O caso de negócios de segurança da informação

O caso de negócio para segurança da informação

Em um mundo cada vez mais conectado, onde a maioria das organizações têm algum conexão à Internet e realizar muitos negócios com os seus principais intervenientes eletronicamente, temos de perguntar: é nossa informação para negócios em risco? Que é a verdadeira ameaça que enfrentam empresas do Reino Unido? Nick Coleman, presidente da SAINT (Aliança para a Segurança da Internet e novas tecnologias) e Chefe da Segurança Serviços da IBM, fala sobre a ameaça aos negócios do Reino Unido e como um caso de negócios podem ser construídas para justificar os gastos com segurança da informação.

É a nossa informação em risco?Em os E.U. 90 por cento das organizações inquiridas detectadas violações de segurança durante os últimos 12 meses, e um escalonamento 456 milhões de dólares foi relatado como tendo sido perdido por essas organizações como resultado, a área mais importante continua a ser o roubo de propriedade intelectual, onde total perdas registadas totalizaram E.U. $ 171 milhões, e da perda média por organização de experimentar este tipo de incidentes é agora alguns E.U. $ 6,5 milhões. Com o conhecimento de que apenas 503 organizações foram pesquisadas, e apenas 44 por cento dessas organizações foram capazes de quantificar as perdas , isto sugere que as perdas totais para as organizações E.U. podiam funcionar em biliões de dólares.

A perspectiva do Reino UnidoEm 2002, a National Hi-Tech Crime Unit (NHTCU) encomendou NOP para realizar um levantamento da criminalidade informática em organizações do Reino Unido. Este inquérito, que eu ajudei a comissão NHTCU, baseou-se no FBI / CSI categorias de crimes informáticos, e permitiu algumas comparações de novo a ser feita entre os E.U. e do Reino Unido nesta área. Nos últimos 12 meses, por mais de 3.000 incidentes de computador habilitado para o crime foram experimentados por aqueles britânica organizações pesquisadas. NHTCU A pesquisa mostrou que:

67 por cento das organizações inquiridas vírus experientes; 77 por cento tinham experimentado roubos de laptop, 20 por cento tiveram um ataque de negação de serviço.

Ataques de negação de serviço são aqueles onde o autor repetidamente envia grandes quantidades de pacotes de dados para inundar uma rede completa do sistema ou com a intenção de prejudicar o desempenho ou desligando-o de ataques. Vírus eram ainda os incidentes mais frequentes, com 1.612 incidentes que ocorrem durante a nos últimos 12 meses alone.1 No FBI / CSI 2002 survey

85 por cento das organizações inquiridas vírus experientes; 55 por cento tinham experimentado roubos de laptop, 40 por cento teve um ataque de negação de serviço.

Antes de fazer comparações diretas precisamos levar em conta as diferenças nas populações de amostra. Por exemplo, havia 105 organizações pesquisadas neste NHTCU inicial / NOP levantamento e 503 organizações pesquisadas no FBI / CSI 2002 survey. Contudo, podemos ver que nos Estados Unidos 18 por cento mais organizações relataram a experimentação de vírus, o dobro do número de organizações E.U. experimentou um ataque de negação de serviço, e 22 por cento das organizações relataram menos sofrimento roubos de laptop.

O custo para as empresas do Reino UnidoO levantamento NHTCU não tentou calcular as perdas para as organizações do Reino Unido a partir desses tipos de crime. No entanto, o inquérito não nos fornecer alguns dados de base sobre a qual certas hipóteses pode ser aplicada, fazendo o possível para colocar uma figura em quanto poderíamos supor foi perdido por empresas do Reino Unido a partir do computador habilitado para incidentes de crime nos últimos 12 meses. Se vamos supor que a perda média de empresas no Reino Unido teria sido ao mesmo nível que as perdas registadas por organizações E.U., podemos estimar os prejuízos para as empresas do Reino Unido.

Dimensionar o impacto de incidentes com vírusUsando essa abordagem, se 67 por cento das organizações relataram a experimentação de ataques de vírus no Reino Unido durante os últimos 12 meses, 2 isso equivaleria a 70 empresas. Multiplicando esse número pela perda média por organização permite-nos obter a perda total potencial de vírus para as organizações pesquisadas. O FBI / CSI pesquisa identificou que 428 organizações pesquisadas experimentaram um incidente de vírus, mas apenas 188 organizações foram capazes de quantificar os custos de tais incidentes. Entre as 188 organizações, a maior perda foi experimentado E.U. $ 9 milhões e da perda média foi de cerca de E.U. $ 283.000. Multiplicando E.U. $ 283.000 por 70 dá uma perda total das organizações pesquisadas baseado no Reino Unido por cerca de 20 milhões de dólares.

