セキュリティ違反のコストをどのように推定しますか?
私は学生で、ITセキュリティの分野はかなり新しいです。ほとんどの記事や書籍では、違反のコストが脆弱性にパッチを適用するコストよりも高い場合にのみ、脆弱性にパッチを適用する必要があると述べています。ただし、この問題について少なくともいくつかの基本的な知識とスキルを得ることができる説明は見つかりません。
- セキュリティ違反のコストをどのように推定しますか?
- 脆弱性にパッチを適用するコストをどのように推定しますか?
セキュリティの専門家として、この計算をビジネスに「外部委託」することがしばしば最善です。たとえば、実証できる脆弱性を特定し、スキルのない攻撃者が顧客データベースを破壊するために悪用するのは簡単であり、運用チームがバックアップからの復旧にチェックを含めて4時間かかると見積もった場合、ビジネスオーナーに何を尋ねるかコストまたは影響の点で彼らに意味します。
ビジネスは、顧客が会社を回避することによって生じる間接的なコストについての見解を持っている必要があり、広告は自信を回復するように訴えます。
彼らがあなたにコストを教えたら、@ growseが言ったように、あなたの側-保護を定義するのを助ける-ははるかに簡単です。
ただし、この方程式は通常、1対1では機能しません。違反のコストが修正のコストよりも高い場合、修正のための作業を実行すると考えますが、より一般的には、違反のコストが修正して修正するためのコストの10倍を超える場合の方が多いと考えられます。
この質問に答えるには、保護しようとしている資産の価値をしっかりと理解する必要があると思います。情報セキュリティを機密性、完全性、可用性(CIA)の提供と考える場合、これらの保証が損なわれている場合は、組織のコストを特定することもできます。
C:一部の専有情報の価値を考慮して、このデータが開示されている場合は、それを使用してコストを見積もります。
I:いくつかの運用データの値を考慮して、このデータが検出されずに悪意を持って(または誤って)変更された場合に、操作の潜在的な損失または中断を推定するために使用します。
A:サービス(eコマースのWebサイトなど)によって生み出された収益、またはシステム(内部の電子メールシステムなど)によって可能になった生産性を考慮して、次の場合に発生する経済的損失を推定しますサービスまたはシステムが一定期間停止することになっていました。これは、サービスの中断が特定されて修正されるまでにどれくらい続く可能性が高いかを理解している場合に役立ちます。
他の人が述べたように、私はより良い価値の見積もりを計算するのを助けるためにあなたのビジネスにデータとサービスのオーナーを巻き込むことを勧めます。結果はより正確になり、より意味を持つだけでなく、その過程で経営陣からの賛同を増やすことにもなります。
要するに、それは簡単ではありません。
ほとんどすべてのITセキュリティの決定は、「ビジネス」が何をしようとしているかに関連して行われる必要があります(「ビジネス」と言う場合、「システムにお金を払い、システムからお金を稼ぐ」ことを意味します-通常はビジネス)。
インシデントのコストを見積もるには、通常どおりシステムをビジネスに復旧するために関連するすべての関連コストを考慮する必要があります。顧客データベース全体が盗まれて削除された場合、ダウンタイム、規制上の罰金(政府がデータを適切に保護していると政府が考えていない場合)、顧客の評判などによるビジネスの損失など、かなりのコストがかかる可能性があります。異なるインシデントは大幅に異なる場合があります。
脆弱性を緩和するコストは、通常、簡単に解決できます。それは、購入する必要があるものの量+コントロールを実施してプロセスを実行するのにかかる時間です。特定のコントロール(IDSなど)を雇うためにフルタイムの従業員を雇う必要がある場合、それはかなりのコストであり、コントロールを実装しなかった場合に発生する可能性のあるインシデントと比べると、費用に見合わない場合があります。
うまくいけば、それはある種の理にかなっています。
前の質問 が周辺で触れたように、リスク管理のための正式なフレームワークがたくさんありますが、その中でコストの見積もりは重要です。ただし、基本的に、セキュリティ違反はITコストよりもビジネスコストの方が大きくなります。破壊されたり、危険にさらされたり、一時的にアクセスできなくなったりするデータの所有者は、コスト見積もりに多くの情報を入力する必要があります。コストのその部分は、通常、「サーバーOSを再インストールし、彼らが通過した穴にパッチを当てる」部分に比べて小さくなります。