情報セキュリティのためのビジネスケース

ビジネスケースの 情報セキュリティ

ますます接続された世界ではほとんどの組織のいくつかある その主要なステークホルダーを使ってインターネットに接続すると、多くのビジネスを行う 電子的に、私たちに聞いて：リスクは当社のビジネス情報ですか？何 本当の脅威は英国のビジネスに直面して何ですか？ニックマン会長サンの （Security Allianceのインターネットと新技術）と本社のセキュリティの サービスは、IBMは、英国のビジネスへの脅威についてどのようにビジネスケース 情報セキュリティへの支出を正当化するように構築できます。

リスクは当社の情報はありますか？米国の90団体のパーセントでは、過去12か月の間、コンピュータのセキュリティ違反を検出対象驚異456000000ドルで最も重要な地域知的財産の窃盗、ここで合計することを続けて結果として、これらの組織が失われたことが報告された損失を米国へと組織あたりの平均損失事件、これらのような経験が171百万米ドル額を報告するいくつかの米国6500000ドルです。知識だけが503の組織が調査対象とすると、わずか44人団体のパーセントの損失を定量化することができたこれは、米国の組織のための損失総額は数十億ドルに陥る可能性を示唆。

英国の視点2002年には、国家ハイテク犯罪ユニット（NHTCU）英国の組織でのコンピュータ犯罪の調査を実施する日本オイルポンプグループ就役した。私は、NHTCU委員会を支援したこの調査は、米連邦捜査局に基づいている/コンピュータ犯罪のCSIはカテゴリ、および許可されいくつかの新しいの比較は、米国と英国の間では、この領域で行われる。過去12カ月間だけでも、3,000人以上の事件コンピュータにそれらの英国で経験したが、ベースの組織の調査、犯罪が有効。 NHTCU調査によると：

67機関を調査パーセントの経験豊富なウイルスが、77パーセントのラップトップ盗難を経験して、20パーセントのサービス拒否攻撃を経験した。

サービス拒否攻撃の方が加害者を繰り返し、データパケットの大量送信するパフォーマンスの低下の意図や。ウイルス攻撃にシャットダウンすると、システムや完全なネットワーク洪水には依然として最も頻繁に発生した事件は、1612年の事件時に行われていた過去12ヶ月alone.1は、FBIで/ CSIは2002年の調査

85機関を調査パーセントの経験豊富なウイルスが、55パーセントのラップトップ盗難を経験して、40パーセントのサービス拒否攻撃を経験している。

我々のアカウントに、サンプルの人口の違いを取る必要があるの直接比較を行う前に。たとえば、105の組織は、この初期NHTCUで調査/日本オイルポンプグループ調査し、503団体がFBIの調査/ CSIは2002年の調査された。しかし、我々は、アメリカ合衆国の18パーセントの他の組織のウイルスが発生し、2倍の数を報告を参照することができます米国の組織、サービス拒否攻撃を経験し、22パーセント未満の組織のラップトップ盗難被害報告した。

英国への事業コストNHTCU調査英国の組織の犯罪、これらの種類の中からの損失を計算しようとしなかった。しかし、この調査の時に一定の仮定を適用することができるいくつかの基本データと、それをどの程度我々英国の企業がコンピュータから失われたものかもしれないが、過去12カ月間の犯罪事件を有効に図を配置する可能性をご提供してくれた場合我々は、英国の企業には、平均損失これらの損失は米国の組織の経験と同じレベルにされていると仮定は、英国のビジネスに損失を見積もることができます。

ウイルスインシデントからの影響のサイジング2は、この70社に等しくなります場合、67団体のパーセントは、このアプローチを使用して、過去12か月の間に英国内のウイルス攻撃が発生した。組織当たりの平均被害額はこの数字を乗算私たちこれらの組織の調査のためにウイルスの合計を潜在的な損失を導出することができます。捜査/ CSIは調査識別は、428団体のウイルスインシデント経験豊富な調査が、唯一の188の組織のコストを定量化することができたこのような事件。これらの188団体のうち、最高の損失を経験した米国の900万ドルとなり、平均損失の一部の米国283.000ドルだった。米国の70〜283000ドルを乗算すると調査機関は、英国の約20万ドルに基づいて、全体の損失を与える。

