Читаем Как оценить риски в кибербезопасности. Лучшие инструменты и практики полностью

Если аналитик в сфере кибербезопасности говорит, что кто-то другой не поймет информацию, вполне вероятно, что он просто сам не разобрался в вопросе. Нам то и дело пытаются внушить, что руководство не поймет «теоретические» методы (хотя каждый упомянутый здесь метод применялся для решения практических задач и обсуждался с высшим руководством). Поэтому у нас сложилось впечатление, что, называя вероятностные методы теоретическими, человек на самом деле хочет сказать: «Я этого не понимаю» А возможно, и: «Я чувствую угрозу». Надеемся, наш пример простой модели замены «один на один» из главы 3 сможет помочь решить эту проблему. Мы максимально упростили подход, но при этом применяли методы, демонстрирующие измеримое улучшение и приносящие действенные результаты.

Хотя большинство участников опроса полагали, что порядковые шкалы помогают прийти к консенсусу, на наш взгляд, если взаимодействие является иллюзией, как показано у Будеску, то и консенсус тоже иллюзия. Видимость консенсуса может быть убедительной, но, как уже говорилось в главе 1, важно, чтобы метод оценки риска действительно работал, а его эффективность была измеримой. Возможно, руководители компании Target полагали, что их методы «работают», ведь они считали, что сообщают о риске, а когда пришли к консенсусу, думали, что все стороны понимают, с чем соглашаются. Если сама оценка риска основана на неэффективных методах, то, вероятно, стоит предпочесть небольшие разногласия иллюзорному консенсусу.

Следует рассматривать препятствия на пути использования более эффективных количественных методов как обычные недоразумения, основанные на распространенных заблуждениях. Подведем итоги.

• Применение популярных шкал и матриц ничего не дает. Они подвержены влиянию тех же факторов, которые считаются препятствиями для количественных методов (сложность кибербезопасности, участие людей, меняющиеся технологии и т. д.). Фактически они вносят неясность в коммуникацию и банально используют неверные вычисления. Лучше отказаться от их применения во всех формах анализа риска.

• Все, что можно смоделировать с помощью качественных шкал, также моделируется и с помощью количественных вероятностных методов, даже если задействовать лишь тот же источник данных, что и в большинстве качественных методов (т. е. эксперта в области кибербезопасности). Эти методы демонстрируют измеримое повышение эффективности на основе предыдущих исследований. Их эффективность также можно измерить после внедрения, поскольку здесь применимы стандартные статистические методы для сравнения оценки рисков с наблюдаемой реальностью.

• Количественные модели были многократно реализованы на практике. Отказ от них как от «теоретических» лишь показывает, что человек, использующий такое название, их боится.

Кибербезопасность стала слишком важной областью, чтобы оставить ее на откуп методам, которые, как читатель должен признать после наших веских аргументов, очевидно несостоятельны. Компании и правительства больше не могут позволить себе придерживаться заблуждений, мешающих внедрять работающие методы. Мы довольно много написали на эту тему и ценим ваше терпение, если вы дочитали все до конца. Нами приводилось множество источников в подтверждение каждого довода, но хочется закончить эту главу еще одним аргументом в поддержку количественных методов. Прочитайте, что пишет ниже Джек Джонс, лидер в области кибербезопасности, и закроем эту тему, вернувшись к разбору более эффективных методов.

Джек Джонс работает в сфере информационной безопасности более 25 лет, в том числе в качестве руководителя отдела информационной безопасности. Он также является создателем подхода FAIR.

Почти все согласны, что применение количественных оценок и метрик – в целом хорошая практика, но тема количественной оценки риска в сфере защиты информации может стать причиной серьезных споров и даже ссор. Многие даже не верят, что это возможно или практически осуществимо. В таком случае зачем же пытаться количественно оценить риск? Почему бы не обойтись без раздоров и не продолжить просто считать уязвимости, уровни осведомленности и количество атак? Причина – в контексте. Другими словами, все эти и прочие элементы сферы информационной безопасности, которые могут быть выбраны для измерения, имеют значение лишь применительно к их влиянию на риск (т. е. частоту возникновения и величину убытков).