Cum postul precedent doar a zgîndărit lucrurile, să mai facem un salt. ….Anul trecut citeam într-o evaluare de riscuri despre avalanşe în mijlocul Braşovului……Cireaşa de pe tort a fost însă evaluarea riscului legat de inginerie socială…..Cum poţi să evaluezi care este probabilitatea ca cineva să folosească aşa ceva pentru a obţine acces în sistem, în condiţiile în care nu ai nici cea mai mică informaţie istorică? Eu unul nu ştiu…..
Voi repeta unele lucruri deja scrise. Atunci cind avem date istorice despre evenimentele din organizatie putem folosi aceste frecvenţe relative pentru a obţine probabilităţi. În lipsa datelor istorice, empirice, intervine subiectivismul, ca să nu spun ghiceala. În ambele cazuri însă, vom dori să obţinem o apropiere de realitate. O estimare.
Este greşit să folosim valori punctuale în loc de distribuţii în evaluarea riscurilor securităţii. Este ca şi cum am fi profeţi şi am avea date certe despre viitor. Singurul lucru cert, existent înainte ca ameninţarea să devină realitate, este INCERTITUDINEA! Nu sistemul pentru care estimăm riscurile se va comporta aşa după cum dorim noi! Dincolo de ce este scris în cărţi, în realitate facem o estimare a incertitudinilor şi o analiză!
Atît metodele calitative cît şi cele cantitative au limitări practice. Fără a intra în detalii teoretice, cea mai folosită formulă cantitativă este:
Annualized Loss Expectancy (ALE) = Single Loss Expectancy (SLE) * Annual Rate of Occurence (ARO)
Adică suma pierderilor directe şi indirecte în urma unei ameninţări şi probabilitatea de apariţie. Pentru un an calendaristic. De ce? Pentru ca evidenţele contabile sînt anuale!
Dacă ne ducem către modele calitative…tot peste probabilităţi vom da. Cine decide intervalele astfel încît să avem o diferenţiere cît mai clară a ceea ce este considerat risc important: 0-25, 25-50…. sau 0-20 sau 0-33? Cum poţi să faci o analiză cost-beneficiu dacă nu există exprimare monetară? Doar în baza unor elemente calitative? Cum justifici controalele selectate în faţa managmentului? Spunînd că pierderea este “mare”?
Deşi sînt greu de folosit şi consumatoare de timp, modelele cantitative sînt de dorit! Metoda Monte Carlo pomenintă în postul precedent, ca instrument de analiză şi suport decizional (şi nu de evaluare!), generează valori pentru o variabilă probabilistică în intervalul 0-1 şi ia în calcul funcţia de distribuţie cumulativă. Teoria spune că numerele din intervalul 0-1 sînt uniform distribuite. Greutatea în utilizarea metodei este dată de proiectarea modelului pe care vrem să îl folosim.
Orice ameninţare la adresa securităţii unui sistem informaţional poate avea două stări: succes sau eşec. În aceste condiţii se spune că probabilitatea acesteia va avea o distribuţie binomială. Pentru a putea aplica da capo a fine metoda Monte Carlo trebuie să calculăm atît probabilităţile cît şi funcţia de distribuţie.
Un exemplu
Ameninţarea luată în calcul este un atac de tip brute force. Variabila probabilistă este numărul de atacuri. Dar ajungem la o primă problemă. Dacă presupunem că în decursul unui an s-au înregistrat 10 astfel de atacuri, nereuşite, care este probabilitatea ca în anul viitor să se înregistreze atacuri reuşite?
Prin urmare, distribuţia de probabilitate este binomială deoarece un atac poate fi reuşit sau eşuat, iar atacurile sînt independente unele faţă de altele (aici am forţat puţin nota deoarece independenţa este greu de stabilit). Metodele evoluează, tehnologia evoluează.
Alte calcule? Formulele statistice din Excel, add-on –uri etc….Nu ştiu dacă are sens să reinventez roata….
