ארכיון עבור ינואר, 2015

09
ינו
15

ניהול סיכונים וכימות הנזק

נוהגים לומר שניהול נכון של אבטחת מידע מחייב ניהול סיכונים אשר מאפשר להעריך האם יישום של בקרה מסוימת מצדיק את העלות אל מול התועלת הצפויה. זה נכון לכל דיסציפלינה ולא רק לאבטחת מידע.
את עלות יישום הבקרה קל יחסית לאמוד. בד"כ ישנה עלות הקשורה ברכש חומרה, תוכנה או רשיונות, וישנה עלות כח אדם ליישום הפתרון (ועוד מרכיבים חשבונאיים כמו פחת, תחזוקה שנתית, שטחי אחסון וכדומה).
לעומת זאת, את מידת הסיכון לארגון קשה מאוד להעריך. את הערכת הסיכון ניתן בגסות לחלק לשני מרכיבים. הנזק לארגון כתוצאה מזליגת מידע, אובדן זמינות או פגיעה באמינות הנתונים (CIA), שאמור להיות מתורגם לנזק כספי זה המרכיב הראשון. המרכיב השני זו ההסתברות שאירוע כזה יתרחש. מדובר בשני רכיבים שאין בשבילם נוסחה מתמטית שתנבא אותם. במקרה הטוב, מנהל כלשהו יעריך בצורה גסה את עוצמת הנזק ובמקרה הרע זה יישאר כהערכה איכותית ולא כמותית. גם את ההסתברות לא ניתן להעריך, ובפרט כאשר ההסתברות עשויה להשתנות כל הזמן כיוון שכלי הפריצה הממוכנים הולכים ומשתכללים כל הזמן.
מה בכל זאת ניתן לעשות כדי לקחת את ההערכות הגסות האלה רמה אחת יותר גבוהה (אבל עדיין לא מספקת)? התשובה היא לא הרבה. אפשרות אחת היא לחפש פרסומים על אירועים דומים המציינים מה היה גובה הנזק לארגון. למשל, כמה עלה לחברה מסוימת גניבת X מספרי כרטיסי אשראי ומכאן לגזור הערכה מעט יותר מושכלת לארגון. דוגמא נוספת, מה היו אובדן ההכנסות לחברה אחרת מכך שאתר האינטרנט שלהם הושחת או לא היה זמין.
אפשרות נוספת היא לחפש מחשבונים. אומנם בד"כ המחשבונים מותאמים יותר לשוק האמריקאי שם, כנראה, ההוצאות המשפטיות גבוהות יותר, אבל זו נקודת התחלה טובה. נתקלתי במחשבון נחמד של חברת Synantec ומכון The Ponemon Institute בלינק הזה. שחקו עם הפרמטרים השונים ונסו להתאים את התוצאות לארגון שלכם ותדביקו אותם לסיכונים השונים שלכם כך שבפעם הבאה תציגו הערכה ראשונית של נזק לכל סיכון. מול הערכות מספריות, יהיה למנהל הכספים או למנהל ה – IT יותר קשה להתווכח על הצורך בהוצאות הקשורות באבטחת מידע.

מודעות פרסומת



ינואר 2015
א ב ג ד ה ו ש
« אוק   פבר »
 123
45678910
11121314151617
18192021222324
25262728293031
מודעות פרסומת