📚 Hub Books: Онлайн-чтение книгРазная литератураКак оценить риски в кибербезопасности. Лучшие инструменты и практики - Ричард Сирсен

Как оценить риски в кибербезопасности. Лучшие инструменты и практики - Ричард Сирсен

Шрифт:

-
+

Интервал:

-
+
1 ... 28 29 30 31 32 33 34 35 36 ... 92
Перейти на страницу:
G. MacGregor and J. Scott Armstrong, “Judgmental Decomposition: When Does It Work?” International Journal of Forecasting 10, no. 4 (1994): 495–506.

31. Paul Meehl, “Causes and Effects of My Disturbing Little Book,” Journal of Personality Assessment 50 (1986): 370–375.

32. Michael Burns and Judea Pearl, “Causal and Diagnostic Inferences: A Comparison of Validity,” Organizational Behavior and Human Performance 28, no. 3 (1981): 379–394.

Глава 5. Матрицы риска, факторы лжи, заблуждения и другие препятствия, мешающие измерению риска

Наша конечная цель – постараться подтолкнуть сферу кибербезопасности к более активному применению количественных методов оценки рисков. В предыдущих главах было показано, что существует несколько методов, которые одновременно практичны (авторы применяли их в реальных ситуациях в области кибербезопасности) и заметно повышают эффективность оценки рисков, что доказано. Нами был предложен очень простой метод «один на один», основанный на замене компонентов матрицы рисков. Любой человек, обладающий техническими навыками для работы в сфере кибербезопасности, безусловно, владеет необходимыми умениями для реализации этого решения. Ознакомившись с основами, аналитик сможет построить свою работу на этом фундаменте с помощью методов, описанных в последующих главах.

Однако, несмотря на представленные ранее доказательства, многие из наших концепций, скорее всего, встретят сопротивление. Будут и священные коровы, и красные селедки, и черные лебеди, и прочие метафоры на зоологическую тематику, связанные с аргументами против использования количественных методов. Поэтому в данной главе нами будут рассмотрены все возражения, и стоит предупредить заранее, что это будет утомительно. Глава длинная, и не раз может казаться, что чему-то уделяется больше внимания, чем следовало бы. И все же необходимо разобрать по порядку каждый аргумент и подробно изложить наши доводы, сделав их настолько несокрушимыми, насколько позволят доказательства.

Изучение местности: опрос специалистов в области кибербезопасности

Готовясь к рассмотрению такого объемного вопроса, нам хотелось больше узнать о квалификации специалистов по кибербезопасности и их мнении по многим вопросам, которые мы затрагиваем. Нас интересовала степень принятия ими существующих подходов и общее впечатление о количественных методах. Поэтому мы попросили 171 специалиста в области кибербезопасности с разной квалификацией и из различных отраслей ответить на несколько вопросов о статистике и применении количественных методов в кибербезопасности. Участники опроса были набраны из ряда организаций, связанных с информационной безопасностью, в том числе из Общества по оценке информационных рисков (Society for Information Risk Assessment, SIRA), Ассоциации аудита и контроля информационных систем (Information Systems Audit and Control Association, ISACA) и трех крупнейших дискуссионных групп в социальной сети LinkedIn. В общей сложности было 63 вопроса, охватывающих биографические сведения участников, информацию об их организациях и нарушениях, с которыми им приходилось сталкиваться. Также имелись вопросы, связанные с использованием количественных методов в кибербезопасности, и опросник для определения степени их грамотности в области статистики.

Один из разделов, названный нами «Отношение к количественным методам» и содержавший 18 вопросов, помог определить, поддерживали ли специалисты по кибербезопасности применение подобных методов или относились к ним скептически. В рамках этого раздела выделялось еще как бы две подгруппы. Некоторые пункты опросов (семь, если точнее) были сформулированы с явно «антиколичественным» уклоном, например: «Информационная безопасность слишком сложна, чтобы создавать в ней модели с помощью количественных методов». Такие пункты позволяли гораздо четче обозначать сторонников и противников количественных методов. Другие пункты касались мнений, которые не были явно «антиколичественными», но указывали на признание ценности неколичественных методов, например: «Порядковые шкалы помогают выработать консенсус для определения дальнейших действий». В табл. 5.1 приведено несколько примеров из каждой подгруппы вопросов раздела «Отношение к количественным методам».

Нас порадовало, что большинство специалистов, работающих в сфере кибербезопасности (86 %), в целом принимали количественные методы, основанные на вероятностных моделях, т. е. их ответы на большинство вопросов, касающихся мнения о количественных методах, выражали поддержку этих методов. Например, большинство (75 %) согласились с утверждением, что «в кибербезопасности рано или поздно придется принять более сложный вероятностный подход, основанный на актуарных методах, тем, кто этого еще не сделал».

Таблица 5.1. Выборочные примеры вопросов об отношении к количественным методам

Однако только 32 % опрошенных всегда поддерживали количественные методы (т. е. 68 % не согласились с некоторыми утверждениями, где предпочтение отдавалось количественным, а не более мягким методам). Даже те, кто поддержал количественные методы, отметили, что следует продолжать применять более мягкие методы. Например, 64 % согласились с утверждением «широко используемые порядковые шкалы помогают выработать консенсус для определения дальнейших действий», но 61 % заявили, что используют матрицы рисков. Есть пусть и небольшое, но важное меньшинство (8,3 %), настроенное против количественных методов. Это вызывает беспокойство, поскольку подобные убежденные меньшинства способны как минимум замедлить внедрение количественных методов (авторам доводилось наблюдать несколько таких случаев). И даже большинство, в целом принимающее количественные методы, может не спешить внедрять более эффективные методы лишь из-за опасений, что замена кажется слишком сложной, или потому, что считают существующие методы оптимальными, несмотря на их недостатки.

Конечно, любой опрос, участие в котором добровольное, не защищен от систематической ошибки выборки, однако нельзя знать наверняка, будет ли тогда смещение больше в сторону поддержки или неприятия количественных методов. В любом случае уровень принятия количественных методов оказался достаточно высоким относительно наших ожиданий. Некоторые читатели могут поставить под сомнение методы, размер выборки и прочие аспекты, но далее мы обсудим статистическое значение и рассмотрим уровень научной квалификации сотрудников Hubbard Decision Research, проводивших анализ результатов.

Если вы сомневаетесь, что при оценке рисков кибербезопасности следует использовать больше количественных методов, посмотрите, будут ли обсуждаться в этой главе смущающие вас моменты, и изучите контраргументы. Если вы уже являетесь поклонником количественных методов и мы зря вас убеждаем, все равно прочитайте главу, чтобы иметь возможность более грамотно отвечать на возражения, когда с ними столкнетесь.

На первый взгляд, аргументы против использования количественных методов многочисленны и разнообразны, но, по нашему мнению, все они сводятся к нескольким основным типам заблуждений. Начнем с изучения набора методов, наиболее популярных в настоящее

1 ... 28 29 30 31 32 33 34 35 36 ... 92
Перейти на страницу:

Комментарии

Обратите внимание, что комментарий должен быть не короче 20 символов. Покажите уважение к себе и другим пользователям!

Никто еще не прокомментировал. Хотите быть первым, кто выскажется?