Oare e clar ?
Daca probabilitatea de aparitie a unui incident este o data la zece ani, atunci ALE este 1/10 din SLE. Iar SLE este pierderea cauzata de un incident.
ApreciazăApreciază
Nu știu cît este de clar pentru alții….Nici măcar nu știu dacă reușesc să lămuresc lucrurile. Doar încerc…..
Mă interesează însă ca, în practică, să lucrăm corect, dincolo de a avea niște „hîrtii” cerute de unii sau alţii. Pentru că în funcție de estimarea asta se vor investi niște bani!
Repet: pe baza informaţiilor din trecut trebuie calculată distribuţia de probabilitate nu doar probabilitatea. În caz contrar calculele sînt lipsite de fundament!
Ca să exemplific voi lua cazul întreruperii serviciilor (asta şi pentru că „ţi-ai vîndut sufletul” cui ţi l-ai vîndut :)). Este situaţia cea mai dificilă pentru calcul de riscuri. Pentru că pierderea este acum direct proporţională cu timpul/momentul de manifestare. În acest caz particular ar trebui să definim un set standard de durate de întrerupere posibile: 5 minute, 15 minute, 30 minute, 1 oră, 2 ore, 1 lună, 2 luni, 4 luni, 6 luni…..Depinde! Depinde de contextul organizației!
Pentru fiecare ameninţare ar trebui să identificăm procentul/probabilitatea apariţiilor care vor conduce la întrerupere, pentru fiecare durată identificată anterior. Unele ameninţări (întreruperea energiei electrice, de ex.) pot avea efecte minime.
Estimăm pierderea potenţială datorată întreruperilor pentru fiecare funcţie şi pentru fiecare durată.
Calculul trebuie să pornească de la faptul că apariţia unei ameninţări nu are un orar de funcţionare!!!! Altfel spus nu se suprapune pe intervalul în care trebuie îndeplinită funcţia respectivă.
ApreciazăApreciază
Adi, pentru ca ai aruncat migea la fileu (asta cu serviciile), o sa o „plesnesc”. Pierderea e directa proportionala cu momentul de manifestare – tu ai spus. Ai vazut tu vreun contract care sa specifice daune mai mari in momentele de inchidere de luna, sau daune mai mici in perioada pranzului cand toti sunt la masa ? Exemplele pot continua. Nu zic ca nu exista, poate sunt. Dar pana nu vad, nu cred.
Din tot ce am vazut pana acum, lucrurile sunt cam standard : serviciul disponibil 24 x 7 , 98% uptime…s.a.m.d. Daca dai peste unii care ofera granularitate, si fac analize de riscuri pe o numita perioada de impact, sa-mi zici si mie. Ma astept ca daca fac astfel de analize, cineva sa alinieze si contractul de servicii cu asta …
ApreciazăApreciază
Nu, nu am văzut. Şi nici nu cred că voi avea ocazia să văd prea curînd. Cred însă că, în momentul în care se va constata că întreruperea a generat pierderi mai mari decît ceea ce a fost estimat, se vor alinia şi prevederile contractuale. Se va învăţa din greşeli.
Discuţia comportă două perspective: a furnizorului şi a clientului. Din experienţa mea, la nivelul furnizorului cunoştinţele sînt mai avansate decît la nivelul clientului.
Ceea ce încerc eu să spun: evaluarea riscurilor trebuie făcută pentru a obţine beneficii financiare şi nu doar pentru a se asigura conformitatea cu o cerinţă sau alta. Evaluarea riscurilor este şi trebuie să fie responsabilitatea celor din business şi nu a IT-ului. Şi nu trebuie realizată de un singur om.
Preluarea unor informaţii din cărţi/frameworkuri fără corespondenţă în contextul organizaţiilor este doar pieredere de timp. Procesele, indiferent că sînt economice sau naturale, sînt ireversibile.
ApreciazăApreciază
Pingback: 2010 in review «