Der Business Case für Informationssicherheit

Der Business Case für Informationssicherheit

In einer zunehmend vernetzten Welt, wo die meisten Organisationen haben einige Verbindung zum Internet und viele Geschäfte mit ihren wichtigsten Interessengruppen elektronisch, müssen wir uns fragen: ist unser Geschäft Informationen in Gefahr? Was ist die eigentliche Bedrohung für Unternehmen im Vereinigten Königreich? Nick Coleman, Vorsitzender der SAINT (Sicherheits-Allianz für Internet und neue Technologien) und Head of Security Services bei IBM, beschreibt die Gefahr für die britischen Unternehmen und wie ein Business-Case gebaut werden können, die Ausgaben für die Informationssicherheit zu rechtfertigen.

Ist unsere Informationen in Gefahr?In den USA 90 Prozent der befragten Organisationen erkannt Computer Sicherheitslücken in den letzten 12 Monaten und einer erstaunlichen 456 Millionen Dollar wurde als Beleg dafür verloren gegangen ist von diesen Organisationen als Folge der bedeutendste Bereich ist nach wie vor Diebstahl von geistigem Eigentum, bei denen die gesamten gemeldet Verluste gemeldet belief sich auf US $ 171 Millionen, und der durchschnittliche Verlust pro Organisation erlebt diese Art von Vorfällen ist nun einige US-$ 6,5 Millionen. Mit dem Wissen, dass nur 503 Organisationen wurden befragt, und nur 44 Prozent dieser Organisationen konnten ihre Verluste zu quantifizieren , dies lässt darauf schließen, dass die gesamten Verluste für US-Unternehmen in Milliardenhöhe führen könnte.

Die britische PerspektiveIm Jahr 2002 nahm die Nationalbank Hallo-Tech Crime Unit (NHTCU) NOP einer Umfrage von Computer-Kriminalität in Großbritannien Organisationen verpflichten. Diese Umfrage, die ich trug die NHTCU Kommission wurde auf der Grundlage des FBI / CSI Kategorien von Computer-Kriminalität und ließ einige neue Vergleiche zwischen den USA und Großbritannien in diesem Bereich erzielt werden. In den letzten 12 Monaten allein über 3.000 Fälle von Computer-fähigen Verbrechen wurden von den erfahrenen UK-Organisationen befragt. Die NHTCU Umfrage ergab, dass:

67 Prozent der befragten Organisationen erlebt Viren, 77 Prozent hatten Laptopdiebstähle erlebt, 20 Prozent hatten einen Denial-of-Service Angriff erlebt.

Denial-of-Service-Attacken sind diejenigen, in denen der Täter wiederholt sendet Unmengen von Datenpaketen auf ein System oder komplette Netzwerk mit dem Ziel, die Leistung zu beeinträchtigen oder deren Blockierung. Flut der Viren-Angriffe immer noch die am häufigsten auftretende Störungen, mit 1612 von Störungen festzulegen, während den letzten 12 Monaten alone.1 Im FBI / CSI-Umfrage 2002

85 Prozent der befragten Organisationen erlebt Viren, 55 Prozent hatten Laptopdiebstähle erlebt, 40 Prozent einen Denial-of-Service Angriff erlebt hat.

Bevor Sie den direkten Vergleich müssen wir berücksichtigen die Unterschiede in der Stichprobe der Bevölkerung. Zum Beispiel gab es 105 Organisationen in dieser ersten NHTCU befragten / NOP-Umfrage und 503 Organisationen in den befragten FBI / CSI-Umfrage 2002. Dennoch können wir sehen, dass in den Vereinigten Staaten 18 Prozent mehr Organisationen erleben Viren berichtet, die doppelte Anzahl von US-Unternehmen erlebt einen Denial-of-Service Angriff, und 22 Prozent weniger Organisationen berichteten über Leiden Laptopdiebstähle.

Die Kosten für britische UnternehmenDie NHTCU Umfrage hat nicht versucht, die Verluste der britischen Organisationen aus diesen Formen der Kriminalität zu berechnen. Allerdings hat die Umfrage uns mit einigen Basis-Daten, auf denen bestimmte Annahmen angewandt werden können, liefern und es so möglich, ein Bild über den Ort, wie viel wir können davon ausgehen, wurde vom britischen Unternehmen aus-fähigen Computer verloren Kriminalität Zwischenfälle während der letzten 12 Monate. Wenn Wir gehen davon aus, dass der durchschnittliche Verlust für Unternehmen im Vereinigten Königreich im gleichen Umfang wie die Verluste von US-Unternehmen erlebt hätte, können wir die Verluste Schätzung für britische Unternehmen.

