Il business case per la sicurezza dell'informazione

Il business case per informazioni di sicurezza

In un mondo sempre più connesso in cui le organizzazioni più qualche connessione a Internet e svolgere attività commerciali molti con i loro principali parti interessate elettronicamente, dobbiamo chiederci: è il nostro business information a rischio? Cosa è la vera minaccia di fronte business del Regno Unito? Nick Coleman, presidente di SAINT (Security Alliance per Internet e delle nuove tecnologie) e Capo della Sicurezza Servizi di IBM, discute la minaccia per le imprese del Regno Unito e in che modo un business case possono essere costruiti per giustificare la spesa per la sicurezza delle informazioni.

È la nostra informazione a rischio?Negli Stati Uniti il 90 per cento delle organizzazioni intervistate rilevato violazioni della sicurezza informatica negli ultimi 12 mesi, e l'incredibile cifra di 456 milioni di dollari è stato segnalato come siano stati persi da tali organizzazioni come risultato il settore più importante continua ad essere il furto di proprietà intellettuale, in cui totale le perdite dichiarate ammontavano a US $ 171 milioni e la perdita media per l'organizzazione sperimentare questo tipo di incidenti sono ormai passati US $ 6,5 milioni. Con la consapevolezza che solo 503 sono state le organizzazioni intervistate, e solo il 44 per cento di tali organizzazioni sono in grado di quantificare le perdite , questo suggerisce che le perdite totali per le organizzazioni degli Stati Uniti potrebbe incorrere in miliardi di dollari.

La prospettiva del Regno UnitoNel 2002, il National Hi-Tech Crime Unit (NHTCU) ha commissionato NOP di intraprendere uno studio di criminalità informatica nelle organizzazioni del Regno Unito. Questa indagine, che mi hanno aiutato la Commissione NHTCU, è basata sul FBI / CSI categorie di reati informatici, e ha permesso ad alcuni nuovi paragoni da fare tra gli Stati Uniti e Regno Unito in questo settore. Negli ultimi 12 mesi da solo, oltre 3.000 incidenti di computer abilitato alla criminalità sono stati vissuti da coloro sede nel Regno Unito organizzazioni intervistate. L'indagine NHTCU ha mostrato che:

67 per cento delle organizzazioni intervistate ha sperimentato virus; 77 per cento aveva sperimentato furti di laptop, il 20 per cento ha avuto un attacco denial of service.

Attacchi denial of service sono quelli in cui l'autore invia ripetutamente grandi quantità di pacchetti di dati ad affluire un sistema o una rete completa con l'intenzione di peggiorare le prestazioni o spegnerlo. Attacchi di virus sono stati ancora gli incidenti più frequenti, con 1.612 incidenti che si verificano durante negli ultimi 12 mesi alone.1 Nel FBI / CSI 2002 sondaggio

85 per cento delle organizzazioni intervistate ha sperimentato virus; 55 per cento aveva sperimentato furti di laptop, il 40 per cento ha registrato un attacco denial of service.

Prima di effettuare confronti diretti abbiamo bisogno di tener conto delle differenze fra le popolazioni campione. Per esempio, ci sono state 105 le organizzazioni intervistate in questo NHTCU iniziale / sondaggio NOP e 503 organizzazioni censite nel quadro delle FBI / CSI 2002 indagine. Tuttavia, possiamo vedere che negli Stati Uniti il 18 per cento delle organizzazioni più segnalato avvertire i virus, il doppio del numero di le organizzazioni degli Stati Uniti ha subito un attacco denial of service, e il 22 per cento delle organizzazioni meno riferito di soffrire di furti laptop.

Il costo per UK businessL'indagine NHTCU non ha cercato di calcolare le perdite per le organizzazioni del Regno Unito da questo tipo di criminalità. Tuttavia, l'indagine ha fornito a noi con alcuni dati di base su cui alcune ipotesi possono essere applicate, rendendo possibile collocare una figura su quanto si potrebbe supporre era perduto da parte delle aziende del Regno Unito dal computer abilitati per gli incidenti della criminalità negli ultimi 12 mesi. Se si assume che la perdita media per le imprese del Regno Unito sarebbe stato allo stesso livello di quelle perdite subite da parte delle organizzazioni degli Stati Uniti, possiamo stimare le perdite delle imprese del Regno Unito.

