Читаем Как оценить риски в кибербезопасности. Лучшие инструменты и практики полностью

• маркетинговые и рекламные кампании (помимо распространения информации о том, как была решена проблема) для компенсации возможных потерь в бизнесе.

По всей видимости, именно эти действия по минимизации негативного воздействия на репутацию, а не сам ущерб репутации и требуют реальных затрат. Каждое из них представляет собой удобный конкретный показатель, для которого у нас есть множество примеров в прошлом. Безусловно, если, на ваш взгляд, ущерб репутации связан с иными затратами, то следует смоделировать их. Но что в действительности значит для бизнеса ущерб репутации, если невозможно обнаружить его влияние ни на продажи, ни на цены акций? Поэтому главное – убедитесь, что ваше предположение подкреплено эмпирической базой. В противном случае, возможно, будет проще придерживаться стратегии расходов на проекты по искуплению.

Итак, если потратить чуть больше времени и усилий на анализ, можно получить разумную оценку даже такого вроде бы «неосязаемого» явления, как потеря репутации.

Разложение на составляющие может быть в определенной мере очень полезным, что было нами продемонстрировано на простом дополнительном разложении, которое можно использовать для развития примера из главы 3. Кроме того, загружаемая электронная таблица-образец и описание распределений в приложении А познакомят вас еще с некоторыми инструментами, полезными при разложении.

Мы также отметили, что разложения на составляющие бывают неинформативными. Необходимо строить разложение таким образом, чтобы в нем применялись известные фактические данные – какими бы ограниченными они ни были, – а не суждения о суждениях. Стоит проверять свои разложения на составляющие с помощью симуляций и сравнивать результаты с первоначальной оценкой до разложения. Это покажет, удалось ли в результате разложения на составляющие сузить диапазон оценки ущерба, или, наоборот, его придется расширить. В конце мы проработали особенно сложное для количественной оценки воздействие – потерю репутации – и показали, что даже в таких случаях есть конкретные наблюдаемые последствия, которые можно оценить.

Пока еще не затрагивалась тема разложения на составляющие вероятности событий, за исключением определения вероятности наступления двух типов событий (нарушение доступности в сравнении с нарушением конфиденциальности и целостности). Вероятность часто является бóльшим источником неопределенности для аналитика и беспокойства для руководства, чем воздействие. К счастью, ее тоже можно разложить на составляющие, данный вопрос будет рассмотрен позже в этой части.

Еще необходимо выяснить, откуда берутся первоначальные оценки диапазонов и вероятности. Как обсуждалось в предыдущих главах, экспертов, которые раньше присваивали произвольные баллы в матрицах рисков, можно научить присваивать субъективные вероятности, причем так, что это само по себе уже приведет к измеримым улучшениям оценки. Затем такую первоначально заданную неопределенность можно скорректировать с помощью очень полезных математических методов, даже если кажется, что данных мало. Мы рассмотрим эти темы в двух последующих главах: «Калиброванные оценки» и «Уменьшение неопределенности с помощью байесовских методов».

1. Ronald A. Howard and Ali E. Abbas, Foundations of Decision Analysis (New York: Prentice Hall, 2015), 62.

2. Michael Burns and Judea Pearl. “Causal and Diagnostic Inferences: A Comparison of Validity,” Organizational Behavior and Human Performance 28, no. 3 (1981): 379–394.

3. Ronald A. Howard, “Decision Analysis: Applied Decision Theory,” Proceedings of the Fourth International Conference on Operational Research (New York: Wiley-Interscience, 1966).

4. Ronald A. Howard and Ali E. Abbas, Foundations of Decision Analysis (New York: Prentice Hall, 2015), xix.

5. “Target Says Data Breach Hurt Sales, Image; Final Toll Isn’t Clear,” Dallas Morning News, March 14, 2014.

6. Trefis Team, “Home Depot: Will the Impact of the Data Breach Be Significant?” Forbes, March 30, 2015, www.forbes.com/sites/greatspeculations/2015/03/30/home-depot-will-the-impact-of-the-data-breach-besignificant/#1e882f7e69ab.

7. Karthik Kannan, Jackie Rees, and Sanjay Sridhar, “Market Reactions to Information Security Breach Announcements: An Empirical Analysis,” International Journal of Electronic Commerce 12, no. 1 (2007): 69–91.

8. Alessandro Acquisti, Allan Friedman, and Rahul Telang, “Is There a Cost to Privacy Breaches? An Event Study,” ICIS 2006 Proceedings (2006): 94.