Читаем Как оценить риски в кибербезопасности. Лучшие инструменты и практики полностью

В конечном счете смысл анализа рисков – даже с матрицей рисков, которую мы заменяем, – это поддержка решений. Однако проблема, с которой мы сталкивались раньше, заключалась в принятии конкретных решений по распределению ресурсов для конкретных средств управления. Во сколько обойдется, в конце концов, перевести один «высокий» риск в «средний»? Будет ли это стоить нам 5000 долл. или 5 млн? А что, если наш бюджет на кибербезопасность составляет 8 млн долл. и при этом у нас 80 «низких», 30 «средних» и 15 «высоких» рисков? А если за одну и ту же сумму можно смягчить последствия или нескольких «низких» рисков, или одного «среднего»? Если вам доводилось слышать (авторам вот доводилось) вопросы вроде «если потратить еще миллион долларов, удастся ли перевести этот риск из красной зоны в желтую?», то, возможно, такой подход к проблеме вызывал бы у вас раздражение. Когда руководителю отдела информационной безопасности приходится принимать решения о распределении средств на практике, очевидно, что от традиционной матрицы рисков помощи мало. Может показаться, что реально справиться и вовсе без этих методов. Однако, как будет показано далее, одной из ошибок руководителей отделов информационной безопасности является убеждение, что они примут верные решения, полагаясь только на свою экспертную интуицию.

Руководителю отдела информационной безопасности необходимы расчеты «рентабельности средств контроля», представляющей собой отношение снижения ожидаемых убытков в денежном выражении к стоимости средств контроля. Если рассматривать только выгоду в течение одного года (и игнорировать прочие соображения об изменении стоимости со временем), формула может быть такой:

Термин «ожидаемый» в контексте проектных расчетов обычно относится к средневзвешенному по вероятности значению некоторой суммы. Таким образом, ожидаемые убытки – это среднее значение убытков в симуляции по методу Монте-Карло, связанное с конкретной причиной. Если применить средства контроля для снижения рисков, а затем смоделировать новый набор убытков, среднее значение этих убытков станет меньше (за счет уменьшения вероятности любого из убытков, или уменьшения воздействия от наступления события, влекущего за собой убытки, или и того и другого). Разница убытков до и после применения средств контроля – это и есть параметр «снижение ожидаемых убытков» в формуле выше. Если снижение ожидаемых убытков равно затратам, то, согласно формуле, рентабельность средств контроля составит 0 %. Это верно и для других форм инвестиций.

Также необходимо будет определить, в течение какого периода времени ожидается снижение убытков. Если средства контроля – это текущие расходы, которые можно начать и прекратить в любое время, то приведенная выше формула будет применяться к годовой выгоде (снижению убытков) и годовым затратам. Если же средства контроля – разовая инвестиция, выгода от которой может проявляться в течение длительного периода времени, то следует придерживаться финансовых правил компании, касающихся капиталовложений. Вероятно, при этом надо будет рассчитать выгоду как текущую стоимость потока инвестиций при заданной ставке дисконтирования. Или потребуется подготовить внутреннюю норму рентабельности. Мы не будем уделять этому внимание, но существуют несложные финансовые расчеты, которые, опять же, можно выполнить с помощью одних лишь простых функций в редакторе Excel.

Необходимо соблюдать осторожность, если планируется раскладывать простой диапазон воздействия на множество переменных, используемых для его расчета. В показанном ранее примере вычисление ожидаемых потерь требует очень простых подсчетов: достаточно умножить рассчитанное среднее значение распределения воздействия на вероятность наступления события (электронная таблица, представленная на сайте, сделает это за вас). Однако если разложить воздействие на множество компонентов, которые необходимо перемножить (например, количество взломанных учетных записей умножить на стоимость одной записи, продолжительность отключения умножить на количество пострадавших людей и умножить на стоимость одного человека в час и т. д.), то работа со средними значениями уже не даст разумную оценку. Фактически придется запускать отдельную симуляцию для каждой строки. Но в нашей простейшей модели пока можно об этом не задумываться. По мере совершенствования модели мы сможем вносить в нее больше деталей. В последующих главах будут описаны способы развития модели через добавление элементов, постепенно повышающих ее реалистичность.