L'analyse de rentabilisation pour la sécurité des informations

L'analyse de rentabilisation pour sécurité de l'information

Dans un monde de plus en plus branché, où la plupart des organisations ont des connexion à l'Internet et faire des affaires avec de nombreux intervenants clés par voie électronique, nous devons nous demander: est notre renseignements commerciaux à risque? Quoi est la véritable menace face UK entreprise? Nick Coleman, président de SAINT (Security Alliance pour l'Internet et nouvelles technologies) et chef de la sécurité Services chez IBM, explique la menace pour les entreprises britanniques et comment une analyse de rentabilisation peut être construit pour justifier les dépenses de sécurité de l'information.

Notre information est à risque?Aux Etats-Unis 90 pour cent des entreprises interrogées détecté des brèches de sécurité informatique au cours des 12 derniers mois, et de pas moins 456 millions de dollars a été signalé comme ayant été perdus par ces organisations à la suite La zone la plus importante continue d'être le vol de propriété intellectuelle, où Total les pertes déclarées se sont élevées à US $ 171 millions, et la perte moyenne par organisation connaît ce genre d'incidents est désormais quelque 6,5 millions de dollars. Avec les connaissances que seulement 503 organisations ont été interrogés, et seulement 44 pour cent de ces organisations ont été en mesure de quantifier leurs pertes , cela suggère que les pertes totales pour les organisations américaines pourraient se chiffrer en milliards de dollars.

Le point de vue britanniqueEn 2002, le Salut National-Tech Crime Unit (NHTCU) a commandé NOP pour entreprendre une enquête sur la criminalité informatique dans les organisations du pays. Cette enquête, que j'ai contribué à la perpétration NHTCU, était basé sur le FBI / CSI catégories de criminalité informatique, et permis à certains de nouvelles comparaisons à faire entre les Etats-Unis et Royaume-Uni dans ce domaine. Au cours des 12 derniers mois seulement, plus de 3000 incidents de par ordinateur a permis la criminalité ont été vécus par ceux du Royaume-Uni organisations basées sur l'enquête. NHTCU L'enquête a montré que:

67 pour cent des entreprises interrogées avaient subi des virus; 77 pour cent avaient subi des vols d'ordinateurs portables; 20 pour cent avaient subi une attaque par déni de service.

Attaques par déni de service sont celles où l'auteur envoie plusieurs reprises de vastes quantités de paquets de données à inonder un système ou un réseau complet avec l'intention de dégrader les performances ou son inactivation. Les attaques de virus étaient encore des incidents les plus fréquents, avec 1.612 incidents ayant lieu en les 12 derniers mois alone.1 Dans le FBI / CSI enquête 2002

85 pour cent des entreprises interrogées avaient subi des virus; 55 pour cent avaient subi des vols d'ordinateurs portables; 40 pour cent ont subi une attaque par déni de service.

Avant de faire des comparaisons directes que nous devons prendre en compte les différences dans les populations de l'échantillon. Par exemple, on comptait 105 entreprises interrogées dans cette NHTCU initiale / NOP enquête et 503 entreprises interrogées dans le FBI / CSI enquête 2002. Cependant, nous pouvons voir que dans les Etats-Unis 18 pour cent de plus d'organisations ont déclaré avoir subi des virus, doubler le nombre de organisations américaines ont subi une attaque par déni de service, et 22 pour cent des organisations déclaré subir moins de vols de portable.

Le coût pour les entreprises du Royaume-UniL'enquête NHTCU n'a pas tenté de calculer les pertes d'organisations britanniques de ce type de crime. Toutefois, l'enquête ne nous fournir quelques données de base sur laquelle certaines hypothèses peuvent être appliquées, ce qui rend possible de placer une figure sur combien on pourrait supposer a été perdu par les entreprises britanniques de l'informatique a permis des incidents criminels au cours des 12 derniers mois. Si on suppose que la perte moyenne, pour les entreprises au Royaume-Uni aurait été au même niveau que ceux des pertes subies par des organisations américaines, on peut estimer les pertes pour les entreprises britanniques.

Dimensionnement de l'impact des incidents liés aux virusEn utilisant cette approche, si 67 pour cent des organisations ont déclaré avoir subi les attaques de virus au Royaume-Uni au cours des 12 derniers mois, 2 cela correspondrait à 70 entreprises. En multipliant ce nombre par la perte moyenne par organisation nous permet de calculer la perte potentielle totale contre les virus pour les entreprises interrogées. Le FBI / CSI sondage a indiqué que 428 organisations interrogées ont subi un incident de virus, mais seulement 188 organisations ont été en mesure de quantifier les coûts de de tels incidents. Parmi ces 188 organisations, la plus grande perte d'expérience était de US $ 9 millions et la perte moyenne était d'environ US $ 283,000. US $ 283,000 multipliant par 70 donne une perte totale pour les organisations d'une étude basée au Royaume-Uni de quelque 20 millions de dollars.

