Come calcolare il fattore di esposizione?

Question

Come calcolare il fattore di esposizione?

Naviga le tue risposte

#1 da (5 voti)

4

Come posso calcolare una singola aspettativa di perdita senza un dato fattore di esposizione?

Qualcuno può spiegarmi per favore?

risk-management risk-analysis

posta Diogo 19.04.2015 - 04:27

fonte

1 risposta

Leggi altre domande sui tag risk-management risk-analysis

PGP Proprietario Trust Field & Signature Trust Field Distinction Il testo in chiaro su https è davvero una buona idea? [duplicare]

score 5 · Answer 1

Non è possibile calcolare un Expessancy perdita singola (SLE) senza un fattore di esposizione reale, stimato, stimato o stimato per ipotesi (EF). Penso che ciò che manca nella maggior parte dei materiali di formazione sulla gestione del rischio di INFOSEC che coprono l'analisi quantitativa, è che non forniscono molte indicazioni su come tradurre la definizione di rischio generico [rischio = f (bene, minaccia, vulnerabilità)] in un EF e in le formule SLE e ALE. Ho guardato online proprio ora, e non ho visto nessuno che lo riguardasse bene.

Affinché esista un rischio, deve esserci una vulnerabilità da sfruttare e minacce contro tale vulnerabilità. Queste minacce hanno anche una probabilità di accadimento (che può essere basata su attacchi osservati). La Probabilità delle minacce si traduce nel tasso di frequenza annualizzato nell'analisi quantitativa. Quindi il tuo EF si basa principalmente sulla vulnerabilità e le sue conseguenze sull'asset quando si verifica la minaccia.

Molti EF a rischio (ovvero per coppia / vulnerabilità / coppia di vulnerabilità) producono un EF da 0 o 1 EF che riduce parte del carico di lavoro dell'analisi del rischio. Aiuta anche a volte nel fare la stima EF per considerare anche eventuali mitigatori che vengono messi a posto per aiutare a ridurre o eliminare la vulnerabilità.

Alcuni esempi semplicistici di EF semplici 0 e 1:

Beni: saldo di un conto bancario accessibile online
- Minaccia: Hacker utilizza le e-mail di pesca per ottenere account di accesso ai conti bancari per drenare gli account
  - Vulnerabilità: HUMINT: il titolare dell'account è indotto a rivelare i propri userid e amp; la password
  - Mitigatori: nessuno
  - EF risultante sul saldo del conto bancario: 1.0
- Minaccia: Hacker utilizza le e-mail di pesca per ottenere account di accesso ai conti bancari per drenare gli account
  - Vulnerabilità: HUMINT: il titolare dell'account è indotto a rivelare i propri userid e amp; la password
  - Mitigatori: la banca non consente l'avvio online di trasferimenti di bilancio esterni; la banca non mostra numeri di conto o numeri di routing online
  - EF risultante sul saldo del conto bancario: 0.0
- Minaccia: l'hacker utilizza elenchi recenti di userid / password rubati da un sito di social media
  - Vulnerabilità: HUMINT: molti titolari di account utilizzano le stesse password su tutti i siti e AUTHEN: molti siti (inclusa questa banca) usano il proprio indirizzo email come userid
  - Mitigator: la banca ha un'autenticazione a due fattori sul posto
  - EF risultante sul saldo del conto bancario: 0.0

Per la maggior parte degli altri rischi, è necessario valutare la vulnerabilità, la minaccia e eventuali mitigatori di vulnerabilità per decidere su un EF stimato. Se uno non ha molti dati reali osservati per basare l'EF a seconda del rischio, allora questi SLE individuali possono essere selvaggiamente fuori linea. Quando è cumulata con le aspettative di perdita annualizzata aggregata, potrebbe avere un margine di errore molto ampio a causa di tutti i singoli EF poco stimati.

Tuttavia, usando il settore bancario come esempio, per una banca che è stata in funzione per molti anni, hanno dati storici dettagliati sulle perdite (incluse le perdite legate al cyber-correlato). Una banca può effettivamente calcolare questi valori (EF, SLE, ARO, ALE) in modo abbastanza accurato per la loro cronologia fino alla data, e quindi usarli per le previsioni di perdite future.

Inoltre, dato che la cronologia delle perdite dettagliate, le banche possono fare analisi relativamente attendibili what-if cost-vs-benefit dell'implementazione di nuovi mitigatori (come l'autenticazione a due fattori).

Determina la stima del costo totale da implementare e distribuire mitigatore.
Calcola l'aggregato ALE dato gli EF attuali per volta periodo (diciamo 10 anni).
Modifica gli EF che influiscono sul mitigatore.
Calcola il nuovo aggregato ALE nello stesso periodo
Calcola la differenza tra il nuovo aggregato ALE e l'attuale aggregato ALE (che è il sperato in beneficio in quanto idealmente il nuovo ALE sarà più piccolo del ALE corrente)
Se il vantaggio (riduzione della perdita) è maggiore del costo totale a implementare, quindi farlo; se il beneficio (riduzione della perdita) è significativamente inferiore al costo totale da implementare, quindi l'analisi costo-vs-beneficio raccomanderebbe di non implementare il mitigatore.