Новая математика оценки кибербезопасности

Дженай Маринкович не особо привязывается к цифрам, которые показывают, сколько атак она и ее команда безопасности смогли остановить или предотвратить. Эти цифры, по ее словам, на самом деле не дают никакой информации.

«Сказать, что мы заблокировали миллион [атак], нам ни о чем не говорит. Это ничего не дает другим руководителям», - говорит Маринкович, которая предоставляет виртуальные услуги через Tiro Security и входит в рабочую группу Emerging Trends при ассоциации ISACA по управлению ИТ.

Маринкович рассказала изданию CSO, что директора по информационным технологиям вместо этого должны найти показатели, которые предоставляют действенную информацию, чтобы они и другие руководители компании смогли впоследствии использовать для принятия решений.

«Это должны быть цифры, которые помогают бизнесу», - говорит она, добавляя, что директорам по информационной безопасности необходимо подсчитать, насколько они влияют на бизнес, сколько они получают за возврат своих инвестиций, и насколько и в какой степени они улучшают состояние безопасности организации.

Однако поиск способов сделать все это было давней проблемой для начальников службы безопасности.

Для Маринкович это означает вычисление среднего времени до уведомления о нарушении и среднего времени до локализации - обоих операционных показателей, которые также можно передать совету директоров.

Но, по ее словам, они все еще не дают полной картины. Они не указывают ни на зрелость функции безопасности, ни на то, насколько хорошо меры безопасности согласованы со стратегическими целями. Для этого «вы, вероятно, дадите не количественный показатель, а качественный».

В поисках чего-то лучшего

Руководители службы безопасности предлагают разные мнения о том, как количественно оценить их успехи. Тем не менее, все они, похоже, согласны с тем, что ни одна метрика не может полностью отразить ценность программы кибербезопасности. Они подчеркивают, что не существует математического уравнения, которое могло бы по-настоящему измерить ее эффективность. Однако в то же время они признают, что есть намерение добиться большего.

«Есть директора по информационным технологиям, у которых нет ничего - ни показателей, ни способа количественной оценки, - и они осознают, что это проблема. Или у них есть показатели, но они ужасны, и они хотят чего-то лучшего, - говорит Джефф Поллард, вице-президент и главный аналитик исследовательской компании Forrester. - Им нужен способ узнать об эффективности своей программы кибербезопасности, узнать, что они действуют лучше, чем до этого».

Руководители службы безопасности борются с этой проблемой, говорят Поллард и другие, собирая больше данных, которые они могут превратить в набор измерений, которые дадут им информацию о том, насколько хорошо они работают, улучшается ли положение и где остаются риски. И хотя это не единичный показатель успеха, эти данные оказались полезными для руководителей по информационным технологиям, их коллег-руководителей и членов совета директоров, оценивавших меры безопасности и дальнейшие действия.

«Речь идет о создании показателей, позволяющих принимать решения, - говорит Поллард. - У вас должен быть набор показателей, которыми вы можете поделиться с руководителями и которые они и другие заинтересованные стороны могут использовать для принятия решений».

Проблема присвоения ценности

Директорам по информационной безопасности пришлось многое преодолеть при разработке количественной оценки своих усилий.

Для начала им пришлось собрать большую часть информации, необходимой им для оценки своих программ, вручную собирая данные из нескольких разрозненных источников. Это вызов, который остается актуальным и сегодня.

И они пытаются измерить результаты многих сложных процессов и инструментов, используя данные, которые не имеют смысла вне контекста. Например, руководители предприятий во всем мире понимают, что выручка составляет 1 миллион долларов, но им трудно сказать, говорит ли предотвращение 1 миллиона попыток взлома что-то положительное или отрицательное - или вообще что-нибудь.

«Подумайте о финансовых отчетах: вы можете собрать всех вместе, и они могут взять данные из разных источников и агрегировать их, и каждый получит их. Но нет ни одного заявления, которое можно было бы представить совету директоров по киберрискам и киберрискам; не существует единой системы оценки рисков, которая могла бы объединить их в представление, понятное всем », - говорит Джон Гелинн, директор службы киберрисков Deloitte Advisory.

Он добавляет: «Это вызов. Как вы собираете и объединяете эту информацию, чтобы все ее получали? »

Даже если бы они могли это сделать, директора по информационным технологиям традиционно боролись с присвоением ценности несобытиям. «Придумал метрику [того факта], что ничего плохого не произошло, а затем сказал совету директоров:« Вы должны дать мне больше денег, чтобы убедиться, что ничего плохого не произойдет, это сложно продать», - добавляет Тим ​​Роулинз из компании NCC Group. Однако это меняется.

«Они придумывают метрики, чтобы привязать их к числам, чтобы показать, как что-то сделало их безопаснее, оградило от большего вреда или рисков, как что-то спасло [организацию] от необходимости объяснять клиентам и покупателям, что произошла утечка данных, - сказал Роулинс. - Это сложно, но ведущие ИТ-директора смотрят на кибернетику как на науку и находят методы и показатели с повторяемыми и воспроизводимыми оценками, чтобы показать тенденции и провести сравнительный анализ».

Сосредоточьтесь на принятии решений

Разработка правильного сочетания показателей важна по нескольким причинам, как и в случае со всеми бизнес-показателями. Это дает директорам по информационным технологиям и другим сотрудникам оценку эффективности и представление о том, происходят ли улучшения. Но, что, возможно, даже более важно, это позволяет принимать правильные решения.

Как объясняет Поллард, следует использовать только те показатели, которые приводят к принятию решений.

