Читаем Как оценить риски в кибербезопасности. Лучшие инструменты и практики полностью

Одно из обоснованных опасений заключается в том, что аудитору, возможно, придется выполнять очень большой объем работы. Мы, конечно, понимаем, что у них много важных дел и часто не хватает персонала, но все же в ходе аудита можно по крайней мере проверять какие-то ключевые методы, особенно когда они содержат псевдовычисления. Если хотя бы часть мягких моделей начнет подвергаться аудиту в той же степени, что и модели, содержащие математические вычисления, у организаций исчезнет стимул придерживаться научно не обоснованных методов только для того, чтобы избежать аудиторских проверок.

<p>Что должна сделать экосистема кибербезопасности для вашей поддержки</p>

Ранее в этой книге были подробно рассмотрены популярные методы анализа рисков и установлена их несостоятельность. Они не добавляют ценности и, по сути, привносят ошибки. Кто-то скажет, что такие методы помогают хотя бы «начать разговор» об управлении рисками, но поскольку это же можно сделать с помощью многих методов, почему бы сразу не выбрать те, что показывают измеримое улучшение оценок? Кроме того, нельзя продолжать заявлять, что количественные методы непрактичны, поскольку они применялись нами в реальных условиях, будь то симуляции по методу Монте-Карло, байесовские эмпирические методы или более продвинутые их комбинации, описанные в главах 8 и 9. И, наконец, ничего в сведениях о недавних крупных утечках данных не указывает на то, что существующие широко применяемые методы вообще хоть как-то помогали управлять рисками.

И все же мы не укоряем специалистов по кибербезопасности за неэффективные методы. Они следуют рекомендациям организаций по стандартизации и применяют методы, которым их обучили в рамках признанных требований по сертификации. Им необходимо соблюдать нормативные требования и критерии аудита в своих организациях. И в их распоряжении инструменты, разработанные поставщиками, большинство которых ориентируются на более мягкие методы. Таким образом, если мы хотим, чтобы специалисты начали придерживаться иных подходов, должны произойти следующие изменения в экосистеме кибербезопасности.

1. Организации по стандартизации должны прекратить продвижение в сфере управления рисками кибербезопасности матриц риска как «лучших практик» и начать продвигать обоснованные (научные) подходы, если только не будут получены доказательства их неэффективности. Как было нами продемонстрировано, в отношении мягких методов подобных доказательств предостаточно.

2. В дополнение к первому пункту организации по стандартизации должны принять научно обоснованные методы для выявления лучших практик вместо существующих методов, в основе которых лежат рекомендации или мнения комиссий. Если организации по стандартизации смогут продемонстрировать эмпирические доказательства эффективности своих текущих рекомендуемых методов, которых окажется достаточно для опровержения уже имеющихся эмпирических данных, свидетельствующих против них (что кажется маловероятным), только тогда эти методы можно будет снова продвигать.

3. Можно создать организацию, которая будет отслеживать и измерять эффективность работы самих методов оценки риска. Она может быть сформирована по образцу Национальной базы данных уязвимостей, которую ведет NIST, а может – даже как часть этой базы (в конце концов, плачевное состояние методов оценки риска определенно стоит считать уязвимостью уровня государства). Тогда организации по стандартизации могли бы при выборе опираться на информированный, основанный на фактах анализ альтернативных методов.

4. Программы сертификации, обучающие применению матриц рисков и порядковых шкал, должны перейти на обучение как уже существующим научно обоснованным методам, так и новым методам, появляющимся по мере накопления доказательств (полученных из опубликованных исследований и благодаря осуществлению перечисленных выше действий).

5. Аудиторы должны начать применять стандарты пригодности модели в равной степени ко всем методам, чтобы не создавать препятствий для использования более эффективных методов. Когда и мягкие, и количественные методы станут проверяться одинаково тщательно (вместо того чтобы оценивать только последние и по умолчанию переходить к первым в случае обнаружения каких-либо проблем), то в итоге, мы уверены, будут приняты более эффективные методы.

6. Регулирующие органы должны способствовать изменениям. Понятно, что консервативные регуляторы меняются медленно, но им следует хотя бы начать процесс признания неадекватности методов, которые в настоящее время считаются «соответствующими требованиям», и поощрять более эффективные методы.

Перейти на страницу:

Похожие книги

Один хороший трейд. Скрытая информация о высококонкурентном мире частного трейдинга
Один хороший трейд. Скрытая информация о высококонкурентном мире частного трейдинга

Частный трейдинг или proprietory trading пока еще мало освещен в русскоязычной литературе. По сути дела, это первая книга на эту тему. Считается, что такой трейдинг появился много лет назад, когда брокерские компании, банки и другие финансовые институты нанимали трейдеров для торговли на финансовых рынках деньгами компании. Сейчас это понятие распространяется и на трейдеров, которые не получают заработную плату, но вкладывают некую сумму своих личных денег в трейды компании-собственника.Книга рассказывает обо всех важных уроках, преподанных автору рынком на протяжении последних 12 лет, в течение которых он тем или иным образом был связан с частным трейдингом. Он поделится с читателем наработанным опытом и для этого познакомит вас со многими трейдерами. Некоторым из них довелось познать вкус успеха, большинству же пришлось очень туго.Книга нацелена на широкую аудиторию трейдеров и спекулянтов, работающих на финансовых рынках России и мира, а также частных инвесторов, самостоятельно продумывающиХ свои стратегии в биржевых и внебиржевых трейдах.

Майк Беллафиоре

Финансы / Хобби и ремесла / Дом и досуг / Финансы и бизнес / Ценные бумаги
Инвестиции в инфраструктуру: Деньги, проекты, интересы. ГЧП, концессии, проектное финансирование
Инвестиции в инфраструктуру: Деньги, проекты, интересы. ГЧП, концессии, проектное финансирование

Без инвестиций в инфраструктуру невозможно представить себе функционирование общества, экономики, бизнеса, государства и его граждан. В книге описываются основные модели внебюджетного инвестирования в транспортные, социальные, медицинские, IT– и иные проекты. Такие проекты – удел больших денег, многоходовых инвестиционных моделей и значительных интересов, а в основе почти всех подобных проектов прямые инвестиции со стороны бюджетов разных уровней либо различные формы государственно-частного партнерства (ГЧП). Материал в книге изложен понятным языком, с многочисленными примерами, помогающими усвоению важнейшей информации, даны предметные советы по старту и реализации конкретных проектов. Именно они могут принести бизнесу существенный доход, а властям – авторитет и уважение граждан.

Альберт Еганян

Финансы / Финансы и бизнес / Ценные бумаги
Покер лжецов
Покер лжецов

«Покер лжецов» — документальный вариант истории об инвестиционных банках, раскрывающий подоплеку повести Тома Вулфа «Bonfire of the Vanities» («Костер тщеславия»). Льюис описывает головокружительный путь своего героя по торговым площадкам фирмы Salomon Brothers в Лондоне и Нью-Йорке в середине бурных 1980-х годов, когда фирма являлась самым мощным и прибыльным инвестиционным банком мира. История этого пути — от простого стажера к подмастерью-геку и к победному званию «большой хобот» — оказалась забавной и пугающей. Это откровенный, безжалостный и захватывающий дух рассказ об истерической алчности и честолюбии в замкнутом, маниакально одержимом мире рынка облигаций. Эксцессы Уолл-стрит, бывшие центральной темой 80-х годов XX века, нашли точное отражение в «Покере лжецов».

Майкл Льюис

Финансы / Экономика / Биографии и Мемуары / Документальная литература / Публицистика / О бизнесе популярно / Финансы и бизнес / Ценные бумаги