Новая математика ценности кибербезопасности

Автор: Мэри К. Пратт

Дженайя Маринкович, занимающаяся предоставлением виртуальных услуг CISO через Tiro Security, член рабочей группы Emerging Trends при ассоциации ISACA по управлению ИТ, не ценит цифры, показывающие, сколько атак остановила ее команда безопасности.

Такие цифры, по ее словам, на самом деле ничего не дают.

«Заявление, что мы заблокировали миллион атак, нам ничего не скажет. Данной информации недостаточно для общения с другими руководителями », — утверждает Маринкович.

Маринкович считает, что ИТ-директора должны найти другие показатели, которые впоследствии могут использовать другие руководители предприятия для принятия решений.

«Это должны быть цифры, которые помогают бизнесу», — говорит она, добавляя, что директорам по информационной безопасности необходимо подсчитать, насколько они влияют на бизнес, сколько средств, потраченных на ИБ, вернется в компанию, а также в какой степени улучшится состояния безопасности компании.

Однако, поиск способов нахождения подобных параметров не так прост и является давней проблемой для начальников службы безопасности.

Поэтому Маринкович предлагает вычислять среднее время до уведомления о нарушении и среднее время до локализации. Данными операционными показателями можно поделиться с советом директоров.

Тем не менее, по ее словам, такие показатели не дают полной картины. Они не указывают ни на зрелость функции безопасности, ни на то, насколько хорошо меры безопасности согласованы со стратегическими целями. Для этого «ИБ-директора, вероятно, дадут не количественный показатель, а качественный», считает Маринкович.

В поисках чего-то лучшего

Руководители службы безопасности имеют разные мнения о том, как количественно оценить их успехи. Тем не менее, все ИБ-директора согласны с утверждением, что ни одна метрика не может полностью отразить ценность программы кибербезопасности. Подчеркивается, что не существует математического уравнения, которое действительно могло бы измерить эффективность ИБ-службы.

Однако в то же время руководители службы безопасности признают необходимость изменений к лучшему.

«У некоторых ИТ-директоров нет ничего — ни показателей, ни способа количественной оценки — и они осознают, что это проблема. У других есть показатели, но они ужасны, поэтому руководители хотят чего-то лучшего », — заявил Джефф Поллард, вице-президент и главный аналитик исследовательской компании Forrester. «Им нужен способ, позволяющий узнать об эффективности своей ИБ-программы, чтобы понять, стало ли им лучше, чем было».

По словам Полларда, руководители службы безопасности пытаются решить данную проблему, собирая большое количество данных, чтобы превратить их в набор измерений и получить больше информации об эффективности работы, а также узнать, где остаются риски. Конечно, это не единственный целевой показатель. Тем не менее данные метрики помогут руководителям по информационным технологиям, их коллегам-руководителям и членам совета директоров оценить меры безопасности и спланировать дальнейшие действия.

«Речь идет о создании показателей, которые позволяют принимать решения», — говорит Поллард. «У вас должен быть набор показателей, которые совет диреторов и другие заинтересованные стороны могут использовать для принятия решений».

Проблема присвоения ценности

Директорам по информационной безопасности пришлось преодолеть многочисленные трудности при разработке количественной оценки своих усилий.

Сначала им пришлось собирать большой объем информации, необходимой для оценки своих программ, вручную компилируя данные из нескольких разрозненных источников. (Такой вызов, остается актуальным и сегодня.)

К тому же, они пытаются измерить результаты многих сложных процессов и инструментов, используя данные, которые не имеют смысла вне контекста. Например, руководители предприятий во всем мире понимают, что выручка составляет 1 миллион долларов. Однако, очень сложно понять, что означает предотвращение 1 миллиона попыток взлома. Можно ли сделать вывод о хорошей либо плохой тенденции или вообще о чем-нибудь.

«Вспомните о финансовых отчетах. Берутся данные из разных источников, агрегируются, и в результате получается понятная информация. Однако, нет ни одного заявления, которое можно было бы представить совету директоров в отношении кибербезопасности и киберрисков; не существует единой системы оценки рисков, которая могла бы объединить их в представление, понятное всем », — заявил Джон Гелинн, директор службы киберрисков Deloitte Advisory.

Гелинн добавил: «Это вызов. Как вы собираете и сводите воедино эту информацию, чтобы она стала понятной для всех»

Даже если бы это получилось, директора по информационным технологиям традиционно борются с присвоением ценности несобытиям. «Метрика, “ничего плохого не произошло” для совета директоров не применима. Будет сложно обосновать заявление «дайте больше денег, чтобы убедиться, что ничего плохого не произойдет», — добавляет Тим ​​Роулинз, старший советник и директор по безопасности NCC Group, занимающийся управлением рисками, устойчивостью, а также дающий стратегические консультации совету директоров компании.

Однако, подобные тенденции меняются.

«ИТ-директора придумывают метрики с привязкой к цифрам, чтобы показать, как ИБ-политика сделала компанию безопаснее, уберегла от большего вреда или рисков, спасла [организацию] от необходимости объяснять клиентам и покупателям, что произошла утечка данных», — сказал Роулинс. «Несмотря на сложности, ведущие ИТ-директора смотрят на« кибербезопасность как на науку »и находят методы и показатели с повторяемыми и воспроизводимыми оценками, чтобы показать тенденции и провести сравнительный анализ».

Сосредоточьтесь на принятии решений

Разработка правильного сочетания показателей важна по нескольким причинам, как и в случае со всеми бизнес-показателями. Такой подход даст ИТ-директорам и другим сотрудникам оценку эффективности проводимой ИБ-политики и представление о том, происходят ли улучшения. А также, что даже более важно, позволит руководителям принимать своевременные и правильные решения.

