Kwantyfikacja ryzyka cybernetycznego

Kwantyfikacja ryzyka cybernetycznego obejmuje zastosowanie technik kwantyfikacji ryzyka do ryzyka cyberbezpieczeństwa organizacji. Kwantyfikacja ryzyka cybernetycznego to proces oceny zidentyfikowanych zagrożeń cybernetycznych, a następnie weryfikowania, mierzenia i analizowania dostępnych danych cybernetycznych przy użyciu technik modelowania matematycznego w celu dokładnego przedstawienia środowiska cyberbezpieczeństwa organizacji w sposób, który można wykorzystać do świadomych inwestycji w infrastrukturę cyberbezpieczeństwa i decyzji o przeniesieniu ryzyka. Kwantyfikacja ryzyka cybernetycznego jest działaniem wspierającym zarządzanie ryzykiem cybernetycznym; zarządzanie ryzykiem cybernetycznym jest elementem zarządzania ryzykiem korporacyjnym i jest szczególnie ważne w organizacjach i przedsiębiorstwach, które są w dużym stopniu zależne od swoich informatycznych (IT) w swojej działalności biznesowej.

Jedną z metod kwantyfikacji ryzyka cybernetycznego jest metoda wartości zagrożonej (VaR), która została omówiona na spotkaniu Światowego Forum Ekonomicznego w styczniu 2015 r . Na tym spotkaniu zbadano i zbadano VaR i uznano, że jest to realna metoda ilościowego określania ryzyka cybernetycznego.

Dobrze znana struktura do kwantyfikacji ryzyka cybernetycznego nosi nazwę FAIR ^TM ( Analiza czynnikowa ryzyka informacyjnego ). FAIR Institute to profesjonalna organizacja non-profit, której celem jest wspieranie nauki w zakresie pomiaru i zarządzania ryzykiem cybernetycznym i operacyjnym.

Kwantyfikacja ryzyka cybernetycznego może być zautomatyzowanym lub wspieranym przez oprogramowanie procesem, umożliwiającym Użytkownikom tworzenie modeli matematycznych do ilościowego określania ryzyka cybernetycznego. Kwantyfikacja ryzyka cybernetycznego zyskała większą uwagę w 2022 r., kiedy analitycy Forrester zaczęli badać tę przestrzeń. Ich ostatni raport, The Emerging Cyber Risk Quantification Market: When CISOs Need Decisions, Not More Dashboards, podkreśla model FAIR, a także nowe podmioty w tej przestrzeni, które przyjmują różne podejścia. Jednym z takich dostawców jest Axio Global , który zebrał 23 miliony dolarów, aby pomóc firmom oszacować ryzyko cybernetyczne.

Praktyczne wdrożenia

Kwantyfikacja ryzyka cybernetycznego została wykorzystana w różnych praktycznych zastosowaniach, w tym:

Ubezpieczenie cybernetyczne
Zwrot z inwestycji w cyberbezpieczeństwo
Koszty ograniczenia oprogramowania

Definicja matematyczna

Matematyczna definicja cyberryzyka jest następująca:

Cyber-Ryzyko = 1 - Cyber-Pewność siebie

„Cyber-Confidence” to/są faktycznie przeprowadzone testy, które przeszły pomyślnie. Tę wartość można przeliczyć na prawdopodobieństwo statystyczne i obliczyć powiązane ryzyko cybernetyczne:

Przykład 1: Wykonano i zdano „pewną liczbę” testów. Wyobraźmy sobie, że daje to pewność braku wad na poziomie 97,43%. Odpowiedź: Cyber-Ryzyko = 2,57%.
Przykład 2: Potwierdzono, że wszystkie 65 536 portów TCP i 65 536 portów UDP są nieaktywne lub nieaktywne w zasobie; jak odporny jest na penetrację? Odpowiedź: Cyber-pewność = 99,83%, Cyber-ryzyko = 0,17%

Zazwyczaj ta forma szacowania Cyber-Pewności i/lub Cyber-Ryzyka jest określana jako Testimation , ponieważ:

Można go zastosować do oszacowania liczby testów wymaganych dla dowolnego pożądanego poziomu bezpieczeństwa cybernetycznego
Można go zastosować do oszacowania Cyber-Pewności (i Cyber-Ryzyka) na podstawie liczby testów, które zostały faktycznie wykonane i zdane

