it-swarm-es.com

¿Cómo calcula los costos de una brecha de seguridad?

Soy estudiante y soy bastante nuevo en el campo de la seguridad informática. La mayoría de los artículos y libros dicen que solo debe parchear una vulnerabilidad si los costos de una infracción son más altos que los costos de parchear la vulnerabilidad. Sin embargo, no puedo encontrar ninguna explicación que pueda darme al menos algunos conocimientos y habilidades básicos sobre este tema.

  • ¿Cómo calcula los costos de una brecha de seguridad?
  • ¿Cómo calcula los costos de parchear una vulnerabilidad?
14
StupidOne

Como profesional de la seguridad, a menudo es mejor "subcontratar" este cálculo a la empresa. Por ejemplo, si identifica una vulnerabilidad que puede demostrar que es fácil de explotar por un atacante no calificado para destruir la base de datos del cliente, y el equipo de operaciones estima que recuperarla de las copias de seguridad tomará 4 horas, incluidas las verificaciones, pregúntele al propietario de la empresa qué es eso. significará para ellos en términos de costo o impacto.

La empresa debe tener una visión de los costos indirectos creados por los clientes que evitan a la empresa, y un anuncio quejándose para restaurar la confianza.

Una vez que le han dicho el costo, su lado, ayudar a definir la protección, es mucho más fácil, como dijo @growse.

Sin embargo, la ecuación generalmente no funciona de forma uno a uno. Pensaría que si el costo de la infracción es más alto que el costo de reparar, entonces realice el trabajo para solucionarlo, pero más comúnmente vemos que es más como si el costo de la infracción es más de 10 veces el costo de reparar y luego remediar.

10
Rory Alsop

Creo que para responder a esta pregunta, debe tener un conocimiento sólido del valor de los activos que está tratando de proteger. Si pensamos que la seguridad de la información proporciona confidencialidad, integridad y disponibilidad (CIA), también podemos intentar determinar el costo para la organización si estas garantías se ven socavadas.

C : Dado el valor de cierta información patentada, utilícela para estimar el costo si se divulgan estos datos.

I: Dado el valor de algunos datos operativos, utilícelo para estimar la posible pérdida o interrupción de las operaciones si estos datos se modifican maliciosamente (o accidentalmente) sin ser detectados durante algún tiempo.

A: Dados los ingresos generados por un servicio (por ejemplo, un sitio web de comercio electrónico), o la productividad habilitada por un sistema (por ejemplo, un sistema de correo electrónico interno), utilícelo para estimar qué pérdida financiera ocurriría si el servicio o sistema iba a dejar de funcionar durante un período de tiempo determinado. Es útil tener una idea de cuánto tiempo es probable que dure una interrupción del servicio antes de ser identificada y corregida.

Como han mencionado otros, recomendaría involucrar a los propietarios de datos y servicios en su negocio para ayudar a calcular mejores estimaciones de valor. No solo sus resultados serán más precisos y tendrán más significado, sino que también aumentará la participación de la administración en el proceso.

8
Eugene Kogan

En resumen, no es fácil.

Prácticamente todas las decisiones de seguridad de TI deben tomarse en el contexto de lo que la "empresa" está tratando de hacer (cuando digo "empresa", me refiero a "personas que pagan por el sistema y ganan dinero con él", normalmente una empresa).

Para estimar el costo de un incidente, debe sopesar todos los costos relacionados con la recuperación del sistema para que vuelva a funcionar como de costumbre. Si su base de datos de clientes completa es robada y luego borrada, puede haber costos significativos en tiempo de inactividad, multas reglamentarias (si su gobierno no cree que estaba protegiendo los datos correctamente), pérdida de negocios debido a la reputación del cliente, etc. Obviamente, costos por diferentes incidentes pueden variar enormemente.

El costo de mitigar una vulnerabilidad suele ser más fácil de resolver, es solo la cantidad de cosas que tiene que comprar + la cantidad de tiempo que le lleva hacer cumplir el control y ejecutar el proceso. Si necesita contratar a una persona adicional a tiempo completo para trabajar en un control en particular (por ejemplo, IDS), ese es un costo bastante significativo y puede que no valga la pena el gasto en comparación con el incidente probable que podría suceder si no implementó el control.

Con suerte, eso tiene algún sentido.

5
growse

Como preguntas anteriores hemos tocado periféricamente, existen muchos marcos formales para la gestión de riesgos, de los cuales la estimación de costos es una parte importante. Sin embargo, fundamentalmente, una violación de la seguridad será un costo comercial más que un costo de TI. Los propietarios de los datos que se destruyen, comprometen o se vuelven inaccesibles temporalmente tendrán que tener una gran cantidad de información en su estimación de costos. Esa parte del costo generalmente eclipsa la parte de "reinstalar el sistema operativo del servidor, reparar el agujero por el que se metieron".

4
user502