A análise de risco não recebe a atenção que merece. É a parte do processo de avaliação de riscos em que se fornece todos os resultados importantes – onde os números de cartões de crédito são armazenados, os direitos de acesso das pastas, os resultados dos testes de phishing e o ambiente de ameaças – em um modelo de risco que produz uma medida. É essa medida de risco que os diretores da empresa precisam estar concentrados.
As métricas subjacentes são importantes: a TI precisa conhecer o estado básico de segurança do sistema para executar as ações corretas para reduzir os níveis de risco. Mas a diretoria está mais interessada em saber os valores de possíveis incidentes de segurança.
Os CISOs podem estar pensando que não têm informações suficientes para realizar até mesmo um cálculo de risco básico. Quando, na verdade, há dados mais que suficientes para realizar esse cálculo.
Hubert e Seiersan, no livro How to Measure Anything in Cybersecurity Risk, explicam como aproveitar a sabedoria especializada oculta no departamento de TI. Guiado por algumas estatísticas internas, a equipe de TI pode gerar entradas básicas em um modelo de risco: a taxa ou a probabilidade de uma ameaça e o custo dessa ameaça.
Hubert propõe que a equipe de TI seja desafiada a responder algumas questões sobre os tipos de ameaças e seus custos:
Pergunta: Quantos incidentes ocorreram nos últimos 2 a 3 anos e o tempo que perdemos devido a um ataque cibernético?
Resposta hipotética: Talvez dez incidentes em que tivemos interrupções de serviços reais. Perdemos de uma hora a dois dias.
P: Você pode descreve-los?
R: Alguns foram de negação de serviço, houve alguns ransomwares e outros que não consigo classificar…
P: Você pode especificar o tempo, em intervalo de horas a dias, para cada um deles?
R: Tenho certeza que os piores ataques de ransomware nos derrubaram por um dia inteiro.
Dessa forma, é possível forçar o administrador a detalhar cada subcategoria de ameaça até que possa criar limites inferiores ou superiores, com 90% de segurança, para cada tipo de interrupção.
É possível treinar especialistas para produzir estimativas confiáveis, forçando-os a dar suas opiniões. Hubbard mostra que este teste de calibração (entre outros) é eficaz no desenvolvimento de boas estimativas.
Se você tiver dados de análise de segurança interna, pode fazer estimativas melhores do que esse método de “sabedoria dos especialistas”. No entanto, conhecer apenas os limites de custo ínfero espero, onde a maioria dos dados entra, excluindo a calda, pode ser extremamente poderoso.
Estamos familiarizados com a curva em forma de sino ou normal. Muitos conjuntos de dados, incluindo estatísticas relacionadas à internet, dados de violação, tamanho do sistema de arquivos, não podem ser modelados pela curva normal mais amigável, mas sim por outras curvas de lei de potência mais pesadas.
Para nossa situação é mais fácil trabalhar com lognormal. Hubbard mostra que, se tivermos apenas os limites inferior e superior (que cobre 90% dos dados), podemos adaptar a lognormal sem usar software de ajuste de curva. Precisamos de dois parâmetros, a média e o desvio padrão.
É possível obter uma estimativa da média de uma amostra a partir de uma curva normal somando apenas os menores e maiores números no conjunto e dividindo por dois. Já para estimar o desvio padrão, é preciso ter 90% dos dados, subtrair o menor número do maior e dividir por 3,29. Isso é conhecido como regra do intervalo para o desvio padrão.
Para ajustar nossa curva, tomamos os ln dos pontos superior e inferior e, em seguida, elaboramos os parâmetros usando as duas dicas acima.
Nesta planilha é possível experimentar a abordagem de Hubbard à análise de risco. Há uma planilha para mostrar que os truques de curva lognormal simples funcionam bem. Também há uma simulação simples que gera mil tentativas de ameaças de negação de serviço com base em três subcategorias diferentes, cada uma com diferentes probabilidades de ocorrência.
Previna vazamentos de dados em tempo real com o Varonis DatAlert. Analise automaticamente, detecte atividades suspeitas e previna violações usando uma análise profunda de metadados, aprendizagem automática e avançada Análise do Comportamento do Usuário (UBA).