El caso empresarial para la seguridad de la información

El caso de negocio para seguridad de la información

En un mundo cada vez más conectado donde la mayoría de las organizaciones tienen algún conexión a Internet y realizar negocios con muchos de sus partes interesadas clave por vía electrónica, tenemos que preguntarnos: ¿es nuestra información en riesgo el negocio? Qué es la verdadera amenaza que enfrentan las empresas del Reino Unido? Nick Coleman, Presidente de SAINT (Alianza para la Seguridad de Internet y las Nuevas Tecnologías) y Jefe de Seguridad Los servicios de IBM, se analiza la amenaza a los negocios del Reino Unido y cómo un caso de negocios puede ser construido para justificar el gasto en seguridad de la información.

Es nuestra información en riesgo?En los EE.UU. el 90 por ciento de las organizaciones encuestadas detectaron violaciones de seguridad informática durante los últimos 12 meses, y nada menos que 456 millones de dólares, se comunicó que se ha perdido por estas organizaciones, como resultado, el área más importante sigue siendo el robo de propiedad intelectual, en total informó de las pérdidas ascendieron a 171 millones dólares EE.UU., y la pérdida media por organización experimentando este tipo de incidentes es ahora algunos EE.UU. $ 6,5 millones. Con el conocimiento que se encuestó a sólo 503 organizaciones, y sólo el 44 por ciento de las organizaciones fueron capaces de cuantificar sus pérdidas , esto sugiere que las pérdidas totales de las organizaciones de EE.UU. podría llegar a miles de millones de dólares.

La perspectiva del Reino UnidoEn 2002, la National Hi-Tech Crime Unit (NHTCU) encargó NOP para llevar a cabo un estudio de la delincuencia informática en las organizaciones del Reino Unido. Esta encuesta, que ayudaron a la Comisión NHTCU, se basó en el FBI / CSI categorías de la delincuencia informática, y permitió a algunas comparaciones a que se hizo entre los EE.UU. y el Reino Unido en este ámbito. En los últimos 12 meses, más de 3.000 incidentes de ordenador habilitado para el crimen fueron experimentados por los del Reino Unido basada en las organizaciones encuestadas. La encuesta mostró que NHTCU:

El 67 por ciento de las organizaciones encuestadas habían experimentado virus; el 77 por ciento habían sufrido robos de ordenadores portátiles, un 20 por ciento habían experimentado un ataque de denegación de servicio.

Ataques de denegación de servicio son aquellos en los que el autor envía reiteradamente a una gran cantidad de paquetes de datos a la inundación de un sistema o una red completa con la intención de disminuir el rendimiento o apagarlo. Ataques de virus siguen siendo los incidentes más frecuentes, con 1.612 incidentes que tienen lugar durante los últimos 12 meses alone.1 En el CSI / FBI encuesta de 2002

El 85 por ciento de las organizaciones encuestadas habían experimentado los virus, y el 55 por ciento habían sufrido robos de ordenadores portátiles, el 40 por ciento ha experimentado un ataque de denegación de servicio.

Antes de hacer comparaciones directas que tenemos que tener en cuenta las diferencias en las poblaciones de la muestra. Por ejemplo, había 105 organizaciones encuestadas en este NHTCU inicial / encuesta NOP y 503 organizaciones encuestadas en el CSI / FBI encuesta de 2002. Sin embargo, podemos ver que en los Estados Unidos el 18 por ciento más de las organizaciones reportaron haber experimentado los virus, el doble del número de las organizaciones de EE.UU. experimentó un ataque de denegación de servicio, y el 22 por ciento menos de las organizaciones reportaron haber sufrido robos de ordenadores portátiles.

El costo para los negocios del Reino UnidoLa encuesta NHTCU no trató de calcular las pérdidas a las organizaciones del Reino Unido de este tipo de delito. Sin embargo, la encuesta ha proporcionado algunos datos de base sobre la que algunos supuestos puede aplicarse, por lo que es posible colocar una cifra de cuánto podemos suponer se perdió por las empresas del Reino Unido desde el equipo habilitado para incidentes de crímenes durante los últimos 12 meses. Si suponemos que la pérdida media de las empresas en el Reino Unido habría sido en los mismos niveles que las pérdidas sufridas por las organizaciones de EE.UU., se puede estimar las pérdidas para las empresas del Reino Unido.

El calibrado el impacto de los incidentes de virusUsando este enfoque, si el 67 por ciento de las organizaciones reportaron haber experimentado ataques de virus en el Reino Unido durante los últimos 12 meses, 2 lo que equivaldría a 70 empresas. Multiplicando este número por la pérdida media por la organización nos permite derivar la posible pérdida total de los virus a las organizaciones encuestadas. El FBI / CSI encuesta determinó que 428 organizaciones encuestadas ha experimentado un incidente de virus, pero sólo 188 organizaciones fueron capaces de cuantificar los costes de tipo de incidentes. Entre las 188 organizaciones, la mayor pérdida fue experimentado EE.UU. $ 9 millones y la pérdida promedio fue de unos 283.000 dólares EE.UU.. Multiplicando EE.UU. $ 283.000 por 70 da una pérdida total para las organizaciones encuestadas en el Reino Unido de unos 20 millones de dólares.

