Читаем Как оценить риски в кибербезопасности. Лучшие инструменты и практики полностью

С особенно сильным неприятием количественной оценки риска можно столкнуться при взаимодействии со специалистами по информационной безопасности и аудиторами, чья карьера и репутация построены на определенном образе мышления и действий, тем более когда их подход широко применяется во всей отрасли, а его ограничения мало кому известны. Ситуация усугубляется, если сюда добавляются заблуждения относительно количественной оценки, и, что еще хуже, когда не утверждаются базовые понятия (например, такие термины, как «риск», не для всех означают одно и то же). Для успешного преодоления подобного неприятия необходимо сочетание тактик.

У повышения осведомленности в области количественной оценки рисков есть по крайней мере несколько аспектов, в том числе следующие.

• Выработка единого мнения в отношении содержания понятия «риск» (подсказка: угрозы и недостаток контроля не являются рисками). Без такой основы все остальное будет оставаться борьбой, и, скорее всего, безуспешной. Стоит помнить, что конечная цель информационной безопасности – способность контролировать частоту возникновения убытков и уровень их серьезности.

• Помощь в понимании того, что количественная оценка – это не так сложно, она не требует высшего математического образования. На самом деле при правильном подходе она интуитивно понятна, концептуально проста и прагматична. Но все же для количественной оценки нужно обладать критическим мышлением, и вот это уже может оказаться серьезной проблемой, поскольку многие люди нашей профессии годами не пытались мыслить критически, когда речь заходила об измерении рисков. В основном риск определяется на глазок. Я не пытаюсь умалить их ум или врожденную способность к критическому мышлению, но ставлю в укор методы, на которые в нашей профессии так сильно полагаются (например, те же контрольные списки и порядковое ранжирование рисков).

Одно из основных опасений многих людей состоит в том, что количественная оценка риска окажется слишком трудоемкой. Лучший способ опровергнуть данное заблуждение – начать с анализа небольших, легче воспринимаемых проблем. Вместо того чтобы пытаться измерить нечто аморфное вроде «риска вычислений в облачных средах», измеряйте строго определенные проблемы, такие как «риск, связанный с тем, что облачный сервис конкретного провайдера выйдет из строя из-за кибератаки». Подобные более четкие и однозначные задачи требуют меньше времени и намного легче поддаются анализу, а еще их удобно использовать для быстрой демонстрации практической ценности количественного анализа рисков.

Несколько таких небольших анализов способны также продемонстрировать, насколько оперативно входные данные можно задействовать в разных анализах, что может еще больше ускорить достижение результатов и повысить эффективность.

Во многих организациях независимо от их размера есть функции, где главную роль играет количественный анализ. В качестве примера можно привести некоторые из наиболее зрелых направлений, связанных с риском (скажем, кредитный риск в финансовых учреждениях), и бизнес-аналитику. Там, где подобные функции существуют, часто встречаются компетентные руководители, которые ценят количественные показатели и готовы отстаивать соответствующие методы. Такие люди могут стать важными союзниками в сложных ситуациях корпоративной политики.

Считается, что количественная оценка риска сродни переключателю: стоит организации начать количественно оценивать риски информационной безопасности, как она полностью перестает действовать на глазок. Это в корне неверно. Ни одна из организаций, с которыми мне доводилось работать, не могла даже приблизиться к количественному определению всех имевшихся проблем информационной безопасности. Для этого банально нет ни ресурсов, ни времени. Поэтому важно разработать процедуру выработки приоритетов, которая поможет определять, когда следует проводить количественную оценку риска.

В зависимости от своих ресурсов и потребностей организация может выбрать, с чего начать количественную оценку. Возможно, сперва она понадобится только для обоснования крупных расходов на информационную безопасность или для определения наиболее важных задач. Суть в том, что количественная оценка риска может быстро предоставить весьма ценные сведения и не будет тормозить работу, если применять ее вдумчиво, а не как попало.

Количественная оценка рисков информационной безопасности может привести к смене парадигмы в организации, и, как почти при любой смене парадигмы, придется в процессе преодолеть косность и неприязнь. Одним из ключей к успеху является понимание того, что самая сложная часть перехода – культурная, как в рамках организации, так и (по крайней мере пока) в сфере информационной безопасности в целом. И поскольку культура в значительной степени функционирует благодаря убеждениям, для достижения успеха необходимо сосредоточиться на их изменении.