Soy un estudiante y bastante nuevo en el campo de la seguridad de TI. La mayoría de los artículos y libros dicen que solo debe parchear una vulnerabilidad si los costos de una infracción son mayores que los costos de parchar la vulnerabilidad. Sin embargo, no puedo encontrar ninguna explicación que me brinde al menos algunos conocimientos y habilidades básicos sobre este tema.
Como profesional de seguridad, a menudo es mejor "subcontratar" este cálculo al negocio. Por ejemplo, si identifica una vulnerabilidad que puede demostrar es fácil de explotar por un atacante no cualificado para destruir la base de datos del cliente, y el equipo de operaciones estima que recuperarla de las copias de seguridad llevará 4 horas, incluidos los controles, pregunte al propietario del negocio qué es lo que necesita. significará para ellos en términos de costo o impacto.
La empresa debe tener una opinión sobre los costos indirectos creados por los clientes que evitan a la compañía, y un anuncio se queja para restablecer la confianza.
Una vez que te han dicho el costo, tu lado, que ayuda a definir la protección, es mucho más fácil, como dijo @growse.
La ecuación generalmente no funciona en un uno a uno sin embargo. Usted pensaría que si el costo de la infracción es más alto que el costo de reparar y luego realizar el trabajo para corregirlo, pero más comúnmente lo vemos más como si el costo de la infracción es más de 10 veces el costo de corregir y remediar.
Creo que para responder a esta pregunta, debe tener una comprensión sólida del valor de los activos que está tratando de proteger. Si consideramos que la seguridad de la información proporciona confidencialidad, integridad y disponibilidad (CIA), también podemos tratar de determinar el costo para la organización si estas garantías se ven afectadas.
C: Dado el valor de alguna información de propiedad exclusiva, utilícela para estimar el costo si se divulgan estos datos.
I: Dado el valor de algunos datos operativos, utilícelo para estimar la pérdida potencial o la interrupción de las operaciones si estos datos se modifican de forma maliciosa (o accidental) sin detección durante algún tiempo.
A: Dados los ingresos generados por un servicio (por ejemplo, el sitio web de comercio electrónico) o la productividad habilitada por un sistema (por ejemplo, el sistema de correo electrónico interno), utilícelo para estimar qué pérdida financiera ocurriría si el servicio o el sistema se desactiva durante un período de tiempo determinado. Es útil si tiene una idea de cuánto tiempo es probable que dure la interrupción del servicio antes de ser identificada y corregida.
Como han mencionado otros, recomendaría involucrar a los propietarios de datos y servicios en su negocio para ayudar a calcular las mejores estimaciones de valor. Sus resultados no solo serán más precisos y tendrán más significado, sino que también aumentarán la aceptación de la administración en el proceso.
En resumen, no es fácil.
Casi todas las decisiones de seguridad de TI deben tomarse en el contexto de lo que el "negocio" está tratando de hacer (cuando digo "negocio", me refiero a "gente que paga por el sistema y gana dinero con él", generalmente un negocio ).
Para estimar el costo de un incidente, debe sopesar todos los costos relacionados con la recuperación del sistema para que vuelva a funcionar como siempre. Si le roban toda su base de datos de clientes y luego la eliminan, puede haber costos significativos en tiempo de inactividad, multas regulatorias (si su gobierno no cree que estuviera protegiendo los datos adecuadamente), pérdida de negocios a través de la reputación del cliente, etc. Obviamente, los costos de diferentes incidentes pueden variar enormemente
El costo de mitigar una vulnerabilidad suele ser más fácil de resolver, es solo la cantidad de cosas que tiene que comprar + la cantidad de tiempo que le lleva hacer cumplir el control y ejecutar el proceso. Si necesita contratar a una persona extra a tiempo completo para trabajar en un control en particular (por ejemplo, IDS), ese es un costo bastante significativo y puede que no valga la pena el gasto en comparación con el posible incidente que puede ocurrir si no implementó el control.
Esperemos que tenga algún tipo de sentido.
Como preguntas anteriores se han tocado periféricamente, hay Hay muchos marcos formales para la gestión de riesgos, cuya estimación de costos es una parte importante de. Fundamentalmente, sin embargo, una brecha de seguridad va a ser un costo de negocios más que un costo de TI. El propietario (s) de los datos que se destruyen, se ponen en peligro o se vuelven inaccesibles temporalmente tendrán que aportar una gran cantidad de información a su cálculo de costos. Esa parte del costo generalmente empequeñecerá la "reinstalación del sistema operativo del servidor, parchear el agujero en el que ingresaron a través de" la parte.
Lea otras preguntas en las etiquetas risk-management metrics