Cálculo del coste total de negocio del Reino UnidoUtilizando el mismo método para cada una de las categorías de la delincuencia informática, podemos calcular las pérdidas que podría esperarse en todas las categorías para las 105 organizaciones encuestadas sumados lo que equivaldría a EE.UU. 228 millones dólares se pierden por el Reino Unido las empresas encuestadas en los 12 últimos meses. Sin embargo, esta cifra tiene que ser tratada con gran cautela y no debe ser tomado para ser estadísticamente significativo. La NHTCU / encuesta NOP sólo se ocupaba de 105 organizaciones y nunca fue la intención de sacar conclusiones estadísticas, y llegar a esta cifra sólo se alcanza cuando se hacen una serie de supuestos. Además, este cálculo puede ser demasiado conservadora. Hubo 129 casos de robo de hardware que no sean ordenadores portátiles. Estos incidentes se omiten en los EE.UU. la metodología de $ 228 millones, ya que no teníamos información sobre las pérdidas promedio para este tipo de incidente. 63 por ciento de las organizaciones encuestadas en el FBI / CSI encuesta de 2002 había 1.000 o más empleados, mientras que el 82 por ciento de los encuestados en el NHTCU / encuesta NOP había 1000 o más empleados. organizaciones más grandes se espera que tengan pérdidas más elevadas, y por lo tanto la pérdida media debe ser más alto para la muestra del Reino Unido con las organizaciones más grandes, y, de ser cierto, esto se inflan los EE.UU. pérdida total de 228 millones dólares calculados para las organizaciones del Reino Unido. Aunque esta cifra no es exacta, lo que podemos deducir es que, con más de 3000 los incidentes y las pérdidas estimadas aquí de algunos dólares de los EE.UU. 228 millones para 105 organizaciones, no existe una amenaza significativa de este tipo de delito en el Reino Unido, y las organizaciones deben estar preparados para este tipo de incidentes. Pero ¿a qué nivel que necesitan para planificar, y ¿cómo podemos calcular la amenaza específica a una organización?

Hacer este específicas de una organizaciónPara su cálculo, la organización necesita para llevar a cabo una evaluación de riesgo formal. Al hacer una evaluación del riesgo es posible determinar, entre otras cosas, el impacto potencial de un incidente de la organización, y la probabilidad de que el impacto ocurra. Estas dos cifras, cuando se multiplica en conjunto, proporcionan un punto de vista sobre el nivel de amenaza que existe para los incidentes.

Veces más la probabilidad de impactoEl nivel de amenaza ha descrito anteriormente (probabilidad del impacto se producirá impacto veces) tendrá que ser calculado con los datos pertinentes para el medio ambiente propio de la organización. Antes de que veamos cómo estos datos específicos se puede calcular, hay que ver cómo una probabilidad de impacto veces modelo podría funcionar. Un ejemplo de la industria genérica si el 20 por ciento de las organizaciones del Reino Unido sufrió un ataque de denegación de servicio en los últimos 12 meses, entonces el probabilidad de ser atacados de una organización es de 20 por ciento. Suponiendo que la pérdida de la empresa media para este tipo de incidente es 300.000 dólares EE.UU. Como se informó en el FBI / CSI encuesta de 2002, multiplicando la probabilidad de un 20 por ciento por la pérdida media de 300.000 dólares EE.UU. para este tipo de incidentes, podemos ver que la amenaza percibida nivel sería de alrededor de 60.000 dólares EE.UU.. leyendo esto, es evidente que una organización grande que una denegación de servicio ataque exitoso le costaría a la empresa mucho más, y este nuevo refuerza la necesidad de información específica de la empresa en cuestión, algo que se tratarán en la siguiente sección.

Adaptar este modelo a su propia organización entornoUtilizando los datos específicos de su propia organización, es esencial. Por ejemplo, ¿la pérdida media de la industria reflejan el impacto que pudiera sentir en su organización? Y ¿cómo se puede calcular la probabilidad sin tener en cuenta las características específicas de su propia organización y el medio ambiente es que actúan en?

Cálculo de la probabilidad de un impacto que ocurren en su organizaciónPara llegar a esta organización los datos específicos, vamos a considerar la perspectiva de primera probabilidad. ¿Cuál es la probabilidad de que los incidentes se produzcan en alguna entidad? Con más de 3.000 incidentes ocurridos en el Reino Unido y sólo un tres por ciento de las organizaciones no haber experimentado ningún incidente de la delincuencia informática en los últimos 12 meses, usted tiene que partir del supuesto de que podría sucederle a usted. Al mismo tiempo, no es práctico a asumir que cada incidente afectará a cada organización. Debes estar preparado para todo tipo de incidentes - sino una organización sin un sitio web no sería susceptible de una desfiguración sitio web, etc mediante un proceso de evaluación de riesgos permite a la organización a entender una probabilidad más realista de un impacto ocurra. Mi metodología para hacer esto se tiene en cuenta muchos factores, incluyendo las tecnologías utilizadas, la ubicación geográfica, etc política de seguridad para calcular una probabilidad realista de que el impacto podría ocurrir.

