F A I R

Factor Analysis of Information Risk

Factor Analysis of Information Risk (FAIR) je metodika pro kvantitativní (vyjádřena čísly) analýzu rizik. Tato metodika je jediným mezinárodním standardem, která poskytuje model pro porozumění, analýzu a kvantifikaci kybernetických rizik vyjádřených v penězích.

FAIR se skládá z:

  • taxonomie a ontologie (formalizovaný popis) pro informační a operační rizika
  • procesu pro měření, sběr a vyhodnocování dat pro výpočet rizik
  • metodiky pro výpočet rizik
  • ontologie (formalizovaný popis) opatření pro snižování rizik

FAIR umožňuje:

  • sjednocení terminologie pro řízení rizik
  • odůvodnit rozhodnutí pro (ne)přijetí opatření pomocí pokročilého modelu rizik
  • porozumět, jaký vliv budou mít investované peníze a čas  bezpečnostní profil společnosti
  • explicitní správu rizik (pracuje na snížení konkrétních rizik) místo implicitní („slepá“ implementace nějakého standardu/best practise/regulace a očekávání, že dojde ke snížení rizik)

FAIR vytváří základy pro rozvoj robustního přístupu k řízení informačních rizik:

FAIR zapadá také do standardů a frameworků od organizací jako NIST, ISO, OCTAVE, ISACA.

Předepisují potřebu kvantifikovat riziko, ale z velké části nepopisují, jak by se to mělo dělat.

Možnosti využití FAIR


POROVNÁNÍ  ŘEŠENÍ


Situace


V rámci programu zvyšování bezpečnosti společnosti se nabízí několik řešení, které je třeba implementovat - např. IDS (Intrusion Detection System), WAF (Web Application Firewall) a DLP (Data Loss Prevention).

Nicméně není dostatek času a/nebo peněz pro implementaci všech a je nutné vybrat, kde začít. Každý má svého favorita a validní argumenty, proč to jeho řešení má dostat prioritu, ale není jak tato řešení objektivně porovnat.

Řešení


Využitím FAIR dojde k identifikaci největších rizik pro organizaci, před kterými mají tato řešení chránit. Dále dojde k popisu jejich struktury (kdo, proč, kam, jak atd. může zaútočit) a jejich aktuálnímu finančnímu vyčíslení.

Výpočtem rizik před a po nasazení jednotlivých řešení a porovnáním ceny na nasazení a provoz dojde k výpočtu RoSI (Return on Security Investment) pro jednotlivá opatření a výběru toho nejlepšího.

Případně simulacemi nasazení jednotlivých opatření a jejich vlivu na změnu rizika lze najít řešení, které má největší vliv na snižování rizik(a) a to následně vybrat.

VÝBĚR PRODUKTU / SLUŽBY


Situace


V rámci programu zvyšování bezpečnosti společnosti má dojít k nasazení nového produktu, např. DLP.

Na stole je několik nabídek od více dodavatelů. Každý produkt je trochu jiný - cena, funkce, náklady na provoz atd. a chybí způsob, jak tato řešení objektivně porovnat.

Řešení


Využitím FAIR dojde k identifikaci největších rizik pro organizaci, před kterými mají tyto produkty/služby chránit. Dále dojde k popisu jejich struktury (kdo, proč, jak atd. může zaútočit) a jejich aktuálnímu finančnímu vyčíslení.

Výpočtem rizik před a po nasazení jednotlivých produktů/služeb a porovnáním ceny na nasazení a provoz dojde k výpočtu RoSI (Return on Security Investment) pro jednotlivé produkty/služby a výběru toho nejlepšího.

Případně simulacemi nasazení jednotlivých opatření a jejich vlivu na změnu rizika lze najít řešení, které má největší vliv na snižování rizik(a) a to následně vybrat.

Poznámka: ideální by bylo použít FAIR ještě před výběrem konkrétního produktu, protože se může stát, že jiný produkt/služba by poskytly za stejné peníze více bezpečnosti, nebo by lépe pokryly klíčová rizika.

Požadavky regulátorů a certifikačních autorit


Situace


Velké množství standardů, nařízení a zákonů požaduje v rámci implementace provedení analýzy rizik, ale nespecifikuje, ani neposkytuje metodiku, jak ji provést:

  • GDPR
    • např. článek 24, 25, 32
  • ISO OSI 2700x
    • ISO/IEC 27001:2013 6.1.2 Information security risk assessment
    • The organization shall define and apply an information security risk assessment process ...
    • ISO/IEC 27001:2013  8.2 Information security risk assessment
    • The organization shall perform information security risk assessments at planned intervals ...
    • ISO/IEC 27005:2011 8.3 Risk Analysis
  • NISF NSF
    • Risk Assessment (ID.RA): The organization understands the cybersecurity risk to organizational operations (including mission, functions, image, or reputation), organizational assets, and individuals.