Sizing der Auswirkungen von Virus-VorfälleMit diesem Ansatz, wenn 67 Prozent der Organisationen berichteten, Virus-Attacken in Großbritannien während der letzten 12 Monate, 2 Dies entspräche 70 Unternehmen. Multipliziert man diese Zahl mit dem durchschnittlichen Verlust je Organisation ermöglicht es uns, die gesamte potentielle Verlust von Viren für die Befragten Organisationen abzuleiten. Das FBI / CSI-Umfrage ermittelt, dass 428 befragten Organisationen ein erfahrener Virenvorfall, aber nur 188 Organisationen waren in der Lage, die Kosten für die Quantifizierung solche Vorfälle. Unter den 188 Organisationen, erlebte die höchste Verlust lag bei US $ 9 Millionen und die durchschnittliche Verlust war einige US-$ 283.000. Multipliziert US $ 283.000 um 70 gibt einen Totalverlust für die befragten Organisationen im Vereinigten Königreich von rund 20 Millionen US-Dollar Basis.

Berechnung der Gesamtkosten für britische UnternehmenMit der gleichen Methode für jede der Kategorien von Computerkriminalität, können wir berechnen, die Verluste zu erwarten, dass in allen Kategorien für die 105 befragten Organisationen zusammen betrug Dies entspräche US $ 228 Millionen von der britischen Unternehmen in den letzten 12 befragten verloren Monate. Doch diese Zahl muss, um mit großer Vorsicht behandelt werden, und sollte nicht getroffen werden, um statistisch signifikant ist. Die NHTCU / NOP-Umfrage nur mit 105 Organisationen behandelt werden und war niemals dazu gedacht, die statistische Schlussfolgerungen zu ziehen, und sich an dieser Zahl wird nur erreicht, bei einer Reihe von Annahmen getroffen werden. Darüber hinaus kann diese Berechnung als zu konservativ. Es waren 129 Fälle des Diebstahls von Hardware andere als Laptops. Diese Vorfälle sind von den US $ 228 Mio. Methode verzichtet, da wir keine Informationen über die durchschnittlichen Verluste für diese Art von Vorfall hatte. 63 Prozent der Organisationen in den befragten FBI / CSI-Umfrage des Jahres 2002 hatte 1000 oder mehr Beschäftigten der Erwägung, dass 82 Prozent der die in der NHTCU befragten / NOP-Umfrage hatten 1000 oder mehr Beschäftigten. Größere Organisationen wird erwartet, dass höhere Verluste haben, und daher der durchschnittliche Verlust sollte höher sein für das Vereinigte Königreich Muster mit mehreren großen Organisationen, und wenn das stimmt, würde dies die US aufblasen insgesamt 228 Millionen Dollar Verlust für Großbritannien Organisationen berechnet. Auch wenn diese Zahl ist nicht genau das, was wir ableiten kann, ist, dass der geschätzte mit über 3000 Vorfälle und Verluste hier einige US-$ 228 Mio. für 105 Organisationen, besteht eine erhebliche Bedrohung durch diese Art von Kriminalität im Vereinigten Königreich, und Organisationen müssen für solche Zwischenfälle vorbereitet zu sein. Aber auf welcher Ebene sie brauchen, zu planen, und wie können wir berechnen die spezifische Bedrohung für eine Organisation?

Die Herstellung dieses speziell auf eine OrganisationUm dies zu berechnen, muss eine Organisation eine formale Risikobewertung durchzuführen. Dabei einer Risikobewertung ist es möglich zu bestimmen, unter anderem die möglichen Auswirkungen eines Ereignisses für die Organisation, und die Wahrscheinlichkeit, dass Auswirkungen auftreten. Diese beiden Zahlen, wenn sie zusammen multipliziert, bieten einen Blick auf die Höhe der Bedrohung, die für diese Vorkommnisse gibt.

