Читаем Как оценить риски в кибербезопасности. Лучшие инструменты и практики полностью

Итак, актуальность, сложность в проведении измерений, широкая и постоянно растущая целевая аудитория и наличие достойного соавтора сделали кибербезопасность идеальным вариантом.

Несмотря на то что книга посвящена рискам кибербезопасности, у нее все же много общего с первым изданием серии «Как измерить все, что угодно», включая рассмотрение следующих вопросов:

• Как принимать наилучшие решения в случаях, когда вы не уверены в настоящем и будущем?

• Как снизить неопределенность даже в тех случаях, когда кажется, что данные недоступны или что цели измерения двусмысленны и неосязаемы?

В частности, в этой книге предлагается альтернатива набору глубоко укоренившихся методов оценки рисков, которые в настоящее время широко используются в сфере кибербезопасности, но не имеют в своей основе математических вычислений или научных методов. С нашей точки зрения, такие методы лишь мешают принятию решений по проблеме, что становится критически важной. И мы утверждаем, что методы, основанные на реальных доказательствах улучшения принимаемых решений, не только практичны, но уже применялись для широкого круга одинаково сложных проблем, в том числе и в кибербезопасности. Мы покажем, что можно начать с простых приемов, а затем развить их до необходимого уровня и при этом избежать проблем, присущих матрицам и шкалам риска. Так что не останется причин тотчас же не перейти на использование более эффективных методов.

Следует ожидать, что постепенно эффективность принимаемых решений повысится, что будет отражено количественно. В частности, это коснется ключевых решений, принимаемых в ситуации с высокой долей неопределенности, последствия которых при неверном выборе могут быть катастрофическими. Мы считаем, что безопасность охватывает все эти проблемы.

Читателям не обязательно быть экспертами по управлению рисками или кибербезопасности. Методы, применяемые нами в сфере безопасности, можно использовать и во многих других областях. Хотя, конечно, мы надеемся, что наши методики помогут прежде всего специалистам в сфере кибербезопасности более успешно строить защиту и разрабатывать ее стратегии. А также мы надеемся, что благодаря книге многие руководители начнут лучше осознавать риски безопасности и принимать более эффективные решения.

Если вы хотите быть уверены, что эта книга для вас, ниже описана целевая аудитория, на которую мы ориентировались.

• Вы – специалист, принимающий решения и стремящийся повысить число верно принятых важных решений (так чтобы это можно было проверить количественно).

• Вы – специалист по безопасности, желающий усовершенствовать свою стратегию борьбы со злоумышленниками.

• Вы не относитесь ни к одной из названных категорий, но хотите лучше понять область кибербезопасности и/или управления рисками, используя доступные количественные методы.

Профессиональные количественные аналитики могут пропустить разделы, посвященные исключительно анализу. Профессиональные хакеры могут не читать разделы о безопасности. Мы часто будем рассматривать хорошо знакомые вам области с новой точки зрения или, наоборот, повторять очевидное, поэтому читайте так, как будет удобнее.

Нам необходимо реже проигрывать в борьбе с преступниками. Или хотя бы проигрывать элегантнее, а восстанавливаться быстрее. Многие считают, что для этого нужны более совершенные технологии. Они требуют больше инноваций от поставщиков в области безопасности, даже несмотря на то что частота нарушений при этом не сокращается. На наш взгляд, для успешного противостояния угрозам безопасности нужно что-то не менее (а может, и более) важное, чем инновационные технологии. И под этим «что-то» подразумевается более эффективный способ количественного рассмотрения рисков.

Нам нужны специалисты, которые последовательно принимали бы оптимальные решения благодаря повышению качества анализа, а также знали бы, как справляться с неопределенностью перед лицом надвигающейся катастрофы. Чтобы этого достичь, требуется инструментарий, элементы которого иногда называют современными модными терминами, такими как прогностическая аналитика, но в целом он включает в себя и науку о принятии решений, и анализ решений, и даже надлежащим образом применяемую статистику.

Первая часть закладывает основу для рассуждения о неопределенности в области безопасности. Здесь сформулированы определения таких понятий, как безопасность, неопределенность, измерения и управление риском, а также объясняется опасность неправильного их понимания. Нами будет обоснована необходимость более совершенного подхода к измерению риска кибербезопасности и, если уж на то пошло, к измерению эффективности самого анализа рисков кибербезопасности. Кроме того, мы познакомим читателей с весьма простым количественным методом, который может послужить отправной точкой, даже если вам очень не нравится все сложное.