英国への総事業コストを計算するそれぞれのコンピュータ犯罪の種類のための同じメソッドを使用して、我々はすべてのカテゴリ全体の105団体に期待される可能性があります一緒に、この米国への英国企業の最後の12歳以上調査で失われている228000000ドル等しくなりますTotalled調査の損失を計算することができますヶ月。しかし、しないを慎重に処理する必要が統計的に有意であると解釈すべきではない、この数字、および。NHTCU /日本オイルポンプグループ調査では105団体をとりあげ、統計的な結論を引き出すために決して意味され、この図を得るだけで実現されときに前提条件の数を作られています。また、この計算は保守的すぎることがあります。また、ハードウェア、ノートパソコン以外の窃盗129インスタンスていた。我々の事件は、この種の平均損失には情報を持ってこれらの事件228000000ドルの方法論が、米国から省略されます。63団体がFBIの調査対象者のパーセント/ 2002年のCSIは調査で82パーセントの数に対し、1000以上の人の従業員これらのNHTCUで調査/日本オイルポンプグループ調査で1000以上の従業員だった。拡大する組織の高い損失が予想されるため、平均損失は、英国のサンプルの大規模な組織を有するための高い方がいいと、trueの場合、これは米を膨らませること228000000ドル総損失英国の組織のための計算されます。であっても、この番号は、何を推測することができます正確ではありませんが3000以上の事故や損失をここにいくつかの米国の228000000ドル105団体の推計ですが、犯罪のこの種の重大な脅威だ英国内や組織のような事件のために準備する必要があります。しかし、どのレベルでも計画する必要があるとはどのように1つの組織には、特定の脅威を計算できますか？

1つの組織には、この特定の作成この計算には、組織の正式なリスクアセスメントを実施する必要があります。他のものの中でそれを判断することが可能であるリスクアセスメントを行うには、組織のインシデントの潜在的な影響、その影響が発生する確率です。これらの2つの数字を一緒に乗算は、これらの事件が存在する脅威のレベルに1つのビューを提供します。

確率時間への影響脅威レベル（確率上のアクセスへの影響が発生し、影響を記載）のデータは、組織自身の環境に関連すると計算することが必要になります。前に、私たちがどのように特定のデータを計算されるかもしれないが、いかに確率が倍影響をモデルに働くかもしれないをご覧ください探します。業界の20のイギリスの団体のパーセントは、過去12カ月でのサービス拒否攻撃をし、受けた場合、一般的な例組織の確率は20パーセントは、攻撃している。この事件は、このタイプの平均的な会社の損失30万ドルとしては、FBIに報告されて/ CSIは調査を2002年の事件は、このタイプの平均被害額は30万ドルでは見ることができる20パーセントの確率を乗じて仮定には、感知された脅威レベルで約US $ 60,000になる。この読書は、大規模な組織では、サービス拒否攻撃の成功を妨害、同社は、この再はるかにコストと情報の質問、何かの会社に固有の必要性を強制はっきりしているのが次のセクションで覆われている。

自分のための組織は、このモデルのテーラリング 環境データは独自の組織に固有の使用が不可欠である。たとえば、業界の平均損失はあなたの組織の中で感じられる可能性のある影響を反映？そして、どのようにあなた自身の組織の具体的に分解せずに、そこに動作している環境では、確率を計算できますか？

に発生した衝突の確率計算を 組織この組織固有のデータに私たちは確率の観点最初に考えてみましょう取得するには何の確率は、事件は、特定の組織の中で発生しますか？ 3,000人以上の事件は、英国で発生しただけの3つの組織のパーセントは、過去12カ月でコンピュータ犯罪のすべての事故経験がないことがあれば、それはあなたに起こる可能性を想定して起動する必要があります。それと同時に、現実的ではないは、すべての事件すべての組織に影響を与えると仮定する。あなたが事故のすべての種類のために準備する必要があります-しかし、ウェブサイトを持たない団体のウェブサイト改ざん等へのリスク評価のプロセスを使用して影響を受けることはない影響をより現実的な確率発生を理解することは、組織ができます。これを行うための私の方法論を考慮し、現実的な確率は、影響が発生する可能性を計算するための技術を使用すると、地理的な場所、セキュリティポリシーなどを含む多くの要因かかります。

