È questo il modo corretto di calcolare il valore delle misure di sicurezza nella gestione dei rischi?

1

An investigation by the Information Security department has shown that the cost of rectifying a website damaged by a hacker is about Rs. 200k per incident. Available records (over the last ten years) show that such hacking activity has happened about five times during this period for comparable businesses. You have been asked to evaluate a security solution consisting of

• Two application-level firewalls (costing Rs. 20k each),

• One IPS/IDS appliance (costing Rs. 10k each).

The expected lifetime of the solution is 5 years - the cost is capitalised over 5 years. All security systems carry a simplified 20% (of total cost) charge for ‘installation, support, maintenance, and management’ per year.

Se la soluzione di sicurezza suggerita riduce il costo del danno del 70% per incidente, devo trovare il valore della salvaguardia per l'azienda. Quindi, calcolo come segue:

SLE('Single Loss Expectancy’) : 200K

ARO('Annualised Rate of Occurrence') : 0.5 per year

ALE('Annualised Loss Expectancy') : 100k (200k * 0.5)


ALE(Before) : 100k

ALE(After)  : 30K

Controls cost : 2 firewalls + 1 IDS + maintenance = 50k + 50k = 100k (for five years)
Annualised cost : 100k / 5 = 20k

Value of safeguard to the company: 100 - 30 - 20 = 50K
    
posta uma 08.10.2018 - 12:17
fonte

1 risposta

1

Quello che hai calcolato è la tradizionale "analisi costi-benefici" (CBA). Il calcolo è:

CBA = ALE(prior) – ALE(post) – ACS

Dove ACS è il costo di salvaguardia annualizzato.

Viene utilizzato per determinare se il CBA è positivo e anche per stimare il previsto Return on Security Investment (ROSI). Se positivo, allora sai che la protezione fornirà più protezione di quanto costi. Il ROSI aiuta a qualificare questa salvaguardia contro altre misure di salvaguardia e a ponderare altri costi non monetari che potrebbero anche essere presi in considerazione.

Questo non è strettamente "valore" come suggerisci nella tua domanda, ma potrebbe essere compreso in questo modo.

    
risposta data 08.10.2018 - 17:39
fonte

Leggi altre domande sui tag