Probability Mal AuswirkungenDie Bedrohung Ebene über (die Wahrscheinlichkeit, beschrieb die Auswirkungen auf den Times Auswirkungen auftreten) müssen mit relevanten Daten zur eigenen Umgebung der Organisation berechnet werden. Bevor wir uns anschauen, wie diese Daten berechnet werden könnten, sollten wir uns anschauen, wie die Wahrscheinlichkeit Mal Auswirkungen Modell funktionieren könnte. Eine Branche, allgemeines Beispiel wenn 20 Prozent der britischen Organisationen erlitt einen Denial-of-Service-Angriff in den letzten 12 Monaten, dann ist die Wahrscheinlichkeit einer Organisation angegriffen beträgt 20 Prozent. Unter der Annahme, dass der durchschnittliche Verlust Unternehmen für diese Art von Vorfall USA 300.000 US-Dollar in das FBI gemeldet / CSI-Umfrage 2002, durch Multiplikation der Wahrscheinlichkeit von 20 Prozent von der durchschnittlichen Verlust von US $ 300.000 für diese Art des Vorfalls können wir sehen, dass die wahrgenommene Bedrohung Ebene würde ungefähr US $ 60.000. Lektüre dieses, ist es klar, eine große Organisation, die eine erfolgreiche Denial-of-Service Angriff kosten würde das Unternehmen viel mehr, und dieses wieder erzwingt die Notwendigkeit für spezifische Informationen zu dem betreffenden Unternehmen, was wird im nächsten Abschnitt behandelt werden.

Schneiderei dieses Modell auf der eigenen Organisation UmgebungMit den Daten speziell für Ihre eigene Organisation ist von wesentlicher Bedeutung. Zum Beispiel, ist der durchschnittliche Verlust aus der Industrie zeigen den Effekt, dass in Ihrer Organisation empfunden werden könnten? Und wie kann man die Wahrscheinlichkeit berechnen, ohne Berücksichtigung der Besonderheiten der eigenen Organisation und der Umwelt ist es, die in?

Die Berechnung der Wahrscheinlichkeit eines auftretenden Auswirkungen in Ihrem OrganisationUm zu dieser Organisation Daten, betrachten wir die Wahrscheinlichkeit erste Perspektive. Was ist die Wahrscheinlichkeit, dass Störungen in einer bestimmten Organisation eintreten wird? Mit mehr als 3.000 Vorkommnisse in Großbritannien und nur drei Prozent der Organisationen, die nicht mit erfahrenen alle Vorfälle von Computerkriminalität in den letzten 12 Monaten haben Sie durch die Annahme, es könnte passieren zu starten. Zur gleichen Zeit ist es nicht praktikabel davon ausgehen, dass jeder Vorfall jede Organisation auswirken wird. Sie müssen für alle Arten von Störungen vorbereitet sein - sondern eine Organisation ohne eine Website wäre nicht anfällig für eine Website Defacement, usw. Mit einer Risikobewertung ermöglicht die Organisation, die eine realistischere Wahrscheinlichkeit eines auftretenden Auswirkungen zu verstehen. Meine Methode, dies zu tun berücksichtigt viele Faktoren, einschließlich der verwendeten Technologien, geografische Lage, Sicherheitspolitik etc zu berechnen, um eine realistische Wahrscheinlichkeit, dass die Auswirkungen auftreten könnten.

Sizing der möglichen Auswirkungen auf Ihr UnternehmenBlicken wir zunächst auf die Auswirkungen eines Ereignisses, wie können wir bestimmen, die möglichen Auswirkungen eines Denial of Service Vorfall oder ein Virus Angriff auf eine Organisation? Es muss gesagt werden, im Voraus, dass es oft nicht möglich, völlig Größe der Auswirkungen, die in der Organisation von, sagen wir, einen Virus verursacht wurde. Doch aus unserem Verständnis der Kosten für die Down-Zeit in einer Organisation, haben wir eine Basis von Kategorien festgelegt, von der Arbeit, um die Auswirkungen eines Zwischenfalls Diese Faktoren erlauben uns zu sehen, wo die Auswirkungen kommen könnte zu berechnen. Um die Auswirkungen zu berechnen, müssen wir verstehen, welche Vermögenswerte von einem Vorfall betroffen sein könnten, so berechnen die Auswirkungen, die ein Ereignis auf diese Vermögenswerte haben könnten. Es gibt mehrere Arten von Vermögenswerten, die es in diese Weise betrachtet werden. Abschnitt 5 des BS 7799: Teil 1 Code of Practice for Information Security Management ist eine gute Referenz in diesem Bereich, wenn Sie suchen für eine unabhängige Quelle der Daten. Schließlich, wenn es um die Auswirkungen tatsächlich Dimensionierung kommt, Unternehmen oft sagen, es ist schwierig, Daten aus ihrer Organisation zu erhalten, und wenn Sie das gleiche finden Sie in Ihrer Organisation so wird die durchschnittliche Verlust-Zahl, dass das FBI / CSI-Umfrage bezieht sich auf, kann ein guter Ausgangspunkt. Da im Laufe der Zeit können Sie Informationen, dass diese Zahl innerhalb der eigenen Organisation zu überprüfen wäre, festzulegen, welche Vermögenswerte erfassen sind voraussichtlich betroffen sein werden und welche Auswirkungen - wenn man die Kategorien in Abbildung 1.1.5 - vielleicht erfahren werden.

