assicurativa per evitare perdite.

    
risposta data 05.05.2011 - 19:50
fonte
10

Se non hai familiarità con questo, FAIR (un quadro di rischio quantitativo) dovrebbe dare a un'organizzazione gli strumenti per farlo.
Dal sito web:

Factor Analysis of Information Risk (FAIR) provides a framework for understanding, analyzing, and measuring information risk. The outcomes are more cost-effective information risk management, greater credibility for the information security profession, and a foundation from which to develop a scientific approach to information risk management.

FAIR allows organizations to:

  • Speak in one language concerning their risk
  • Be able to consistently study and apply risk to any object or asset
  • View organizational risk in total
  • Defend or challenge risk determination using an advanced analysis framework
  • Understand how time and money will impact their security profile

In breve, usando FAIR puoi produrre un "numero" di rischio, che può essere un valore in dollari (o sterline) per il rischio.
Questo può quindi essere "paragonato" oggettivamente ad altri rischi, su una scala uguale - al contrario del confronto tra mele e arance (o più comunemente, mele e viola).

Nota anche che questo non si applica solo ai rischi tecnici o informatici ....

    
risposta data 05.05.2011 - 15:07
fonte

Leggi altre domande sui tag