Читаем Как оценить риски в кибербезопасности. Лучшие инструменты и практики полностью

В идеале информация для кривой рискоустойчивости собирается на встрече с руководителями, обладающими компетенцией заявлять, насколько большой риск организация готова принять в соответствии с ее политикой. Хаббарду доводилось формировать кривые рискоустойчивости различных типов (кривая вероятности превышения потерь – лишь один из видов количественной оценки рискоустойчивости) для множества организаций, в том числе с целью определения рискоустойчивости ряда приложений обеспечения кибербезопасности. Такая встреча обычно длится около полутора часов. Предполагается, что в ходе нее вы просто объясняете саму концепцию руководству, а затем просите их установить несколько точек на кривой. Также в процессе необходимо определить, какая именно кривая рискоустойчивости вас интересует (например, ежегодный риск для отдельной системы, риск на десятилетие для всего предприятия и т. д.). Как только суть дела объяснена, можно начинать задавать вопросы, оттолкнувшись от какой-то произвольной точки.

Аналитик: Согласны ли вы принять вероятность десять процентов того, что в год из-за рисков кибербезопасности убытки составят более пяти миллионов долларов?

Руководитель: По-моему, лучше бы обойтись вообще без рисков.

Аналитик: По-моему, тоже, но сейчас вы уже рискуете во многих областях. Очевидно, что, сколько ни вкладывай в снижение рисков, полностью они не исчезнут.

Руководитель: Верно. Полагаю, я могу согласиться с вероятностью десять процентов, что убытки составят пять миллионов долларов или более.

Аналитик: Как насчет вероятности двадцать процентов потерять более пяти миллионов долларов в год?

Руководитель: Кажется, это перебор. Давайте остановимся на десяти процентах.

Аналитик: Отлично, тогда десять процентов. Итак, какую вероятность гораздо бóльших убытков, например пятьдесят миллионов долларов или больше, вы готовы назвать? Может быть, хотя бы один процент?

Руководитель: Полагаю, я не люблю рисковать. Считаю допустимой однопроцентную вероятность для убытков в размере двадцать пять миллионов долларов или более за год…

И так далее. Отметив три или четыре точки, можно интерполировать остальные и передать результат руководству на окончательное утверждение. Технически процесс не сложный, но важно знать, как реагировать на некоторые потенциальные вопросы или возражения. Кто-то из руководителей может указать, что процедура кажется весьма абстрактной. В таком случае стоит привести примеры из практики их компании или других предприятий, касающиеся выбранных убытков и того, как часто они возникают.

Кроме того, некоторые предпочитают рассматривать кривую только в рамках определенного бюджета на кибербезопасность, от них можно услышать что-то вроде «приемлемость данного риска зависит от того, во сколько нам обойдутся меры по его предотвращению». Подобное беспокойство вполне разумно. Если руководство готово уделить вам больше времени, можно задать рискоустойчивость при различных уровнях расходов на предотвращение рисков. Есть даже способы нахождения оптимального соотношения риска и отдачи (подробнее об этом читайте в первой книге Хаббарда «Как измерить все, что угодно. Оценка стоимости нематериального в бизнесе»). Однако большинство, похоже, готовы рассмотреть идею о том, что существует максимально приемлемый риск. Именно его мы и пытаемся определить.

Стоит также отметить, что авторы множество раз обсуждали с руководителями организаций кривые рискоустойчивости как в области кибербезопасности, так и в других областях. Если вы переживаете, что начальство ничего не поймет, можем вас заверить: мы с таким ни разу не сталкивались. Даже когда нас уверяли, что начальник в этом не разбирается. На самом деле руководители, похоже, осознают необходимость определения уровня приемлемых рисков не хуже других специалистов в области кибербезопасности. Мы еще вернемся к данной теме в главе 5, когда будем обсуждать различные иллюзорные препятствия для применения количественных методов.