Библибоба

Читаем Как оценить риски в кибербезопасности. Лучшие инструменты и практики полностью

Как оценить риски в кибербезопасности. Лучшие инструменты и практики

Дуглас У. Хаббард , Ричард Сирсен

И в очередной раз повторим: если вам будут говорить, что этот или другие обсуждаемые нами методы непрактичны, помните, что они многократно применялись нами, в том числе и в кибербезопасности. Называя что-либо непрактичным, люди часто имеют в виду, что просто не знают, как это применить. В качестве иллюстрации приведем еще один диалог аналитика с экспертом по кибербезопасности. Аналитик проверит согласованность оценок эксперта с помощью указанных выше расчетов. Естественно, для этого он использует электронную таблицу (доступна на сайте).

Аналитик рисков: Как вы помните, мы распределили риски для каждого актива. Если я произвольно выберу актив, какова вероятность, что нарушение кибербезопасности произойдет в следующем году?

Эксперт по кибербезопасности: Зависит от того, что вы считаете нарушением, – может быть и сто процентов. К тому же на мое суждение повлияет множество факторов.

Аналитик рисков: Да, но, допустим, вам известно лишь, что речь об одном из ваших активов. Я просто выберу наугад и даже не скажу вам, какой именно. И давайте еще проясним, что имеется в виду не просто незначительное событие, единственной затратой при котором будут ответные меры кибербезопасности. Оно должно навредить работе компании, стать причиной штрафа или более серьезных проблем, вплоть до крупной утечки данных, которые недавно освещались в новостях. Допустим, это событие обойдется компании не менее чем в пятьдесят тысяч долларов, а возможно, и в несколько миллионов.

Эксперт по кибербезопасности: Откуда мне знать вероятность наступления события, если об активе ничего не известно?

Аналитик рисков: То есть, по-вашему, всем активам компании в следующем году грозят серьезные нарушения кибербезопасности?

Эксперт по кибербезопасности: Нет, пожалуй, из всего портфеля активов значимыми событиями, которые принесут более пятидесяти тысяч долларов убытков, станут только перебои в работе систем нескольких структурных подразделений. Может быть, более крупные нарушения кибербезопасности раз в пару лет.

Аналитик рисков: Понятно. Итак, у нас в списке двести активов, на ваш взгляд, произойдет ли нарушение кибербезопасности такого уровня в половине из них в следующем году?

Эксперт по кибербезопасности: Нет. «Нарушение кибербезопасности», как я его понимаю, возможно, случится с тремя – десятью активами.

Аналитик рисков: Хорошо. То есть, если я наугад выберу актив из списка, вероятность того, что в нем произойдет нарушение кибербезопасности, будет менее десяти процентов. Возможно, ближе к одному или двум процентам.

Эксперт по кибербезопасности: Понимаю, о чем вы. Для выбранного актива, о котором я больше ничего не знаю, думаю, можно было бы взять двухпроцентную вероятность нарушения кибербезопасности, предполагающего значительные убытки.

Аналитик рисков: Отлично. Теперь, предположим, я сообщу вам только один факт об этом активе. Допустим, он содержит данные платежных карт. Это как-то отразится на риске нарушения кибербезопасности?

Эксперт по кибербезопасности: Да. Наши средства контроля в этой области лучше, но и активы привлекательнее для злоумышленников. Возможно, я увеличу вероятность до четырех процентов.

Аналитик рисков: А если я скажу, что актив не содержит данных платежных карт. Насколько тогда изменится вероятность?

Эксперт по кибербезопасности: Не думаю, что это повлияет на мою оценку.

Аналитик рисков: А должно бы. Ваша «базовая» вероятность составляет два процента. Вы описали одно условие, которое увеличит ее до четырех процентов. Чтобы убедиться, что вероятность сбалансирована, противоположное условие должно уменьшать ее так, чтобы среднее значение по-прежнему оставалось два процента. Чуть позже я покажу расчеты, и вы поймете, о чем речь.

Эксперт по кибербезопасности: Ладно, думаю, я понимаю. Пусть будет один процент.

Аналитик рисков: Отлично. Итак, какой процент от всех активов на самом деле содержит данные платежных карт?

Эксперт по кибербезопасности: Мы только что завершили аудит, поэтому тут все довольно ясно. Это двадцать активов из двухсот.