El calibrado del impacto potencial en su organizaciónMirando siguiente en el impacto de un incidente, ¿cómo podemos determinar el impacto potencial de un incidente de denegación de servicio o de un ataque de virus en una organización? Hay que decir por adelantado que a menudo no es posible por completo el tamaño del impacto que puede tener experiencia en la organización de, el ataque por ejemplo, un virus. Sin embargo, desde nuestra comprensión de los costos de down-time en una organización, tenemos un conjunto básico de categorías para trabajar desde el fin de calcular el impacto de un incidente Estos factores nos permiten ver que el impacto podría venir de. Para calcular el impacto, tenemos que entender cuáles son los activos pueden verse afectados por un incidente, a continuación, calcular el impacto que un incidente podría tener sobre esos activos. Existen varios tipos de activos que deben ser considerados al hacer esto. Sección 5 de la BS 7799: Part 1 de Código de Prácticas de Información de Gestión de Seguridad es una buena referencia en esta área si usted está buscando una fuente independiente de datos. Por último, cuando en realidad se trata de cambiar el tamaño del impacto, las empresas suelen decir que es difícil obtener datos desde dentro de su organización, y si encuentras lo mismo en su organización a continuación, la cifra promedio de pérdida que el FBI / CSI se refiere a la encuesta, puede ser un buen punto de partida. Luego con el tiempo usted puede capturar la información que validar esta cifra dentro de su organización, determinando los bienes que puedan verse afectados y el impacto que - considerando las categorías en la Figura 1.1.5 - puede ser experimentado.

Otros aspectos a considerarEn la metodología anterior sólo hemos de considerar el impacto negativo de las brechas de seguridad, no hemos tenido en cuenta el hecho de que las inversiones de seguridad, y puede tener efectos positivos sobre la marca, reducir los costos operativos de una empresa, etc En la construcción del retorno de la inversión (ROI) de una organización, los beneficios positivos y negativos deben ser tenidos en cuenta. El método funciona de la misma manera, se multiplicará el tamaño del impacto positivo de la probabilidad de que este impacto positivo será experimentado.

Formando el caso de retorno de la inversiónEl método anterior se ha introducido una forma de capturar algunos datos numéricos sobre el nivel de amenaza para su organización. El siguiente paso es decidir si ese es un nivel aceptable de riesgo para la organización. La organización necesita para tomar una decisión en cuanto a si quiere aceptar ese riesgo, o proponer soluciones para mitigar ese riesgo. Programas de seguridad, si se ejecuta adecuadamente, permiten a la organización para reducir el impacto y / o la probabilidad de un suceso ocurrido, y es en este contexto que una organización puede producir un rendimiento del caso de la inversión. Sin embargo, siempre hay un cierto nivel de riesgo residual que la organización tiene que aceptar, incluso después de haber hecho su inversión en seguridad. No hay tal cosa como la seguridad al 100 por ciento.

Otras formas de calcular el retorno de la inversión a la organización deHay una serie de diferentes enfoques que se podrían haber demostrado aquí, pero el propósito de este artículo fue compartir la nueva información que ha sido proporcionada por la NHTCU / encuesta NOP y para mostrar cómo puede ayudarnos en la construcción del caso de negocio para la seguridad . En el grupo de trabajo en Saint (Alianza para la Seguridad de Internet y las Nuevas Tecnologías) que estamos considerando todos estos enfoques diferentes, y vamos a publicar un Libro Blanco sobre este tema durante el 2003 que abarcará los diferentes enfoques con más detalle, incluyendo una que es basadas en la BS 7799.

Consideraciones finalesLa NHTCU / encuesta NOP reveló un 34 por ciento de las organizaciones están gastando menos de un por ciento de su gasto total en seguridad informática, el 46 por ciento están gastando menos de dos por ciento y 22 por ciento de los encuestados estaban gastando entre dos y cinco por ciento. Habida cuenta de que había más de 3.000 incidentes reportados por los mismos 105 organizaciones en los últimos 12 meses, las organizaciones tal vez debería revisar regularmente sus niveles de gasto. Realizar evaluaciones de riesgos periódicas del tipo que he descrito aquí puede ayudar a conseguir este proceso iniciado en su la organización. El autor no asume ninguna responsabilidad sobre la exactitud de la información que se proporciona en este documento y el uso de dicha información es responsabilidad del receptor. El autor no garantiza que los problemas comunicados puedan resolverse con el uso de cualquier información proporcionada aquí. Mediante la entrega de información, el autor no otorga ninguna licencia sobre ningún copyright, patente o cualquier otro derecho de propiedad intelectual. La información y opiniones proporcionadas en este documento son las del autor y no reflejan necesariamente las de IBM o cualquier otra organización que el autor está implicada.

---

Descargo de responsabilidad:Nuestro sitio web no es responsable por el contenido de este artículo. Webarticles es un recurso de información gratuito.
Importante: Este artículo "El caso empresarial para la seguridad de la información", fue traducida por un software automático. Sentimos pena por los errores de ortografía que pueda haber ocurrido. Gracias por su comprensión.

---