Читаем Как оценить риски в кибербезопасности. Лучшие инструменты и практики полностью

Рис. 5.2. Теория тепловых карт и эмпирическое тестирование Источник: P. Thomas, R. Bratvold, and J. E. Bickel, “The Risk of Using Risk Matrices,” Society of Petroleum Engineers Economics & Management 6, no. 2 (April 2014): 56–66

Если вам кажется, что выводы должны касаться только нефтегазовой отрасли (целевая аудитория журнала, в котором опубликовано исследование), рассмотрим пример НАСА, упомянутый в главе 4. В этом исследовании проводилось сравнение метода Монте-Карло и статистических методов, основанных на регрессии, с более мягкими методами. Более мягким методом, о котором шла речь, была созданная НАСА версия матрицы рисков 5 × 5. У ученых и инженеров миссии, хорошо знавших свою сферу деятельности, надо полагать, было преимущество перед бухгалтерами, и тем не менее бухгалтеры с использованием симуляций по методу Монте-Карло и данных за прошлые периоды составили более точные прогнозы, чем ученые и инженеры с помощью матрицы рисков.

Наконец, подобные шкалы никак не учитывают ограничения экспертных суждений, как описано в главе 4. Ошибки экспертов только усугубляются из-за дополнительных погрешностей, привносимых шкалами и матрицами. Мы согласны с решением, предложенным Томасом и соавторами. В сфере кибербезопасности (или других областях анализа рисков, где также используются матрицы рисков) не надо пытаться заново изобретать количественные методы, хорошо зарекомендовавшие себя и применяемые для решения многих не менее сложных проблем. Томас и соавторы рекомендуют подходящие инструменты анализа решений, использующие вероятности в явном виде для выражения неопределенности. Они сравнивают матрицы рисков с анализом решений следующим образом:

Чтобы лучше понять различия, просто сравните матрицу рисков с кривой вероятности превышения потерь, представленной в главе 3. Напомним, что кривая вероятности превышения потерь охватывает все виды неопределенности в отношении воздействия, независимо от того, насколько широким может быть диапазон, а кривая рискоустойчивости дает ясное представление о том, какой риск приемлем для руководства организации. Итак, как в матрице рисков допустить большую неопределенность в отношении воздействия, если воздействие не укладывается в одну категорию? Как в матрице рисков однозначно отразить рискоустойчивость руководства, позволяя точно оценить варианты?

Как и авторы данной книги, Томас, Брэтвольд и Бикель приходят к выводу, который уже должен стать очевидным для всех, кто прочитал результаты исследований:

Надеемся, на этом вопрос исчерпан.

Знаете, есть такой старый анекдот о двух туристах, собирающихся в поход в лес (если вы его уже много раз слышали, заранее благодарим за терпение, но рассказываем мы его не просто так).

– У тебя ботинки порвались?

А первый в ответ:

– Нет, просто слышал, что сегодня в лесу были медведи, вот и надел кроссовки, чтобы бежать быстрее.

Приятель, смутившись, напоминает ему:

– Но ты же знаешь, что не сможешь обогнать медведя?

А турист в кроссовках отвечает:

– Мне не нужно обгонять медведя. Мне надо лишь обогнать тебя.