Читаем Как оценить риски в кибербезопасности. Лучшие инструменты и практики полностью

Однако только 32 % опрошенных всегда поддерживали количественные методы (т. е. 68 % не согласились с некоторыми утверждениями, где предпочтение отдавалось количественным, а не более мягким методам). Даже те, кто поддержал количественные методы, отметили, что следует продолжать применять более мягкие методы. Например, 64 % согласились с утверждением «широко используемые порядковые шкалы помогают выработать консенсус для определения дальнейших действий», но 61 % заявили, что используют матрицы рисков. Есть пусть и небольшое, но важное меньшинство (8,3 %), настроенное против количественных методов. Это вызывает беспокойство, поскольку подобные убежденные меньшинства способны как минимум замедлить внедрение количественных методов (авторам доводилось наблюдать несколько таких случаев). И даже большинство, в целом принимающее количественные методы, может не спешить внедрять более эффективные методы лишь из-за опасений, что замена кажется слишком сложной, или потому, что считают существующие методы оптимальными, несмотря на их недостатки.

Конечно, любой опрос, участие в котором добровольное, не защищен от систематической ошибки выборки, однако нельзя знать наверняка, будет ли тогда смещение больше в сторону поддержки или неприятия количественных методов. В любом случае уровень принятия количественных методов оказался достаточно высоким относительно наших ожиданий. Некоторые читатели могут поставить под сомнение методы, размер выборки и прочие аспекты, но далее мы обсудим статистическое значение и рассмотрим уровень научной квалификации сотрудников Hubbard Decision Research, проводивших анализ результатов.

Если вы сомневаетесь, что при оценке рисков кибербезопасности следует использовать больше количественных методов, посмотрите, будут ли обсуждаться в этой главе смущающие вас моменты, и изучите контраргументы. Если вы уже являетесь поклонником количественных методов и мы зря вас убеждаем, все равно прочитайте главу, чтобы иметь возможность более грамотно отвечать на возражения, когда с ними столкнетесь.

На первый взгляд, аргументы против использования количественных методов многочисленны и разнообразны, но, по нашему мнению, все они сводятся к нескольким основным типам заблуждений. Начнем с изучения набора методов, наиболее популярных в настоящее время в области оценки рисков кибербезопасности: порядковых шкал на матрице рисков. Выявив сложности и возражения, связанные с ними, мы надеемся перейти к реализации математически обоснованной оценки риска в области, которая очень в этом нуждается.

Любой эксперт по кибербезопасности узнает и, скорее всего, одобрит обычную матрицу рисков, основанную на порядковых шкалах. По нашему опыту, большинство руководителей готовы превозносить матрицу рисков, относя ее к «лучшим практикам». Как уже упоминалось в главе 1, ее шкалы представляют вероятность и воздействие, но не в вероятностном или денежном выражении, а в виде порядковых шкал с обозначениями «низкий», «средний», «высокий» или числовой градацией, скажем, от 1 до 5. Например, вероятность и воздействие могут быть обозначены цифрами 3 и 4 соответственно, а возникающий в результате риск отнесен в категорию «средний». Затем на основе шкал обычно строится двумерная матрица, а ее области далее разделяются на категории от «низкого» до «высокого» риска, или им присваиваются цвета (зеленый – низкая степень риска, а красный – высокая). Иногда порядковые шкалы используются без матрицы рисков, как в случае с методологией оценки рисков от OWASP¹, где несколько порядковых шкал объединяются в общий балл риска (примечание: у OWASP, как и у многих других, есть отличные рекомендации по контролю, но перечень средств контроля и методология управления рисками – не одно и то же). Шкалы применяются к показателям, которые могут указывать на риск (например, «легкость обнаружения» или «регулирующее воздействие»), а затем полученные оценки распределяются по категориям риска «высокий, средний, низкий» так же, как в матрице рисков.

Как уже упоминалось в главе 2, порядковые шкалы сами по себе не противоречат теории измерений или статистике. У них действительно есть обоснованная сфера применения. Но являются ли они заменой шкал отношений вероятности и воздействия? То есть могут ли они быть неким неясным заменителем вероятностей, которые уже используют в страховании, науке о принятии решений, статистике и многих других областях? И не должна ли показаться такая замена количественных показателей на порядковые шкалы типа «высокий» или «средний» столь же странной, как утверждение инженера, что масса детали самолета является «средней», или бухгалтера, составляющего отчет, что доход был «высоким» или «4» по пятибалльной шкале?