¿Cómo calcular el factor de exposición?

No puede calcular una Expectativa de Pérdida Única (SLE) sin un Factor de Exposición (FE) real, histórico, estimado o estimado. Creo que lo que falta en la mayoría de los materiales de capacitación de Gestión de Riesgos de INFOSEC que cubren el análisis cuantitativo es que no brindan mucha orientación sobre cómo traducir la definición genérica de riesgo [riesgo = f (activo, amenaza, vulnerabilidad)] en un EF y en Las fórmulas SLE y ALE. Hace poco busqué en línea y no vi a nadie que lo haya cubierto bien.

Para que exista un riesgo, debe haber una vulnerabilidad para explotar, y amenazas contra esa vulnerabilidad. Esas amenazas también tienen una probabilidad de ocurrencia (que puede estar basada en ataques observados). La probabilidad de amenaza se traduce en la tasa anualizada de incidencia en el análisis cuantitativo. Por lo tanto, su EF se basa principalmente en la vulnerabilidad y sus consecuencias para el activo cuando se produce la amenaza.

Muchos EF por riesgo (es decir, par de amenaza / vulnerabilidad) dan como resultado un 0 EF o un 1 EF, lo que reduce parte de la carga de trabajo del análisis de riesgos. También a veces, al hacer una estimación de EF, también es útil considerar los mitigadores que se colocan en el lugar para ayudar a reducir o eliminar la vulnerabilidad.

Algunos ejemplos simplistas de EF triviales 0 y 1:

• Activo: saldo de una cuenta bancaria accesible en línea

  • Amenaza: Hacker emplea correos electrónicos de pesca para obtener inicios de sesión de cuentas bancarias para drenar cuentas

    • Vulnerabilidades: HUMINT: el titular de la cuenta está engañado para revelar su ID de usuario & contraseña
    • Mitigadores: ninguno
    • EF resultante para el saldo de la cuenta bancaria: 1.0

  • Amenaza: Hacker emplea correos electrónicos de pesca para obtener inicios de sesión de cuentas bancarias para drenar cuentas

    • Vulnerabilidades: HUMINT: el titular de la cuenta está engañado para revelar su ID de usuario & contraseña
    • Mitigadores: el banco no permite que las transferencias de saldo externo se inicien en línea; el banco no muestra los números de cuenta o de enrutamiento en línea
    • EF resultante para el saldo de la cuenta bancaria: 0.0

  • Amenaza: el pirata informático usa listas recientes de un usuario / contraseña robados de un sitio de redes sociales

    • Vulnerabilidades: HUMINT: muchos titulares de cuentas usan las mismas contraseñas en todos los sitios y AUTHEN: muchos sitios (incluido este banco) usan la dirección de correo electrónico de uno como usuario
    • Mitigadores: el banco tiene autenticación de dos factores in situ
    • EF resultante para el saldo de la cuenta bancaria: 0.0

Para la mayoría de los otros riesgos, uno tiene que evaluar la vulnerabilidad, la amenaza y cualquier mitigador de vulnerabilidad para decidir sobre un EF estimado. Si uno no tiene una gran cantidad de datos reales observados para basar el EF dependiendo del riesgo, entonces estos LES individuales pueden estar completamente fuera de línea. Cuando se acumula en Expectativas de pérdida anualizadas agregadas, podría tener un margen de error muy grande debido a todos los FE individuales mal estimados.

Sin embargo, utilizando el sector bancario como ejemplo, para un banco que ha estado en funcionamiento durante muchos años, tienen datos históricos detallados de pérdidas (incluidas las pérdidas relacionadas con el ciberespacio). Un banco puede calcular estos valores (EF, SLE, ARO, ALE) con bastante exactitud para su historial hasta la fecha y luego usarlos para las predicciones de pérdidas futuras.

Además, dado el historial detallado de pérdidas, los bancos pueden hacer un análisis relativamente exacto del costo-beneficio de la implementación de nuevos mitigadores (como la autenticación de dos factores).

1. Determine el costo total estimado para implementar y desplegar ese mitigador
2. Calcular el ALE agregado dado los EF actuales a lo largo del tiempo Periodo (digamos 10 años).
3. Ajusta cualquier EF que afecte el mitigador.
4. Calcule el nuevo agregado ALE en ese mismo período de tiempo
5. Calcule la diferencia entre el nuevo agregado ALE y el agregado actual ALE (que es el Esperaba obtener beneficios porque el nuevo ALE sería idealmente más pequeño que el actual ALE)
6. Si el beneficio (reducción de pérdida) es mayor que el costo total para implementa, entonces hazlo; Si el beneficio (reducción de pérdida) es significativamente menor que el el costo total de implementación, luego el análisis de costo-beneficio recomendaría no implementar el mitigador.