Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Карты, деньги, риск-менеджмент...

Илья Борисов

В последние десятилетия управление рисками из «серебряной пули» превратилось в один из самых неоднозначных ИБ-инструментов. Несмотря на очевидные преимущества риск-ориентированного подхода, на появление множества статей, книг и обучающих материалов, практических внедрений катастрофически мало для того, чтобы говорить о массовом использовании технологии, a эффективность имеющихся решений по-прежнему находится под вопросом.

Кто виноват

Как ни парадоксально, в сложившейся ситуации виноваты в большей степени именно апологеты риск-менеджмента в сфере ИБ. С их легкой руки появился и успешно эксплуатируется миф о том, что оценка рисков – это просто, быстро, практически бесплатно, не требует специфического опыта и навыков. И, самое важное, что оценка рисков, по крайней мере в теории, позволяет любому ИБ-специалисту говорить с бизнесом на одном языке. Подразумевается, что на языке денег.

А ведь правда, интуитивное управление рисками (начиная от выбора одежды в зависимости от прогноза погоды и заканчивая решением взять ипотеку в валюте) является неотъемлемым навыком любого человека. Так почему бы не переложить этот опыт и на корпоративную оценку рисков? Новичкам предлагается вооружиться редактором электронных таблиц, порядковой шкалой оценки вероятностей и ущерба, списком активов и соответствующей моделью угроз. Казалось бы, что может быть проще?

Бог и дьявол – в деталях

На первых же шагах инвентаризации активов и сопоставлениям с ними угроз, а в идеале – и защитных мер объем данных, требующих анализа, может значительно превысить возможности даже опытного специалиста в области ИБ. Менее опытных этот объем работы может навсегда отпугнуть от анализа рисков.

Из личного опыта. В результате анализа активов нашего подразделении в Индии выяснилось, что количество только его информационных активов превысило 3 тыс., а соответствующих им ресурсов (ПК, серверы, сетевое оборудование, инженерные системы и т.п.) – 10 тыс. Потребовалось создание отдельной рабочей группы из пяти специалистов, которые в течение нескольких месяцев занимались итерационной кластеризацией активов и ресурсов под руководством местного CISO.

Фундаментальная формула Риск = [Вероятность события] х [Величина ущерба] содержит в себе еще более коварную ловушку.

Имеются всего два способа оценки вероятности события и величины возможного ущерба:

  • оценки на основе предыдущего опыта и/или исторических данных;
  • оценки на основе экспертного мнения и/или интуиции.

Очевидно, что оба способа имеют свои недостатки, но в большинстве случаев для задач ИБ используется второй. Многие считают серьезнейшим недостатком этого метода отсутствие опыта у экспертов, но на деле основная проблематика находится в другой плоскости.

Можно ли оценить экспертное мнение и улучшить качество экспертной оценки в условиях неопределенности? Можно ли доверять интуиции и грубым оценкам, когда речь идет об угрозе бизнесу и бюджетах, составляющих миллионы рублей? При использовании научного подхода – да!

Отдельного внимания заслуживают попытки реализации модели за один подход, с максимальными охватом и точностью. Это не только приводит к существенным затратам, но и противоречит необходимости применения процессного подхода, основанного, например, на цикле PDCA (Plan-Do-Check-Act). Нужно не только регулярно уточнять и пересматривать модель, но и постоянно вносить в нее новые риски, отражающие развитие бизнеса и ИТ-инфраструктуры. Более того, абсолютная точность не только является недостижимой, но и не имеет какого-либо практического смысла.

Почему не работает метод

Основной аргумент для использования качественной оценки рисков – невозможность получить точные значения вероятности реализации угрозы и возможного ущерба. Именно по этой причине лучшей практикой стало использование в управлении рисками ИБ порядковых шкал для экспертной оценки вероятности и потенциального ущерба. Порядковая шкала представляет собой набор значений, ранжированных по порядку (например, «низкий», «средний», «выше среднего», «высокий»).

Но именно опора на этот подход приводит к тому, что бизнес не видит реальной экономической составляющей модели угроз и предлагаемых контрмер. А соответственно, вкладывает деньги практически вслепую, полагаясь на мнение менеджеров по ИБ или внешних консультантов.

Представьте, что вы находитесь в автосалоне. Возле заинтересовавшего вас автомобиля вместо привычной карточки с указанием его габаритных размеров, мощности двигателя, расхода топлива и цены вы видите таблицу с выводами качественной оценки и единственным комментарием «Интегрированный индекс данной модели, полученный на основании опроса экспертов нашей компании, равен 4». Полагаю, большинство покупателей покинет этот автосалон без нового транспортного средства.