Как объясняет Поллард, следует использовать только те показатели, которые приводят к принятию решений.

«Мы всегда смотрим на информацию и принимаем решения, поэтому руководителям служб безопасности нужны правильные показатели», — добавляет он. «Если ваши показатели не позволяют этого делать, значит они не имеют смысла. Итак, вам нужно создать показатели, которые позволят вам принимать решения».

Заимствуя принципы обычных бизнес-показателей, Поллард говорит, что такими показателями могут быть запаздывающие индикаторы (lagging indicators), совпадающие индикаторы (coincident indicators) или опережающие индикаторы (leading indicators).

Как отмечает Поллард, фактически некоторые ИБ-директора используют в качестве показателей индикаторы отставания, а другие пользуются опережающими индикаторами. Такая ситуация нормальна, если речь идет о разных организациях.

Например, показатели рисков инсайдерских угроз. Некоторые ИТ-директора использует отток и удержание сотрудников в качестве ведущего показателя рисков инсайдерской угрозы. Так как уходящие сотрудники часто пытаются унести с собой информацию компании, несмотря на политику, запрещающую такие действия. Однако, отслеживание рисков инсайдерских угроз может быть запаздывающим индикатором, если ИБ-руководители ограничивают доступ сотрудников в рамках текущей инициативы по обеспечению безопасности.

В любом случае, утверждает Поллард, такая метрика может помочь директорам по информационной безопасности принять решение, какие действия следует предпринять, например, изменить классификацию ролей и уменьшить разрешения для ограничения доступа к конфиденциальным данным или добавить программное обеспечение для анализа поведения пользователей (UBA).

Кроме того, по словам Полларда, ИБ-директора должны разработать набор показателей, которые они будут использовать совместно с руководителем и советом директоров, а также еще один набор операционных / тактических показателей, которые служба безопасности будет использовать внутри компании.

Разработка стоимостных показателей

По словам Гелинне, директорам по информационным технологиям, работающим с другими руководителями предприятия, необходимо определить активы и вероятные риски организации (работа, которую вероятно многие уже сделали). Однако, затем следует определить затраты, связанные с событиями безопасности.

Deloitte говорит о них как о «лежащих на поверхности» (и, следовательно, более известных) затратах на инциденты и «подводных» (или скрытых или менее заметных) затратах.

В отчете Deloitte за 2020 год « Под поверхностью кибератаки: более глубокий взгляд на последствия для бизнеса» перечисляются затраты, связанные с техническими расследованиями, уведомлениями о нарушениях со стороны граждан или клиентов и гонорары адвокатов, как некоторые сверхнормативные затраты. В качестве менее заметных затрат указаны увеличение страховых взносов, увеличение затрат на привлечение долга, девальвация торговой марки и потеря интеллектуальной собственности .

«Получив количественную оценку последствий инцидента, вы сможете понять ценность имеющихся средств контроля и то, на чем вам нужно сосредоточиться и инвестировать. Вы можете определить, в какие средства контроля вам следует инвестировать, а затем экстраполировать прибыль. В заключается экономическая сторона работы по количественной оценке», — говорит Гелинне.

«Рассмотрим ценность такого подхода для компаний, планирующих слияния или поглощения», — говорит он. Директор по информационной безопасности может выступать в качестве полноправного партнера в стратегии компании, применяя показатели к предлагаемой деятельности по слияниям и поглощениям и предоставляя данные о том, какие риски представляет сделка для компании, и сколько будет стоить снижение этих рисков. Такие показатели безопасности могут использоваться для информации, а также влиять на переговоры и сделку в целом.

Гелинн добавляет: «Важно понять, куда вложить инвестиции, где они наиболее важны. Это величайшая ценность, которую мы видим в количественной оценке риска, потому что она основана на реальных защищенных показателях, и даже в случае отсутствия данных, можно сделать [разумные] предположения.

Адаптация решений по данным

Поскольку показатели должны соответствовать индивидуальным потребностям предприятия, директора по информационным технологиям должны учитывать, что нужно измерять, какие данные понадобятся для расчетов, и как они будут использовать информацию для принятия решений.

Такие показатели должны быть прозрачными и, следовательно, понятными для всех заинтересованных сторон, отмечает Гелинн.

По его словам, ИТ-директора также должны понимать потребности организации: совет директоров хочет понять, инвестирует ли компания в правильные средства безопасности для защиты организации, финансовый директор обеспокоен, есть ли адекватное страхование от рисков киберпространства, а директор по рискам хочет видеть снижение риска с течением времени.

Некоторые руководители по информационной безопасности успешно разрабатывают показатели для таких областей, как снижение риска программ-вымогателей и операционная отказоустойчивость, опираясь на NIST-структуру, чтобы определить, какие данные собирать и использовать для расчетов, и как эти цифры могут показать улучшения в сфере ИБ (или ухудшения, если это так) с течением времени, говорит эксперт.

Другие лидеры в области безопасности также используют структуры NIST или MITER в качестве способа измерения зрелости и постановки целей, стремясь к большей зрелости; также данные оценки используются для сравнения с другими.

«Мы считаем подобные оценки очень эффективными, потому что они дают ИБ-директорам основу и дорожную карту, определяя верное направление движения», — считает Дэйв Кронин, вице-президент и руководитель отдела кибер-стратегии Capgemini Americas. «Такой подход доказывает, что ваши средства контроля работают, и показывает эффективность для совета директоров».

Источник 📢