あなたの組織の潜在的な影響のサイジング事件の影響で、次の方法を我々のサービス事件や組織にウイルスの攻撃の妨害の潜在的な影響を判断することができますですか？これは先行投資は、しばしば完全にサイズには、例えば、ウイルスの攻撃から、組織の中で発生する可能性への影響は不可能だということがあります。しかし、ダウンのコストを組織の中での時間を我々の理解から、我々の基本のカテゴリでこれらの要因は私たちが影響を与えるから来るかもしれない参照できるように、事件の影響を計算するから動作するように設定されている。の影響を計算するために、我々の資産事件がどのように影響する可能性を理解し、その影響は、事件、それらの資産に可能性があります計算する必要があります。ある資産が必要これで考慮すべきいくつかの種類があります。場合は、データの独立したソースを探している第5章はBS 7799の：パート1のコード練習の情報セキュリティ管理のためのこのエリアには良いの参照です。最後に、実際には、影響を与えるのサイズになると、企業の多くが言うもしあなたの組織の中でクリックして、米連邦捜査局/ CSIは調査を指します平均損失の図は、同じ検索が難しい、と、良い出発点になる可能性がありますが、組織内からデータを取得する。あなたはあなた自身の組織内では、資産の決定は、この図を検証するような情報をキャプチャすることができますし、時間の経過とどのような影響影響を受ける可能性があります-図1.1.5でのカテゴリを見て-を経験することがあります。

他の側面を考慮する上記の手法では、唯一のセキュリティ侵害の負の影響を考慮して、我々のアカウントに事実をセキュリティへの投資は、ブランドのポジティブな影響を持つことができる投資リターンの建物で、ビジネス等の運用コストを削減してこなかった（ROI）を組織、正と負の利益のために考慮する必要があります。メソッドとほぼ同じ方法で、確率は、その肯定的な影響を与える経験となることに肯定的な影響の大きさを乗算動作します。

投資収益率の場合、成形上記の方法であなたの組織への脅威のレベルに関するいくつかの数値情報をキャプチャする方法の1つを紹介しています。次のステップは、もし、組織のリスク許容レベルであるかを判断することです。組織かどうかは、リスク、または配置ソリューションの場所に受け入れるようにそのリスクを軽減しようとして決定する必要があります。セキュリティプログラムの場合、正常に実行され、発生した衝撃やインシデント/又は確率を減らすための組織を有効にするだろうし、このコンテキストは、組織の投資の例の収益を生むことに反している。しかし、常にその組織を受け入れるようにして残留リスクの特定のレベルでも、ことは、セキュリティへの投資した後です。また、100％ごとのセキュリティなど存在しないことだ。

組織への投資収益率を計算するために他の方法が、ここでは、この資料の目的とは、NHTCUによって提供されている新しい情報/日本オイルポンプグループ調査を共有する方法はセキュリティのためのビジネスケースの建物で私たちを支援することができますを見るには示されている可能性の異なるアプローチがいくつかありますインターネットと新技術のサンでは、ワークグループ（セキュリティアライアンス）は、我々のすべてのこれらの異なるアプローチを検討しては、我々 2003年には1を含む詳細は置かれている別のアプローチをカバーする、このテーマに関するホワイトペーパーを発行します学士7799に基づく。

最終的な考えNHTCU /日本オイルポンプグループ調査1は全体のパーセントで、コンピュータセキュリティ、46パーセントに費やす支出している34団体のパーセント明らかに2％と22日、回答者のパーセントあたりの下に2〜5パーセントの間に支出された支出している。定期的に支出水準の見直しがある3000の事件は、過去12カ月で、同じ105の組織が報告をさを考えると、組織は、おそらく必要があります。種類、私はここでは、このプロセスを支援することができますに記述して定期的にリスクアセスメントの実行を開始あなたの機関です。著者は一切の責任は、本サービスに提供され、そのような情報を使用する情報の正確性についての前提条件は、受信者自身の危険にさらされます。著者の保証は、任意の報告された問題のあらゆる情報を使用して解決される可能性があります、ここで提供しています。情報を提供することにより、著者は、いかなる著作権、特許権、またはその他の知的財産権を任意のライセンスを付与されません。情報や意見は、この文書で提供されるものは、著者だけではなく、必ずしもIBMまたは任意の他の組織には、著者とかかわっているのです。

記事は、フランクC提出

免責事項：弊社のウェブサイトは、この資料の内容については責任を負いません。 Webarticles無料の情報リソースです。
重要： この記事は、"情報セキュリティのためのビジネスケースを"自動ソフトウェアによって翻訳された。大変申し訳ございませんが発生した可能性があります任意のスペルミスを感じている。お客様のご理解いただき、ありがとうございます。