Calcular o custo total para o Reino Unido de negóciosUsando o mesmo método para cada uma das categorias de crimes informáticos, podemos calcular os prejuízos que podem ser esperados em todas as categorias para as 105 organizações pesquisadas Totalled juntos isso equivaleria a E.U. 228 milhões dólares sendo perdidos pelas empresas britânicas pesquisadas nos últimos 12 meses meses. Contudo, este valor não precisa ser tratada com muita cautela, e não deve ser considerada como estatisticamente significativa. A NHTCU / vistoria NOP apenas tratou de 105 organizações e nunca foi utilizado para tirar conclusões estatísticas, e começando a este valor só é alcançado quando uma série de hipóteses são feitas. Além disso, este cálculo pode ser muito conservador. Houve 129 ocorrências de roubo de hardware que não seja laptops. Estes incidentes são omitidos os E.U. metodologia $ 228 milhões, como não tínhamos nenhuma informação sobre as perdas médias para este tipo de incidente. 63 por cento das organizações inquiridas no FBI / CSI inquérito de 2002 tinha 1.000 empregados ou mais que 82 por cento dos inquiridos no NHTCU / vistoria NOP tinha 1000 ou mais empregados. organizações maiores são esperadas maiores perdas e, portanto, a perda média deveria ser maior para o exemplo do Reino Unido com mais grandes organizações, e, se for verdade, isso seria inflar os E.U. 228 milhões dólares perda total calculada para as organizações do Reino Unido. Mesmo que este número não é exato, o que podemos deduzir é que, com mais de 3000 incidentes e perdas estimadas aqui de alguns E.U. $ 228 milhões para 105 organizações, existe uma ameaça significativa deste tipo de crime no Reino Unido, e as organizações precisam estar preparados para tais incidentes. Mas o nível em que eles precisam para planejar, e como podemos calcular a ameaça específica para uma organização?

Tornar este específico para uma organizaçãoPara calcular isso, uma organização necessita realizar uma avaliação formal dos riscos. Ao fazer uma avaliação dos riscos é possível determinar, entre outras coisas, o impacto potencial de um incidente para a organização, ea probabilidade de que o impacto ocorra. Estas duas figuras, quando multiplicados juntos, proporcionam uma vista sobre o nível de ameaça que existe para aqueles incidentes.

Impacto vezes ProbabilidadeO nível de ameaça descrito acima (probabilidade de impacto ocorrerá impacto vezes) terá de ser calculado com os dados pertinentes ao próprio ambiente da organização. Antes de olharmos para os dados específicos como este poderia ser calculado, devemos olhar como um modelo de probabilidade de impacto vezes pode funcionar. Uma indústria exemplo genérico Se 20 por cento das organizações do Reino Unido sofreu um ataque de negação de serviço nos últimos 12 meses, então o probabilidade de uma organização a ser atacado é de 20 por cento. Supondo que a perda média empresa para este tipo de incidente é E.U. $ 300.000 como relatado no FBI / CSI inquérito de 2002, multiplicando a probabilidade de 20 por cento pela perda média E.U. $ 300.000 para este tipo de incidente, podemos ver que a ameaça percebida nível seria de cerca de E.U. $ 60.000. Lendo isto, é evidente que uma grande organização de sucesso que uma negação de serviço ataque que custou à empresa muito mais, e isso reforça a necessidade de informações específicas para a empresa em questão, algo que irá ser abordados na seção seguinte.

Adaptando esse modelo para a sua própria organização ambienteUsando dados específicos de sua própria organização é essencial. Por exemplo, a perda média da indústria reflete o impacto que pode ser sentida na sua organização? E como você pode calcular a probabilidade sem ter em conta as especificidades da sua própria organização e do ambiente que está operando dentro?

Calcular a probabilidade de um impacto que ocorre em seu organizaçãoPara chegar a esta organização de dados específicos, vamos considerar a perspectiva de probabilidade de primeira. Qual é a probabilidade de que os incidentes que ocorrem em qualquer organização particular? Com mais de 3.000 incidentes ocorridos no Reino Unido e apenas três por cento das organizações não ter experimentado todos os incidentes da criminalidade informática nos últimos 12 meses, você tem que começar por assumir que poderia acontecer com você. Ao mesmo tempo, não é prático supor que todos os incidentes que afetam todas as organizações. Você tem que estar preparado para todos os tipos de incidentes - mas uma organização sem um site não seria passível de um defacement site, etc Usando um processo de avaliação de risco permite a organização de compreender uma probabilidade mais realista de um impacto ocorrendo. Minha metodologia para fazer isso leva em consideração vários fatores, incluindo as tecnologias usadas, localização geográfica, etc política de segurança para calcular uma probabilidade real de que o impacto possa ocorrer.