Le calcul du coût total des affaires au Royaume-UniEn utilisant la même méthode pour chacune des catégories de criminalité informatique, nous pouvons calculer les pertes que l'on pourrait s'y attendre dans toutes les catégories pour les 105 entreprises interrogées Totalled ensemble cela correspondrait à 228 millions de dollars perdus par les entreprises interrogées au Royaume Uni au cours des 12 derniers mois. Toutefois, ce chiffre n'a pas besoin d'être traitée avec beaucoup de prudence, et ne devraient pas être prises pour être statistiquement significatifs. La NHTCU / NOP enquête ne portait que sur 105 organismes et n'a jamais été conçue pour tirer des conclusions statistiques, et d'apprendre à ce chiffre n'est atteint quand un certain nombre d'hypothèses sont faites. En outre, ce calcul mai-être trop prudente. Il a enregistré 129 cas de vol de matériel autre que des ordinateurs portables. Ces incidents sont omis de la méthode US $ 228 millions, comme nous n'avions aucune information sur la moyenne des pertes pour ce genre d'incident. 63 pour cent des entreprises interrogées dans le FBI / CSI enquête de 2002 a 1000 salariés et plus alors que 82 pour cent des personnes interrogées dans le NHTCU / NOP enquête avait 1000 salariés et plus. Les grandes entreprises devraient avoir des pertes plus élevées, et donc la perte moyenne devrait être plus élevé pour l'échantillon au Royaume-Uni ayant plus grandes organisations, et, si c'est vrai, cela gonfle les États-Unis 228 millions de dollars la perte totale calculée pour les organisations du pays. Même si ce nombre n'est pas exacte, ce que nous pouvons en déduire est que, avec plus de 3000 incidents et les pertes estimées ici de quelque 228 millions de dollars pour 105 organisations, il existe un risque important de ce type de crime au Royaume-Uni, et les organisations ont besoin d'être préparés à de tels incidents. Mais à quel niveau ils ont besoin pour planifier, et comment peut-on calculer la menace spécifique à une organisation?

Faire ce spécifique à une seule organisationPour calculer cela, une organisation a besoin pour mener une évaluation formelle des risques. En faisant une évaluation des risques, il est possible de déterminer, entre autres choses, l'impact potentiel d'un incident pour l'organisation, et la probabilité de cet impact se produise. Ces deux figures, multipliée ensemble, offrent une vue sur le niveau de menace qui existe pour ces incidents.

Fois une probabilité de chocLe niveau de menace décrite ci-dessus (probabilité de l'impact se produira fois l'impact) devra être calculée avec les données pertinentes à l'environnement propre de l'organisme. Avant de regarder comment ces données spécifiques pourrait être calculé, nous devrions réfléchir à la fois un modèle de probabilité d'impact pourrait fonctionner. Une industrie exemple générique Si 20 pour cent des organisations britanniques a subi une attaque par déni de service dans les 12 derniers mois, alors le probabilité d'être attaqué une organisation est de 20 pour cent. En supposant que la perte moyenne des sociétés de ce type d'incident est de US $ 300,000 comme indiqué dans le FBI / CSI enquête de 2002, en multipliant la probabilité de 20 pour cent par la perte moyenne de 300,000 US $ pour ce type d'incident nous pouvons voir que la menace perçue niveau serait d'environ US $ 60.000. La lecture de ceci, il est clair pour une grande organisation, que le refus d'une attaque réussie service aurait coûté à l'entreprise beaucoup plus, et cela ne fait que renforcer le besoin d'informations spécifiques à l'entreprise en question, quelque chose qui être couverts dans la section suivante.

Adapter ce modèle pour votre propre organisation environnementEn utilisant les données spécifiques à votre propre organisation est essentielle. Par exemple, est la perte moyenne de l'industrie reflètent l'impact que pourraient se faire sentir dans votre organisation? Et comment peut-on calculer la probabilité sans prendre en compte les particularités de votre propre organisation et à l'environnement, il est exploité dans les?

Calcul de la probabilité d'une collision se produisant dans votre organisationPour accéder à cette organisation des données spécifiques, laissez-nous considérer la perspective première probabilité. Quelle est la probabilité que des incidents se produiront dans un organisme quelconque? Avec plus de 3000 incidents survenus au Royaume-Uni et seulement trois pour cent des organisations ayant pas connu d'incidents de la criminalité informatique au cours des 12 derniers mois, vous devez commencer par l'hypothèse qu'il pourrait vous arriver. Dans le même temps, il n'est pas pratique à supposer que chaque incident aura une incidence sur chaque organisation. Tu dois être préparé pour tous les types d'incidents - mais une organisation sans un site internet ne seraient pas sensibles à une dégradation site, etc utilisant un processus d'évaluation des risques permet à l'organisation de comprendre une probabilité plus réaliste d'un impact se produise. Ma méthodologie pour ce faire tient compte de nombreux facteurs, y compris les technologies utilisées, l'emplacement géographique, etc politique de sécurité de calculer une probabilité réaliste que l'impact pourrait se produire.

