¿Cómo puedo calcular una sola expectativa de pérdida sin un Factor de Exposición dado?
¿Puede alguien explicarme, por favor?
No puede calcular una Expectativa de Pérdida Única (SLE) sin un Factor de Exposición (FE) real, histórico, estimado o estimado. Creo que lo que falta en la mayoría de los materiales de capacitación de Gestión de Riesgos de INFOSEC que cubren el análisis cuantitativo es que no brindan mucha orientación sobre cómo traducir la definición genérica de riesgo [riesgo = f (activo, amenaza, vulnerabilidad)] en un EF y en Las fórmulas SLE y ALE. Hace poco busqué en línea y no vi a nadie que lo haya cubierto bien.
Para que exista un riesgo, debe haber una vulnerabilidad para explotar, y amenazas contra esa vulnerabilidad. Esas amenazas también tienen una probabilidad de ocurrencia (que puede estar basada en ataques observados). La probabilidad de amenaza se traduce en la tasa anualizada de incidencia en el análisis cuantitativo. Por lo tanto, su EF se basa principalmente en la vulnerabilidad y sus consecuencias para el activo cuando se produce la amenaza.
Muchos EF por riesgo (es decir, par de amenaza / vulnerabilidad) dan como resultado un 0 EF o un 1 EF, lo que reduce parte de la carga de trabajo del análisis de riesgos. También a veces, al hacer una estimación de EF, también es útil considerar los mitigadores que se colocan en el lugar para ayudar a reducir o eliminar la vulnerabilidad.
Algunos ejemplos simplistas de EF triviales 0 y 1:
Activo: saldo de una cuenta bancaria accesible en línea
Amenaza: Hacker emplea correos electrónicos de pesca para obtener inicios de sesión de cuentas bancarias para drenar cuentas
Amenaza: Hacker emplea correos electrónicos de pesca para obtener inicios de sesión de cuentas bancarias para drenar cuentas
Amenaza: el pirata informático usa listas recientes de un usuario / contraseña robados de un sitio de redes sociales
Para la mayoría de los otros riesgos, uno tiene que evaluar la vulnerabilidad, la amenaza y cualquier mitigador de vulnerabilidad para decidir sobre un EF estimado. Si uno no tiene una gran cantidad de datos reales observados para basar el EF dependiendo del riesgo, entonces estos LES individuales pueden estar completamente fuera de línea. Cuando se acumula en Expectativas de pérdida anualizadas agregadas, podría tener un margen de error muy grande debido a todos los FE individuales mal estimados.
Sin embargo, utilizando el sector bancario como ejemplo, para un banco que ha estado en funcionamiento durante muchos años, tienen datos históricos detallados de pérdidas (incluidas las pérdidas relacionadas con el ciberespacio). Un banco puede calcular estos valores (EF, SLE, ARO, ALE) con bastante exactitud para su historial hasta la fecha y luego usarlos para las predicciones de pérdidas futuras.
Además, dado el historial detallado de pérdidas, los bancos pueden hacer un análisis relativamente exacto del costo-beneficio de la implementación de nuevos mitigadores (como la autenticación de dos factores).
Lea otras preguntas en las etiquetas risk-management risk-analysis