Dimensionamento do potencial impacto sobre a sua organizaçãoProcurando seguinte no impacto de um incidente, como podemos determinar o impacto potencial de um incidente de negação de serviço ou de um ataque de vírus em uma organização? É preciso dizer antecipadamente que muitas vezes não é possível eliminar completamente o tamanho do impacto que podem ser experimentados na organização de, digamos, um ataque de vírus. No entanto, em nosso entendimento do custo de down-time em uma organização, temos um conjunto básico de categorias de trabalhar a partir, a fim de calcular o impacto de um incidente Esses fatores nos permitem ver onde o impacto pode vir. Para calcular o impacto, nós precisamos entender quais os bens podem ser afectadas por um incidente, em seguida, calcular o impacto que um incidente pode ter sobre esses bens. Existem vários tipos de ativos que precisam ser considerados em fazer isto. Secção 5 da BS 7799: Part 1 Código de Boas Práticas de Gestão de Segurança da Informação é uma boa referência nesta área, se você estiver procurando por uma fonte independente de dados. Finalmente, quando vem realmente a dimensionar o impacto, as empresas costumam dizer que é difícil obter dados de dentro de sua organização, e se você encontrar o mesmo em sua organização, em seguida, a figura perda média que o FBI / CSI levantamento refere-se, pode ser um bom ponto de partida. Então, ao longo do tempo você pode capturar informações que validam esta figura dentro de sua própria organização, determinando quais os activos que possam ser afectados e qual o impacto - a olhar para as categorias na Figura 1.1.5 - poderá ser experimentado.

Outros aspectos a considerarNa metodologia acima temos apenas tiveram em conta as repercussões negativas das violações de segurança, nós não ter levado em conta o facto de fazer investimentos em segurança pode ter impactos positivos sobre a marca, reduzir os custos operacionais de um negócio, etc Na construção do retorno sobre o investimento (ROI) de uma organização, o positivo eo negativo benefícios precisam ser tomadas em consideração. O método funciona da mesma maneira, multiplicando o tamanho do impacto positivo, a probabilidade de que esse impacto positivo será experimentado.

Formando o caso ROIO método acima introduziu uma maneira de capturar alguns dados numéricos sobre o nível de ameaça à sua organização. O próximo passo é decidir se esse é um nível de risco aceitável para a organização. A organização precisa tomar uma decisão quanto a saber se ele quer aceitar esse risco, ou colocar em prática soluções para mitigar esse risco. Programas de segurança, se executado corretamente, permitirá a organização para reduzir o impacto e / ou a probabilidade de ocorrência de um incidente, e é contra este contexto que uma organização pode produzir um retorno do investimento caso. No entanto, há sempre um certo nível de risco residual que a organização tem de aceitar, mesmo depois de ter feito seus investimentos em segurança. Não existe tal coisa como 100 por cento de segurança.

Outras formas de calcular o ROI para a organizaçãoHá uma série de abordagens diferentes, que poderiam ter sido demonstrado aqui, mas o objetivo deste artigo foi o de compartilhar a informação nova que foi fornecida pelo NHTCU / vistoria NOP e mostrar como ele pode nos ajudar a construir o business case para a segurança . No grupo de trabalho em SAINT (Security Alliance para a Internet e as Novas Tecnologias), estamos considerando todas estas diferentes abordagens, e vamos publicar um Livro Branco sobre este assunto durante 2003, que irá abranger as diferentes abordagens em mais detalhes, incluindo uma que é com base na BS 7799.

Considerações finaisO NHTCU / NOP inquérito revelou 34 por cento das organizações estão gastando menos de um por cento do seu total gasto em segurança de computadores, 46 por cento estão a gastar menos de dois por cento e 22 por cento dos inquiridos foram gastos entre dois e cinco por cento. Tendo em conta que houve mais de 3.000 incidentes relatados pelos mesmos 105 organizações nos últimos 12 meses, as organizações devem ser regularmente talvez rever os seus níveis de despesa. Realizem avaliações de risco regular, do tipo que eu descrevi aqui pode ajudá-lo a este processo iniciou-se em seu organização. O autor não assume qualquer responsabilidade quanto a precisão das informações que são fornecidas neste documento e uso de tais informações é um risco do próprio usuário. O autor não garante que quaisquer problemas relatados possam ser resolvidos com o uso de quaisquer informações aqui fornecidas. Ao fornecer estas informações, o autor não pode conceder licenças a qualquer direito autoral, patentes ou outros direitos de propriedade intelectual. As informações e opiniões fornecidas neste documento são de responsabilidade do autor e não necessariamente apenas os da IBM ou qualquer outra organização que o autor está envolvido.

---

Isenção de responsabilidade:O nosso site não se responsabiliza pelo conteúdo deste artigo. Webarticles é uma fonte de informação livre.
Importante: Este artigo "O caso de negócios de segurança da informação" foi traduzida por um software automático. Nós sentimos muito por quaisquer erros de ortografia que pode ter ocorrido. Obrigado pela sua compreensão.

---