Por que ‘Probabilidade’ é uma enorme mina terrestre na Quantificação de Risco de Segurança Cibernética (+ como superá-la)

Views: 437

A Quantificação de Risco Cibernético está se tornando mais familiar e estou vendo mais PME / Grandes empresas e consultores usando métodos de Quantificação para clientes. Mas muitos deles têm algo em comum. Eles estão trabalhando na metodologia Probabilidade e Impacto, mostrada brilhantemente na imagem abaixo:

* Créditos de imagem – O Hub de Segurança Cibernética

Esta ilustração é uma das melhores maneiras de ilustrar como a probabilidade e o impacto “andam juntos”, mas também porque é tão claro. Mas também cega os profissionais cibernéticos de ver a enorme mina terrestre que é “Quantificar a Probabilidade”

Acredito que depois de trabalhar por anos na quantificação do Risco Cibernético em números financeiros (da consultoria até o desenvolvimento de Boardish) que para o Reino da Segurança Cibernética focar na Probabilidade é um erro. Deixe-me explicar:

1. As ameaças de segurança cibernética estão evoluindo muito mais rápido do que qualquer experiência de “conhecimento passado” que você pode determinar o fator de probabilidade. Por exemplo, com o Ransomware, o vetor de ataque do Ransowmare para ‘entrar na sua organização’ está evoluindo diariamente (e às vezes de hora em hora). No dia X sua probabilidade é baixa porque todas as suas máquinas são corrigidas, mas dia Y uma nova falha de segurança em um sistema central significa que a probabilidade sobe.
2. Ataques cibernéticos estão constantemente na ofensiva, não é um “jogo estatístico” como com o seguro de acidentes de carro. Em vez disso, há um “modelo de negócio” claro para que seus invasores tenham acesso aos seus sistemas e causem danos. Eles estão ativamente tentando o tempo todo. Não é uma questão de “se serei atacado”, mas “Quando” e “são cenário de explorações do Dia Zero”
3. Você sempre estará errado quando falar com a gerência. Quando perguntado pelo seu gerenciamento “qual é a probabilidade” de Cyber Attack X acontecer, provavelmente você terá a resposta errada. É uma pergunta de “pegar 22” – você não pode realmente obtê-lo correto porque você não tem controle sobre as variáveis que estão em constante mudança.

Como devo abordar a probabilidade na quantificação de risco cibernético?:

1. Sempre assuma o pior cenário quando se trata de probabilidade – essa é a única resposta “não errada”. Sua responsabilidade como profissional cibernético é ser capaz de: Identificar, Proteger, Detectar, Responder e Recuperar (O Quadro Nist) A QUALQUER HORA, EM QUALQUER LUGAR
2. Concentre-se no tamanho financeiro do impacto da ameaça – quando a probabilidade da ameaça é SEMPRE ALTA.
3. Concentre-se na Eficiência da solução contra a ameaça – quando a probabilidade da ameaça é SEMPRE ALTA.

Dessa forma, a responsabilidade está em suas soluções para proteger contra ameaças globais, não pedindo mil “e se” para encontrar uma solução que não o proteja no pior dos casos. Qual é o ponto?

Então, qual é a alternativa para resolver isso? No Boardish nos aproximamos de uma perspectiva de solução e temos o TPF (Fator de Proteção de Ameaças). Você pode ver que temos ameaças e soluções e a eficiência das ameaças contra as soluções.

Você pode ter várias combinações de soluções contra a ameaça e, o mais importante, você controla a eficiência. Com base no seu entendimento organizacional específico, experiência com soluções e ambiente específico.

Nós não “jogamos” o jogo “Probabilidade”, é sempre “HIGH” porque esta é uma resposta “não errada” (não há direito). Você pode acordar para um ataque do Ransomware a qualquer hora, em qualquer lugar, não cometa o erro de se comunicar com o seu gerenciamento que você pode prever a probabilidade, você não pode.

A única coisa que você pode prever é o quão bem as soluções podem proteger contra o pior caso. Então use isso como seu benchmark e você está muito mais perto de estar certo!

Como o Quadro Boardish resolve isso:

1. Boardish foca na quantificação completa da AMEAÇA: Perda de Mercado, Perda de Dias de Trabalho, Perda de Vendas e Perda de Regulação combinada com “quão rápido a empresa recuperará sua posição de mercado”
2. Medimos a eficiência da solução na mitigação da ameaça, aKA – Quão eficiente é a solução contra a ameaça, não automatizamos esse processo, acreditamos que é diferente para cada organização, e cada Profissionais de TI e Cyber sabem/podem tomar uma decisão com base em seu ambiente específico
3. A Metodologia Boardish ajuda você a quantificar o custo real e completo da solução ( incluindo o custo de TI e Trabalho Cibernético )

A Metodologia Boardish mostra uma métrica de tomada de decisão muito clara sem a “captura 22” de ‘Probabilidade’

FONTE: BOARDISH