Dimensionamento l'impatto da infezioni da virusUsando questo approccio, se il 67 per cento delle organizzazioni dichiarato di aver sofferto gli attacchi dei virus nel Regno Unito durante gli ultimi 12 mesi, 2 ciò equivarrebbe a 70 aziende. Moltiplicando questo numero per la perdita media per ogni organizzazione ci permette di ricavare la perdita potenziale totale dai virus per le organizzazioni intervistate. L'FBI / CSI sondaggio identificato che 428 organizzazioni intervistate ha subito un incidente di virus, ma solo 188 sono state le organizzazioni in grado di quantificare i costi di tali incidenti. Tra i 188 organizzazioni, la perdita più alta è stato sperimentato 9 milioni di dollari e la perdita media è stata di circa US $ 283.000. Moltiplicando US $ 283.000 da 70 dà una perdita complessiva per le organizzazioni intervistate sede nel Regno Unito di circa 20 milioni di dollari.

Calcolo del costo totale di imprese del Regno UnitoUsando lo stesso metodo per ciascuna delle categorie di reati informatici, siamo in grado di calcolare le perdite che ci si potrebbe aspettare in tutte le categorie per i 105 organizzazioni intervistate sommate ciò equivarrebbe a US 228 milioni dollari la perdita da parte delle aziende britanniche intervistate nel corso degli ultimi 12 mesi. Tuttavia, questa cifra ha bisogno di essere trattata con grande cautela, e non deve essere considerato come statisticamente significativo. La NHTCU / sondaggio NOP trattate solo con 105 organizzazioni e non è mai stato lo scopo di trarre conclusioni statistiche, e arrivare a questa cifra si raggiunge solo quando un certo numero di assunzioni sono effettuate. Inoltre, questo calcolo può essere troppo conservatore. Ci sono stati 129 casi di furto di hardware diversi computer portatili. Questi incidenti sono stati omessi dagli Stati Uniti metodologia di 228 milioni dollari, come abbiamo avuto alcuna informazione sulla media delle perdite per questo tipo di incidente. 63 per cento delle organizzazioni intervistate nel FBI / CSI indagine del 2002 aveva 1000 o più dipendenti considerando che il 82 per cento di persone intervistate nel NHTCU / sondaggio NOP aveva 1000 o più dipendenti. organizzazioni più grandi ci si aspetta che le perdite sono più elevate, e quindi la perdita media dovrebbe essere maggiore per il campione del Regno Unito che hanno più grandi organizzazioni, e, se è vero, questo potrebbe gonfiare gli Stati Uniti 228 milioni dollari di perdita totale calcolata per le organizzazioni del Regno Unito. Anche se questo numero non è esatto, quello che si può dedurre è che, con oltre 3.000 gli incidenti e le perdite stimate qui di circa US 228 milioni dollari per 105 organizzazioni, vi è una minaccia significativa, da questo tipo di reato nel Regno Unito, e le organizzazioni devono essere preparati per questi incidenti. Ma a che livello sono necessarie per programmare, e come possiamo calcolare il rischio specifico di una organizzazione?

Fare questo specifico di una organizzazionePer calcolare questo, l'organizzazione ha bisogno di effettuare una valutazione formale del rischio. Nel fare una valutazione dei rischi è possibile determinare, tra le altre cose, l'impatto potenziale di un incidente per l'organizzazione, e la probabilità di tale impatto si verifichi. Queste due figure, moltiplicata insieme, forniscono un punto di vista del livello di minaccia che esiste per questi incidenti.

