Zarządzaniem ryzykiem w IT – koszty zabezpieczeń

0

Mając wiedzę na temat zasobów wymagających ochrony oraz potencjalnych zagrożeń, następnym krokiem jest ocena kosztów poszczególnych zabezpieczeń – przy czym należy mieć świadomość, że każda podatność może być zabezpieczana na wiele sposobów, a koszt tych zabezpieczeń może być różny, co prowadzi nas wprost do analizy opłacalności zabezpieczeń.

Nadszedł moment zdobycia budżetu na bezpieczeństwo informacji – aby mieć szansę na przekonanie kierownictwa, konieczne jest przedstawienie twardych wyliczeń. Wbrew pozorom nie jest to bardzo trudne, jak już wspominałem wcześniej do wyliczeń wystarczy nam (teoretycznie) matematyka na poziomie szkoły podstawowej.

W związku z tym posłużymy się kilkoma wzorami, opierając się na definicjach podanych w pierwszej części naszego artykułu.

Spodziewana jednorazowa strata (SLE)

Oznaczana skrótem SLE (Single Loss Expectancy lub Exposure) oznacza stratę (wyrażoną w pieniądzach) z jednego incydentu zrealizowanego zagrożenia: sLE = Wartość zasobu × Współczynnik Ekspozycji

Na przykład dla współczynnika ekspozycji dla danego zrealizowanego zagrożenia wynosi 50%, SLE oznacza utratę połowy monetarnej wartości danego zasobu.

Roczny wskaźnik zdarzeń (ARO)

Wskaźnik ten definiuje oczekiwaną liczbę wystąpień danego zagrożenia w ciągu jednego roku – liczba zdarzeń rocznie.

Jeżeli spodziewamy się, że dane niebezpieczeństwo może zda rzyć się raz na 20 lat (np. powódź), to ARO będzie wynosić 1/20.

Dla zdarzenia zachodzącego często, za przykład użyjmy spodziewane pojawienie się wirusa w sieci, ARO może przybierać duże wartości, np. spodziewając się nowych wirusów 2 razy w miesiącu, powinniśmy oszacować ARO na poziomie 24 (2 nowe wirusy × 12 miesięcy w roku).

Spodziewana strata roczna (ALE)

Powyższe wzory doprowadzają nas do najważniejszego wyliczenia – oczekiwanej straty ujętej w skali roku (Annualized Loss Expectancy). Zazwyczaj obliczamy ją, posługując się następującym wzorem:

ALE = sLE × ArO czyli spodziewana strata roczna = spodziewana strata jednorazowa × roczny wskaźnik zdarzeń

Ten wzór ma nam pomóc w planowaniu budżetu bezpieczeństwa, stąd wyrażanie go w skali roku.

Jeżeli założymy, że wartość chronionego zasobu wynosi 1.000.000 zł, a jednorazowa strata (SLE) 100.000 zł, liczba zdarzeń rocznie 6 (raz na dwa miesiące), możemy łatwo wyliczyć sobie spodziewaną roczną stratę:

ALE = 100.000 (sLE) × 6 (ArO) czyli

Opłacalność zabezpieczeń – raz jeszcze

Mając wyliczoną wartość spodziewanej rocznej straty, możemy zacząć planować budżet na zabezpieczenia. Posługując się najprostszą „regułą kciuka”, musimy pamiętać o tym, że roczny koszt naszego zabezpieczenia musi być niższy od ALE, inaczej koszty przekroczą wartość straty, co samo w sobie będzie stratą dla organizacji.

Po opanowaniu naszej reguły kciuka spróbujmy przyjrzeć się bliżej wartości oczekiwanej po zmniejszeniu ryzyka (a więc wdrożeniu zabezpieczeń):

opłacalność zabezpieczenia = ALE1 – ALE2 – roczny koszt zabezpieczenia, gdzie:

ALE1 = ALE przed zastosowaniem zabezpieczeń ALE2 = ALE po zastosowaniu zabezpieczeń

Załóżmy, posługując się wcześniejszymi danymi, że wartość naszego zasobu wynosi 1.000.000 zł, ALE jest równe 600.000 zł. Zdecydowaliśmy się na kupno zabezpieczenia o koszcie 50.000 zł, redukującego ryzyko o 50%.

W takiej sytuacji:

ALE1 = 600.000

ALE2 = 300.000 (po zastosowaniu zabezpieczenia redukującego ryzyko o 50%) Koszt zabezpieczenia = 50.000

W wyniku podstawienia odpowiednich wartości uzyskujemy równanie:

Opłacalność zabezpieczeń = 600.000 – 300.000 – 50.000

Opłacalność zabezpieczeń = 250.000

Na podstawie tych wyliczeń możemy wskazać efektywność kosztową (opłacalność) poszczególnych zabezpieczeń – wartości dodatnie są dla nas dobrą nowiną, ujemne wskazują na wybranie nieopłacalnego zabezpieczenia.

Niestety, sprawa nie jest aż tak banalna. Po pierwsze komplikuje ją fakt, że wiele zabezpieczeń może oddziaływać na wiele zasobów, a równocześnie wiele zagrożeń może wpływać na wiele zasobów równocześnie – zbudowanie siatki reprezentującej te zależności może być zadaniem czasochłonnym i niełatwym.

Wykres pokazuje, zależność między redukcją ryzyka a ponoszonymi na nią kosztami:

zarzadzanie_ryzykiem_03

Rysunek 1. Zależność ryzyka i kosztów poniesionych na jego ograniczenie

Optymalnym punktem na powyższy wykresie jest przecięcie dwóch krzywych. Zazwyczaj bardzo trudno jest trafić podczas analizy dokładnie w przecięcie krzywych, więc dopuszcza się pewien poziom przybliżenia definiowany przez szary prostokąt.

Operując wydatkami ponoszonymi na bezpieczeństwo, powinniśmy starać się zmieścić w obszarze zdefiniowanym poprzez szary prostokąt. Jest to obszar, gdzie poziom bezpieczeństwa i jego koszt pozostaje zbalansowany. Krzywa na prawo od prostokąta oznacza przeinwestowanie w bezpieczeństwo (zbyt wysoki poziom bezpieczeństwa połączony ze zbyt dużymi nakładami na nie). Krzywa na lewo od prostokąta oznacza zbyt niski poziom bezpieczeństwa.

Na wykresie widać również, że 0 pozostaje nieosiągalne – jest to zgodne z wcześniej zdefiniowanym twierdzeniem, że nie ma możliwości zupełnego wyeliminowania ryzyka, a więc osiągnięcia pełnego bezpieczeństwa. Niezależnie jak bardzo byśmy podnosili nakłady na bezpieczeństwo, nigdy nie dojdzie do osiągnięcia 0. Dobrym przykładem jest tu ochrona antywirusowa – niezależnie od tego, ile byśmy chcieli zapłacić za dobry skaner antywirusowy, nie ma możliwości kupienia takiego, który ze 100% pewnością zabezpieczy nas przed wszystkimi już istniejącymi i jeszcze nienapisanymi wirusami.

PODZIEL SIĘ

BRAK KOMENTARZY

ZOSTAW ODPOWIEDŹ