Le calibrage de l'impact potentiel sur votre organisationSi nous étudions l'impact d'un incident, comment pouvons-nous déterminer l'impact potentiel d'un déni de service incident ou une attaque de virus sur une organisation? Il faut dire dès le départ qu'il est souvent impossible de complètement la taille de l'impact que mai être expérimenté dans l'organisation de, disons, une attaque de virus. Toutefois, de notre compréhension du coût de la réduction des arrêts dans une organisation, nous avons un ensemble de base des catégories de travailler à partir afin de calculer l'impact d'un incident Ces facteurs nous permettent de voir où l'impact pourrait provenir. Pour calculer l'impact, nous devons comprendre quels sont les actifs susceptibles d'être affectés par un incident, puis de calculer l'impact que l'incident pouvait avoir sur ces biens. Il existe plusieurs types d'actifs qui doivent être pris en considération dans ce faire. L'article 5 de la norme BS 7799: Partie 1 du Code de pratique pour Information Security Management est une bonne référence dans ce domaine si vous êtes à la recherche d'une source indépendante de données. Enfin, quand il s'agit de dimensionnement effectivement l'impact, les entreprises disent souvent qu'il est difficile d'obtenir des données au sein de leur organisation, et si vous trouvez le même dans votre organisation puis le chiffre de la perte moyenne que le FBI / CSI se réfère à l'enquête, mai être un bon point de départ. Puis au fil du temps, vous pouvez capturer l'information qui permettrait de valider ce chiffre au sein de votre propre organisation, de déterminer quels actifs sont susceptibles d'être concernés et quel impact - Regard sur les catégories dans la Figure 1.1.5 - pourrait être expérimenté.

Autres aspects à considérerDans la méthodologie ci-dessus nous avons seulement pris en compte l'impact négatif des failles de sécurité, nous n'avons pas pris en compte le fait que des investissements de sécurité peut avoir des effets positifs sur la marque, de réduire les coûts de fonctionnement d'une entreprise, etc, en établissant le retour sur investissement (ROI) pour une organisation, positifs et négatifs des prestations doivent être prises en compte. La méthode fonctionne de la même manière en multipliant la taille de l'impact positif par la probabilité que ces effets positifs seront expérimentés.

Formant le cas ROILa méthode ci-dessus a mis en place un moyen de capturer des informations numériques sur le niveau de menace pour votre organisation. La prochaine étape consiste à décider si c'est un niveau de risque acceptable pour l'organisation. L'organisation a besoin pour prendre une décision quant à savoir si elle veut accepter ce risque, ou mettre en place des solutions pour atténuer ce risque. Programmes de sécurité, si elles sont correctement exécutées, permettront à l'organisation afin de réduire l'impact et / ou la probabilité qu'un incident se produise, et c'est dans ce contexte que l'organisation ne peut produire un retour de l'affaire d'investissement. Cependant, il ya toujours un certain niveau de risque résiduel que l'organisation doit accepter, même après avoir fait ses investissements de sécurité. Il n'existe pas de telle chose comme 100 pour cent de la sécurité.

D'autres façons de calculer le retour sur investissement à l'organisationIl existe un certain nombre d'approches différentes qui auraient pu être démontré ici, mais l'objectif de cet article était de partager les nouvelles informations qui ont été fournies par le NHTCU / NOP enquête et de montrer comment elle peut nous aider à renforcer l'analyse de rentabilisation pour la sécurité . Dans le groupe de travail à SAINT (Security Alliance pour l'Internet et des nouvelles technologies), nous envisageons toutes ces différentes approches, et nous allons publier un Livre blanc sur ce sujet au cours de 2003, qui portera sur les différentes approches de manière plus détaillée, y compris celle qui est basée sur la norme BS 7799.

Final ThoughtsLa NHTCU / NOP enquête a révélé 34 pour cent des organisations dépensent moins d'un pour cent de leurs dépenses totales sur la sécurité informatique, 46 pour cent sont des dépenses de moins de deux pour cent et 22 pour cent des répondants étaient des dépenses entre deux et cinq pour cent. Étant donné qu'il n'y avait plus de 3000 incidents signalés par ces mêmes 105 organisations au cours des 12 derniers mois, les organisations devraient peut-être examiner régulièrement leurs niveaux de dépenses. Performing évaluation régulière des risques du type de celles que j'ai décrites ici peuvent vous aider à obtenir ce processus a débuté dans votre organisation. L'auteur décline toute responsabilité concernant l'exactitude de l'information qui est donnée aux présentes et l'utilisation de ces informations se faisant aux risques du destinataire. L'auteur ne garantit pas que tous les problèmes signalés mai être résolus avec l'utilisation de toute information fournie aux présentes. En fournissant des informations, l'auteur n'accorde pas de licences à des droits d'auteur, brevets ou autres droits de propriété intellectuelle. Les informations et opinions contenues dans ce document sont celles de l'auteur et pas nécessairement celles d'IBM ou de toute autre organisation que l'auteur est impliqué.

un article présenté par Frank C.

Disclaimer:Notre site n'est pas responsable du contenu de cet article. Webarticles est une ressource d'information gratuite.
Important: Cet article «L'analyse de rentabilisation pour la sécurité de l'information» a été traduit par un logiciel automatique. Nous nous sentons désolés pour les fautes d'orthographe que mai ont eu lieu. Nous vous remercions de votre compréhension.