«Мы всегда смотрим на информацию и принимаем решения, поэтому руководителям служб безопасности нужны отличные показатели, - добавляет он. - Если ваши показатели не позволяют этого сделать, значит, вы знаете, что они бесполезны. Итак, вам нужно создать показатели, которые позволят вам принимать решения».

Заимствуя принципы обычных бизнес-показателей, Поллард говорит, что такими показателями могут быть запаздывающие индикаторы, совпадающие индикаторы или опережающие индикаторы.

Фактически, Поллард отмечает, что он видел некоторые показатели, которые одни руководители по информационной безопасности использовали в качестве индикаторов отставания, а другие - в качестве опережающих индикаторов; это нормально, говорит он, если они работают для каждой отдельной организации.

Показательный пример: показатели рисков инсайдерских угроз. Некоторые руководители по информационной безопасности используют показатели оттока и удержания сотрудников в качестве основного индикатора рисков инсайдерских угроз, поскольку уходящие сотрудники часто пытаются забрать информацию компании по мере их ухода, несмотря на политику, запрещающую такие действия; но отслеживание рисков инсайдерских угроз могло бы быть запаздывающим индикатором, если бы руководители по информационной безопасности работали над ограничением доступа сотрудников в рамках текущей инициативы по обеспечению безопасности.

В любом случае, говорит Поллард, такая метрика может помочь директорам по информационной безопасности принять решение о том, какие действия следует предпринять, например, изменить классификацию ролей и уменьшить разрешения для ограничения доступа к конфиденциальным данным или добавить программное обеспечение для анализа поведения пользователей (UBA).

Кроме того, говорит Поллард, директорам по информационной безопасности следует разработать набор показателей, которые они будут использовать вместе с руководителями, а также еще один набор операционных/тактических показателей, которые функция безопасности может использовать внутри компании.

Разработка стоимостных показателей

По словам Гелинна, директорам по информационным технологиям, работающим с другими руководителями предприятия, необходимо определить активы и возможные риски организации - работа, которую многие уже проделали, - но затем определить затраты, связанные с событиями безопасности.

Deloitte говорит об этих затратах как о лежащих «над поверхностью» (и, следовательно, более известных) инцидентах, и «под поверхностью» (или скрытых или менее заметных) затратах.

В своем отчете за 2020 год «Под поверхностью кибератаки: более глубокий взгляд на последствия для бизнеса» Deloitte перечисляет расходы, связанные с техническими расследованиями, уведомлениями граждан или клиентов о нарушениях, а также гонорары адвокатам, как о затратах частично «над поверхностью». В нем указаны увеличение страховых взносов, увеличение затрат на привлечение долга, девальвация торговой марки и потеря интеллектуальной собственности как некоторые из менее заметных затрат.

«Сложнее количественно оценить, если случится что-то плохое, но если вы сможете количественно оценить все это, то вы сможете понять ценность имеющихся средств контроля и то, на что вам нужно сосредоточиться и инвестировать. Вы можете определить, в какие средства управления следует инвестировать, и затем экстраполировать прибыль. Это экономическая сторона этого [работы по количественной оценке]», - говорит Гелинн.

«Рассмотрите ценность этого подхода для компаний, рассматривающих возможность слияния или поглощения», - говорит он. Директор по информационной безопасности может выступать в качестве полноправного партнера в стратегии компании, применяя показатели предлагаемой деятельности по слияниям и поглощениям и предоставляя данные о том, какие риски представляет сделка для компании и сколько будет стоить снижение этих рисков. Такие показатели безопасности могут информировать и формировать как переговоры, так и сделку в целом.

Гелинн добавляет: «Речь идет о том, чтобы понять, куда вложить инвестиции, где они наиболее важны. Это величайшая ценность, которую мы видим в количественной оценке риска, потому что она основана на реальных показателях и поддается защите, и даже там, где у вас нет данных, у вас могут быть [разумные] предположения».

Адаптация решений по данным

Поскольку показатели должны соответствовать индивидуальным потребностям предприятия, эксперты говорят, что директора по информационным технологиям должны учитывать, что им нужно измерять, какие данные им понадобятся для расчетов и как они будут использовать эту информацию для принятия решений.

Эти показатели должны быть прозрачными и, следовательно, понятными для всех заинтересованных сторон, отмечает Гелинн.

Он сказал, что они также должны решить, что волнует организацию: совет директоров хочет знать, инвестирует ли компания в правильные средства безопасности для защиты организации, финансовый директор хочет знать, есть ли адекватное страхование от киберпространства, а директор по рискам хочет чтобы увидеть снижение риска с течением времени.

Некоторые руководители по информационной безопасности успешно разрабатывают метрики для таких областей, как снижение риска программ-вымогателей и операционная отказоустойчивость, опираясь на структуру NIST, чтобы определить, какие данные собирать и использовать для расчетов, и как эти цифры могут показать улучшения (или, если так, снижение) с течением времени. говорят эксперты.

Некоторые лидеры в области безопасности также используют структуры NIST или MITER как способ измерения зрелости и постановки целей по достижению большей зрелости; они также используют эти оценки для сравнения с другими.

«Мы считаем их очень эффективными, потому что они дают директорам по информационной безопасности основу и дорожную карту, согласно которой они должны двигаться, - говорит Дэйв Кронин, вице-президент и руководитель отдела кибер-стратегии Capgemini Americas. - Это доказывает, что ваши средства контроля работают, и это показывает эффективность для совета директоров».