Impatto Probabilità volteIl livello di minaccia di cui sopra (probabilità che l'impatto si verificherà tempi di impatto) dovrà essere calcolato con i dati relativi al proprio ambiente dell'organizzazione. Prima di vedere come questi dati specifici possono essere calcolati, dovremmo guardare a come un modello di volte la probabilità di impatto potrebbe funzionare. Un'industria esempio generico Se il 20 per cento delle organizzazioni del Regno Unito ha subito un attacco denial of service negli ultimi 12 mesi, poi la probabilità di un'organizzazione di essere attaccato è del 20 per cento. Supponendo che la perdita media azienda per questo tipo di incidenti è di US $ 300.000, come riportato nel FBI / CSI indagine 2002, moltiplicando la probabilità del 20 per cento per la perdita media di 300.000 dollari per questo tipo di incidente si può vedere che la minaccia livello sarebbe di circa 60.000 dollari. Leggendo questo, è chiaro a una grande organizzazione che una negazione di successo di un attacco di servizio sarebbe costato molto di più la società, e questo re-rafforza la necessità di informazioni specifiche relative alla società in questione, cosa che essere trattati nel prossimo paragrafo.

Sartoriale questo modello per il tuo organismo ambienteUtilizzando i dati specifici per la vostra organizzazione è essenziale. Ad esempio, se la perdita media del settore riflettono l'impatto che potrebbe essere sentito nella vostra organizzazione? E come si può calcolare la probabilità, senza tenere conto della specificità della propria organizzazione e per l'ambiente è operativo in?

Calcolare la probabilità di un impatto che si verificano nella vostra organizzazionePer arrivare a questa organizzazione i dati specifici, prendiamo in considerazione la prospettiva di probabilità prima. Qual è la probabilità che gli incidenti si verifichino in qualsiasi organizzazione particolare? Con oltre 3.000 incidenti verificatisi nel Regno Unito e solo il tre per cento delle organizzazioni che non hanno sperimentato incidenti di criminalità informatica negli ultimi 12 mesi, si dovrebbe iniziare assumendo che potrebbe succedere anche a te. Allo stesso tempo, non è pratico presumere che ogni incidente influenzerà ogni organizzazione. Devi essere preparato per tutti i tipi di incidenti - ma un'organizzazione senza un sito web non sarebbe suscettibile di un defacement sito web, ecc Utilizzo di un processo di valutazione dei rischi consente l'organizzazione di capire una probabilità più realistica di un impatto che si verificano. Il mio metodo per fare questo prende in considerazione molti fattori, comprese le tecnologie utilizzate, la localizzazione geografica, ecc politica di sicurezza per calcolare una realistica probabilità che l'impatto potrebbe verificarsi.

Dimensionamento del potenziale impatto sulla vostra organizzazioneGuardando al prossimo l'impatto di un incidente, come si può determinare il potenziale impatto di una negazione del servizio di incidente o un attacco di virus su un organizzazione? Va detto in anticipo che spesso non è possibile dimensione completamente l'impatto che può essere sperimentato per l'organizzazione, diciamo, un attacco di virus. Tuttavia, dalla nostra comprensione del costo del down-tempo in una organizzazione, abbiamo un insieme di base di categorie di lavoro da al fine di calcolare l'impatto di un incidente Questi fattori ci permettono di vedere dove l'impatto potrebbe provenire da. Per calcolare l'impatto, abbiamo bisogno di capire quello che le attività potrebbero essere colpite da un incidente, poi calcolare l'impatto che un incidente potrebbe avere su tali attività. Ci sono diversi tipi di attività che devono essere considerati nel fare questo. Sezione 5 del BS 7799: Part 1 Code of Practice for Information Security Management è un buon riferimento in questo settore, se siete alla ricerca di una fonte indipendente di dati. Infine, quando si tratta di realtà dimensionamento l'impatto, le aziende spesso dire che è difficile ottenere i dati all'interno della loro organizzazione, e se trovate lo stesso della vostra organizzazione quindi la cifra media di perdita che l'FBI / CSI indagine si riferisce, può essere un buon punto di partenza. Poi nel tempo è possibile acquisire informazioni che potrebbero convalidare questa figura all'interno della propria organizzazione, determinare quali sono le attività che possono essere colpiti e quale impatto - guardando le categorie in Figura 1.1.5 - potrebbe essere vissuto.