Аналитик рисков: То есть десять процентов от всех перечисленных активов. Чтобы проверить, все ли сходится, мне нужно вычислить базовую вероятность на основе этих условных вероятностей и посмотреть, согласуется ли она с той, что вы дали мне изначально.

Перейти на страницу:
Читать далее

Похожие книги

Один хороший трейд. Скрытая информация о высококонкурентном мире частного трейдинга
Один хороший трейд. Скрытая информация о высококонкурентном мире частного трейдинга

Частный трейдинг или proprietory trading пока еще мало освещен в русскоязычной литературе. По сути дела, это первая книга на эту тему. Считается, что такой трейдинг появился много лет назад, когда брокерские компании, банки и другие финансовые институты нанимали трейдеров для торговли на финансовых рынках деньгами компании. Сейчас это понятие распространяется и на трейдеров, которые не получают заработную плату, но вкладывают некую сумму своих личных денег в трейды компании-собственника.Книга рассказывает обо всех важных уроках, преподанных автору рынком на протяжении последних 12 лет, в течение которых он тем или иным образом был связан с частным трейдингом. Он поделится с читателем наработанным опытом и для этого познакомит вас со многими трейдерами. Некоторым из них довелось познать вкус успеха, большинству же пришлось очень туго.Книга нацелена на широкую аудиторию трейдеров и спекулянтов, работающих на финансовых рынках России и мира, а также частных инвесторов, самостоятельно продумывающиХ свои стратегии в биржевых и внебиржевых трейдах.

Майк Беллафиоре

Финансы / Хобби и ремесла / Дом и досуг / Финансы и бизнес / Ценные бумаги
Читать бесплатно
23 положения по бухгалтерскому учету
23 положения по бухгалтерскому учету

Настоящее издание содержит основные нормативные документы, регламентирующие ведение бухгалтерского учета: Федеральный закон «О бухгалтерском учете», Положение по ведению бухгалтерского учета и бухгалтерской отчетности в Российской Федерации, а также все действующие положения по бухгалтерскому учету с учетом всех последних изменений.Издание предназначено для бухгалтеров, аудиторов, работников налоговых и финансовых служб, студентов, аспирантов, преподавателей экономических вузов и колледжей, юристов и руководителей организаций.

Законы РФ , Коллектив Авторов

Финансы / Бухучет и аудит / Финансы и бизнес
Без регистрации
Инвестиции в инфраструктуру: Деньги, проекты, интересы. ГЧП, концессии, проектное финансирование
Инвестиции в инфраструктуру: Деньги, проекты, интересы. ГЧП, концессии, проектное финансирование

Без инвестиций в инфраструктуру невозможно представить себе функционирование общества, экономики, бизнеса, государства и его граждан. В книге описываются основные модели внебюджетного инвестирования в транспортные, социальные, медицинские, IT– и иные проекты. Такие проекты – удел больших денег, многоходовых инвестиционных моделей и значительных интересов, а в основе почти всех подобных проектов прямые инвестиции со стороны бюджетов разных уровней либо различные формы государственно-частного партнерства (ГЧП). Материал в книге изложен понятным языком, с многочисленными примерами, помогающими усвоению важнейшей информации, даны предметные советы по старту и реализации конкретных проектов. Именно они могут принести бизнесу существенный доход, а властям – авторитет и уважение граждан.

Альберт Еганян

Финансы / Финансы и бизнес / Ценные бумаги
Полная версия
Покер лжецов
Покер лжецов

«Покер лжецов» — документальный вариант истории об инвестиционных банках, раскрывающий подоплеку повести Тома Вулфа «Bonfire of the Vanities» («Костер тщеславия»). Льюис описывает головокружительный путь своего героя по торговым площадкам фирмы Salomon Brothers в Лондоне и Нью-Йорке в середине бурных 1980-х годов, когда фирма являлась самым мощным и прибыльным инвестиционным банком мира. История этого пути — от простого стажера к подмастерью-геку и к победному званию «большой хобот» — оказалась забавной и пугающей. Это откровенный, безжалостный и захватывающий дух рассказ об истерической алчности и честолюбии в замкнутом, маниакально одержимом мире рынка облигаций. Эксцессы Уолл-стрит, бывшие центральной темой 80-х годов XX века, нашли точное отражение в «Покере лжецов».

Майкл Льюис

Финансы / Экономика / Биографии и Мемуары / Документальная литература / Публицистика / О бизнесе популярно / Финансы и бизнес / Ценные бумаги
Читать Онлайн
Избранное