Andere Aspekte zu berücksichtigen, umIn der oben beschriebenen Methode haben wir nur einkalkuliert, die negativen Auswirkungen von Sicherheitsverletzungen, wir haben nicht berücksichtigt, dass die Sicherheit machen Investitionen positive Auswirkungen auf die Marke haben kann, reduzieren die Betriebskosten eines Unternehmens etc. Beim Aufbau der Return on Investment (ROI) für eine Organisation, positive und negative Vorteile müssen berücksichtigt werden. Die Methode funktioniert in der gleichen Weise, Multiplikation der Größe der positiven Auswirkungen durch die Wahrscheinlichkeit, dass diese positiven Auswirkungen erlebt werden.

Bildung des ROIDie obige Methode ist eine Möglichkeit für den Fang von einigen numerische Informationen über das Ausmaß der Bedrohung für Ihre Organisation eingeführt. Der nächste Schritt ist, zu entscheiden, wenn es das ist ein akzeptabler Höhe des Risikos für die Organisation. Die Organisation muss eine Entscheidung darüber, ob es das Risiko, oder setzen Lösungen im Ort akzeptieren will, dass die Risiken verringern können. Security-Programme, wenn sie richtig ausgeführt wird, wird die Organisation zu ermöglichen, die Wirkung und / oder die Wahrscheinlichkeit eines Ereignisses zu reduzieren auftreten, und es ist vor diesem Hintergrund, dass eine Organisation einen Return of Investment Fall produzieren kann. Allerdings gibt es immer ein gewisses Restrisiko, dass die Organisation zu akzeptieren, auch nachdem er seine Wertpapieranlagen. Es gibt nicht so etwas wie 100 Prozent Sicherheit.

Andere Möglichkeiten, den ROI für die Organisation zu berechnenEs gibt eine Reihe verschiedener Ansätze, die hier aber der Zweck dieses Artikels war es, die neuen Informationen, die von der NHTCU zur Verfügung gestellt wurden / NOP-Umfrage zu teilen und zu zeigen, wie es uns in den Aufbau der Business Case für Sicherheit leisten hätten gezeigt, . In der Arbeitsgruppe um SAINT (Security Alliance for Internet and New Technologies) sind wir unter Berücksichtigung aller dieser unterschiedlichen Konzepte und wir werden ein Weißbuch zu diesem Thema im Jahr 2003, die die verschiedenen Ansätze im Detail, darunter eine, die Ausgaben decken zu veröffentlichen basierend auf BS 7799.

Abschließende GedankenDie NHTCU / NOP-Umfrage ergab, 34 Prozent der Organisationen sind die Ausgaben unter einem Prozent ihres Gesamtumsatzes über EDV-Sicherheit, 46 Prozent verbringen, sind die Ausgaben unter zwei Prozent und 22 Prozent der Befragten waren Ausgaben zwischen zwei und fünf Prozent. Da gab es über 3000 Fälle von den gleichen 105 Organisationen in den letzten 12 Monaten berichtet, sollten die Organisationen vielleicht eine regelmäßige Überprüfung der Ausgaben Ebenen. Performing regelmäßige Risikobewertungen von der Art, dass ich hier beschrieben habe, kann Ihnen helfen, diesen Prozess begann im Organisation. Der Autor übernimmt keinerlei Verantwortung für die Richtigkeit der Informationen, die hierin enthaltenen Informationen und die Nutzung solcher Informationen erfolgt auf eigene Gefahr des Empfängers. Der Autor übernimmt keinerlei Gewähr, dass irgendwelche Probleme mit der Nutzung von Informationen gelöst werden hier zur Verfügung gestellten. Mit der Bereitstellung der Informationen hat der Autor vergeben keine Lizenzen an Urheberrechten, Patenten oder anderem geistigen Eigentum. Die Informationen und Meinungen in diesem Dokument sind die des Autors allein und nicht unbedingt die von IBM oder einer sonstigen Organisation, dass der Autor mit beteiligt.

---

Disclaimer:Unsere Website ist nicht verantwortlich für den Inhalt dieses Artikels. Webarticles ist eine kostenlose Informationsquelle.
Wichtig: Dieser Artikel "Der Business Case für Informationssicherheit" wurde durch ein automatisches Software übersetzt. Wir fühlen uns leid für alle Rechtschreibfehler, die möglicherweise aufgetreten sind. Vielen Dank für Ihr Verständnis.

---