Мощность
двигателя
Цена
Ниже средней (0,3) Средняя (0,5) Выше средней (1)
Выше средней (1) 3 4 5
Средняя (0,5) 2 3 4
Ниже средней (0,3) 1 2 3

Так почему же многие продолжают верить, что бизнес должен тратить значительные деньги, основываясь на подобных оценках? Современные предприниматели и топ-менеджеры компаний хорошо понимают природу риска. Они знают, что необходимость принятия решений в условиях неопределенности составляет основу предпринимательской и управленческой деятельности. Анализ решений и теория вероятностей все чаще входят в инструментарий разных организаций. А методы «продажи страха» и аналитические выводы типа «Это может случиться и с вашей компанией» больше не имеют серьезного влияния на лиц, принимающих решения.

Что делать

Нужно пересмотреть подход к оценке рисков ИБ, основываясь на трех постулатах.

  • Все измеримо, вопрос – лишь в достаточной точности измерений. На практике высокая точность измерений необходима гораздо реже, чем кажется, и зачастую невозможна или экономически нецелесообразна (например, знаете ли вы собственный рост с точностью до миллиметра, а вес – с точностью до грамма? А мешает ли вам отсутствие таких данных при выборе одежды?).
  • Результаты оценки рисков всегда можно обосновать экономически.
  • Измерение — это количественный результат снижения неопределенности.

Каждый из этих постулатов подтвержден опытом развития науки на всем ее историческом пути.

Например, во II веке до нашей эры Гиппарх Никейский, наблюдая лунные затмения, смог определить расстояние от Земли до Луны со средней погрешностью 13%. Более 2000 лет назад греческий ученый Эратосфен Киренский с помощью двух шестов и каравана верблюдов сумел измерить диаметр Земли с погрешностью от 1% до 11%. Получили широкое распространение задачи Ферми, требующие быстрой оценки порядка какой-либо величины на основе общеизвестных фактов и предположений.

Самой известной задачей такого типа стало определение числа настройщиков фортепьяно в Чикаго. Для этого Ферми попросил студентов определить общеизвестные показатели – численность населения Чикаго, среднее число человек в одной семье, процент семей, регулярно пользующихся услугами настройщиков, требуемая частота настройки, число пианино, настраиваемых настройщиком за день, число рабочих дней настройщика в году. Такие данные позволяли рассчитать число настройщиков. В зависимости от выбранных цифр ответ находился в интервале от 20 до 200; правильный ответ составлял примерно 50 человек. Это показало, что оценка была гораздо ближе к реальности, чем предполагали студенты.

Современные методы и инструменты анализа данных, возможность за считанные минуты получать статистические выкладки почти по любой предметной области дают огромное преимущество современным менеджерам. Для того чтобы выйти на новый уровень прогнозирования, необходимо отказаться от качественной оценки рисков и перейти к математически обоснованной количественной оценке. Началом станет пересмотр нынешней или построение новой модели рисков с использованием следующих шагов.

  1. Для имеющихся рисков определить период, в течение которого они могут реализоваться, и вероятность их наступления. Например, «С вероятностью 5% в течение следующих 12 мес. произойдет утечка ПДн сотрудников из системы кадрового учета».
  2. Для каждого риска указать уровень финансовых потерь. Важным условием является попадание крайних значений оценки в 90-процентный «доверительный» интервал (т.е. вы должны быть на 90% уверены, что потери окажутся в выбранном интервале). Например, «Если произойдет утечка ПДн сотрудников из системы кадрового учета, то с вероятностью 90% финансовый ущерб составит от 100 тыс. до 500 тыс. руб.».
  3. Получить как можно больше независимых экспертных оценок для каждого из возможных событий.
  4. Провести симуляцию, используя метод Монте-Карло с подходящей моделью распределения.
  5. Оценить приемлемые для бизнеса потери.
  6. Визуализировать полученные результаты (см. рисунок).

Визуализация результатов анализа

Очевидные преимущества новой модели таковы:

  • переход от порядковой шкалы к количественной оценке;
  • использование численных методов для более точного анализа вероятных значений ущерба;
  • возможность последовательного улучшения качества экспертной оценки за счет обучения экспертов;
  • возможность не только независимого анализа для отдельных событий, но и учета при анализе зависимых угроз и рисков;
  • расчеты модели рисков для информационной системы/объектов инфраструктуры/ подразделений компании/бизнеса в целом;
  • оценка эффективности службы ИБ с прозрачным экономическим эффектом;
  • использование понятных для руководителей методов и итоговых значений, позволяющих улучшить механизмы прогнозирования и принятия решений.

При этом более важным, чем технико-методическая часть решения, является переход к новой парадигме существования службы ИБ: во главе угла находится не соответствие требованиям регуляторов, аудиторов или консалтинговых компаний, а реальная экономическая эффективность ИБ через призму бизнес-процессов и бизнес-рисков. Актуальность такого подхода в условиях кризиса не вызывает сомнений.

Тэги: 
Оцените материал:
Total votes: 86

Другие статьи
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.