Altri aspetti da considerareNella metodologia di cui sopra abbiamo solo presi in l'impatto negativo di violazioni della sicurezza, non abbiamo preso in considerazione il fatto che gli investimenti di sicurezza rendendo possibile avere un impatto positivo sulla marca, ridurre i costi di funzionamento di un ecc nell'edilizia il ritorno sugli investimenti (ROI) per un'organizzazione, positivi e negativi benefici devono essere prese in considerazione. Il metodo funziona più o meno allo stesso modo, moltiplicando il volume degli effetti positivi per la probabilità che tale impatto positivo verrà sperimentato.

Formando il caso ROIIl metodo di cui sopra ha introdotto un modo di catturare alcune informazioni numeriche circa il livello di minaccia alla propria organizzazione. Il passo successivo è quello di decidere se questo è un livello accettabile di rischio per l'organizzazione. L'organizzazione ha bisogno per prendere una decisione se vuole accettare il fatto che il rischio, o mettere in atto soluzioni per ridurre tale rischio. Programmi di sicurezza, se eseguiti correttamente, consentirà l'organizzazione di ridurre l'impatto e / o la probabilità di un incidente, ed è contro questo contesto che l'organizzazione possa produrre un rendimento del caso di investimento. Tuttavia, c'è sempre un certo livello di rischio residuo che l'organizzazione deve accettare, anche dopo aver fatto i suoi investimenti in titoli. Non esiste una cosa come 100 per cento la sicurezza.

Altri modi per calcolare il ROI per l'organizzazioneCi sono un certo numero di approcci diversi che avrebbero potuto essere dimostrato qui, ma ai fini del presente articolo è stato di condividere le nuove informazioni che sono state fornite dalla NHTCU / sondaggio NOP e di mostrare come può aiutarci a costruire il business case per la sicurezza . Nel gruppo di lavoro a SAINT (Security Alliance per Internet e delle nuove tecnologie) che stiamo esaminando tutti questi diversi approcci, e pubblicherà un Libro bianco su questo tema nel corso del 2003 che riguarderà i diversi approcci più in dettaglio, tra cui uno che è basata su BS 7799.

Considerazioni finaliLa NHTCU / NOP indagine ha rivelato il 34 per cento delle organizzazioni stanno spendendo in uno per cento della loro spesa totale in materia di sicurezza informatica, 46 per cento è la spesa sotto il due per cento e 22 per cento degli intervistati sono state spesa tra due e cinque per cento. Dato che ci sono stati oltre 3.000 gli incidenti segnalati da quegli stessi 105 organizzazioni negli ultimi 12 mesi, le organizzazioni dovrebbero essere forse rivedere regolarmente i loro livelli di spesa. Performing valutazioni di rischio regolari del tipo che ho descritto qui può aiutarti a questo processo è iniziato nel vostro organizzazione. L'autore non si assume alcuna responsabilità riguardo l'esattezza delle informazioni fornite nel presente documento e l'uso di tali informazioni è a rischio e pericolo del destinatario. L'autore non fornisce alcuna garanzia che gli eventuali problemi segnalati possono essere risolti con l'uso delle informazioni fornite nel presente documento. Fornendo tali informazioni, l'autore non concede alcuna licenza su copyright, brevetti o altri diritti di proprietà intellettuale. Le informazioni e le opinioni fornite in questo documento sono quelle dell'autore e non necessariamente solo quelli di IBM o qualsiasi altra organizzazione che l'autore è coinvolto.

un articolo presentato da Frank C.

Disclaimer:Il nostro sito non è responsabile per il contenuto di questo articolo. Webarticles è una risorsa gratuita di informazioni.
Importante: Questo articolo "Il business case per la sicurezza delle informazioni" è stato tradotto da un software automatico. Ci dispiace per eventuali errori di ortografia che possono essersi verificati. Grazie per la vostra comprensione.