Zobacz też

^ „Nowe ramy pomagające firmom w obliczaniu ryzyka cyberataków” . Zarchiwizowane od oryginału w dniu 28 września 2016 r.
^ „Instytut Targów” .
^ „Metodologia rankingu cyberzagrożeń: włączenie ram bezpieczeństwa cybernetycznego NIST do modelu FAIR” . ProQuest . Zarchiwizowane od oryginału w dniu 26 października 2021 r.
^ „Inauguracyjne wirtualne spotkanie FAIR Institute / ISACA Sydney Chapter” .
^ „Korzystanie z CSF FAIR i NIST do zarządzania ryzykiem bezpieczeństwa” .
^ „Wschodzący rynek kwantyfikacji ryzyka cybernetycznego: kiedy CISO potrzebują decyzji, a nie więcej pulpitów nawigacyjnych” . 31 stycznia 2022 r.
^ „Axio przekazuje 23 miliony dolarów, aby pomóc firmom w oszacowaniu ryzyka cybernetycznego” . 4 sierpnia 2022 r.
^ Orlando, Albina (2021). „Kwantyfikacja ryzyka cybernetycznego: badanie roli zagrożonej wartości cybernetycznej” . Ryzyka . 9 (10): 184. doi : 10.3390/risks9100184 .
^ Alsaleh, Mohammed Noraden; Husari, Ghaith; Al-Shaer, Ehab (2016). „Optymalizacja zwrotu z inwestycji w ograniczanie ryzyka cybernetycznego” . 2016 12. międzynarodowa konferencja na temat zarządzania siecią i usługami (CNSM) : 223–227. doi : 10.1109/CNSM.2016.7818421 . S2CID 16037703 .
^ Alsaleh, Mohammed Noraden; Al-Shaer, Ehab; Husari, Ghaith (2017). „Ograniczanie ryzyka cybernetycznego na podstawie zwrotu z inwestycji przy użyciu zgodności hosta i konfiguracji sieci” . Dziennik zarządzania siecią i systemami . 25 (4): 759–783. doi : 10.1007/s10922-017-9428-x . S2CID 20994581 .
^ Radanliew, Petar; De Roure, David Charles; Nicolescu, Razwan; Huth, Michael; Montalvo, Rafael Mantilla; Cannady, Stacy; Burnap, Peter (2018). „Przyszłe zmiany w ocenie ryzyka cybernetycznego dla Internetu rzeczy” . Komputery w przemyśle . 102 : 14–22. ar Xiv : 1809.05229 . doi : 10.1016/j.compind.2018.08.002 . S2CID 52086955 . {{ cite journal }} : CS1 maint: stan adresu URL ( link )
^ De Corniere, Aleksandr; Taylor, Greg (sierpień 2021). „Model bezpieczeństwa informacji i konkurencji” . SSRN 3928754 . Zarchiwizowane od oryginału w dniu 26 października 2021 r.

Linki zewnętrzne

Światowe Forum Ekonomiczne: Partnerstwo na rzecz cyberodporności – w kierunku kwantyfikacji cyberzagrożeń

[1] „Nowe ramy pomagające firmom w obliczaniu ryzyka cyberataków” . Zarchiwizowane od oryginału w dniu 28 września 2016 r.

[2] „Instytut Targów” .

[3] „Metodologia rankingu cyberzagrożeń: włączenie ram bezpieczeństwa cybernetycznego NIST do modelu FAIR” . ProQuest . Zarchiwizowane od oryginału w dniu 26 października 2021 r.

[4] „Inauguracyjne wirtualne spotkanie FAIR Institute / ISACA Sydney Chapter” .

[5] „Korzystanie z CSF FAIR i NIST do zarządzania ryzykiem bezpieczeństwa” .

[6] „Wschodzący rynek kwantyfikacji ryzyka cybernetycznego: kiedy CISO potrzebują decyzji, a nie więcej pulpitów nawigacyjnych” . 31 stycznia 2022 r.

[7] „Axio przekazuje 23 miliony dolarów, aby pomóc firmom w oszacowaniu ryzyka cybernetycznego” . 4 sierpnia 2022 r.

[8] Orlando, Albina (2021). „Kwantyfikacja ryzyka cybernetycznego: badanie roli zagrożonej wartości cybernetycznej” . Ryzyka . 9 (10): 184. doi : 10.3390/risks9100184 .

[9] Alsaleh, Mohammed Noraden; Husari, Ghaith; Al-Shaer, Ehab (2016). „Optymalizacja zwrotu z inwestycji w ograniczanie ryzyka cybernetycznego” . 2016 12. międzynarodowa konferencja na temat zarządzania siecią i usługami (CNSM) : 223–227. doi : 10.1109/CNSM.2016.7818421 . S2CID 16037703 .

[10] Alsaleh, Mohammed Noraden; Al-Shaer, Ehab; Husari, Ghaith (2017). „Ograniczanie ryzyka cybernetycznego na podstawie zwrotu z inwestycji przy użyciu zgodności hosta i konfiguracji sieci” . Dziennik zarządzania siecią i systemami . 25 (4): 759–783. doi : 10.1007/s10922-017-9428-x . S2CID 20994581 .

[11] Radanliew, Petar; De Roure, David Charles; Nicolescu, Razwan; Huth, Michael; Montalvo, Rafael Mantilla; Cannady, Stacy; Burnap, Peter (2018). „Przyszłe zmiany w ocenie ryzyka cybernetycznego dla Internetu rzeczy” . Komputery w przemyśle . 102 : 14–22. ar Xiv : 1809.05229 . doi : 10.1016/j.compind.2018.08.002 . S2CID 52086955 . {{ cite journal }} : CS1 maint: stan adresu URL ( link )

[12] De Corniere, Aleksandr; Taylor, Greg (sierpień 2021). „Model bezpieczeństwa informacji i konkurencji” . SSRN 3928754 . Zarchiwizowane od oryginału w dniu 26 października 2021 r.