Při implementaci tak dochází k vývoji interních metodik, případně najímání externích firem pro jejich vývoj. V horším případě se to “tak nějak odhadne”.

Řešení


Použít FAIR jako metodu pro analýzu rizik - komplexní, hotový model, ihned k dispozici. Navíc výstupy lze využít i v dalších situacích, viz ostatní Možnosti využití.

Komunikace s vedením společnosti


Situace


Karel má na starosti bezpečnost ve společnosti a s obtížemi se snaží se ospravedlnit stále rostoucí rozpočet pro své oddělení. Nemá nástroj, který by mu umožnil efektivně komunikovat s vedením společnosti o současných rizicích, potřebě je řešit a jak navrhovaná opatření rizika snižují a jak to pomáhá podnikání. Často se dostává do “důkazní nouze”, protože jeho plány jsou založeny na zkušenostech jeho týmu, best practices, různých relativně subjektivních hodnoceních apod. a často je nelze podepřít daty. Navíc občas dojde ke zmatení pojmů, když vedení komunikuje s různými lidmi jeho týmu.

Řešení


Využitím FAIR dojde k identifikaci největších rizik pro organizaci, před kterými mají tyto plán/rozpočet/řešení chránit. Dále dojde k popisu jejich strukturu (kdo, proč, jak atd. může zaútočit) a jejich aktuálnímu finančnímu vyčíslení.

Výpočtem rizik pro organizaci před a po nasazení jednotlivých řešení a porovnáním ceny na nasazení a provoz dojde k výpočtu RoSI (Return on Security Investment) pro jednotlivá řešení.

Případně simulacemi nasazení jednotlivých produktů/služeb lze najít řešení, které má největší vliv na snižování rizik(a).

Tyto informace Karel použije při komunikaci s vedením společnosti a při diskuzích o výběru vhodného řešení, případně rozpočtu na tato řešení. Pokud dojde na diskuzi o důvěryhodnosti předkládaných čísel, může se Karel opřít o metodiku a výpočetní modely FAIR a demonstrovat postup prací, který je replikovatelný a v principu relativně jednoduše pochopitelný.

Současně ve svém oddělení Karel sjednotí pojmy tak, aby vedení společnosti dostávalo konzistentní informace při komunikaci se členy jeho týmu.

Komunikace s businessem


Situace


Kybernetická bezpečnost je většinou vnímána jako náklad, který společnosti nepřináší žádný zisk, stěžuje lidem práci a snižuje uživatelský komfort.

Opatření jsou implementována do buď téměř nebo zcela hotových projektů/řešení/služeb, kde pak působí komplikace. Nebo jsou opatření z hlediska firem a organizací implementována nahodile bez pro ně zjevného záměru a strategie.

Komunikace (zdůvodnění opatření) probíhá formou hrůzostrašných historek „co by kdyby“, oni sami ale vidí, že „se nic neděje“. Navíc rizika jsou komunikována formou nic neříkajících semaforů (červené – oranžové – zelené riziko) a mícháním jablek s hruškami. Typicky za riziko je označován cloud – jenže to není riziko, ale technologie a rizika si v tom business musí najít sám.

Řešení


Využitím FAIR dojde k identifikaci největších rizik pro organizaci, před kterými mají tyto plán/rozpočet/řešení chránit. Dále dojde k popisu jejich strukturu (kdo, proč, jak atd. může zaútočit) a jejich aktuálnímu finančnímu vyčíslení.

Výpočtem rizik pro organizaci před a po nasazení jednotlivých řešení a porovnáním ceny na nasazení a provoz dojde k výpočtu RoSI (Return on Security Investment) pro jednotlivá řešení a tím ukázat dlouhodobý přínos vs. krátkodobé náklady a nepohodlí.

Rizika budou jasně navázána na klíčová aktiva a budou reprezentovat potenciální finanční ztrátu.

Pokud dojde na diskuzi o důvěryhodnosti předkládaných čísel a nutnosti zaváděných opatření, je možné se opřít o metodiku a výpočetní modely FAIR a demonstrovat postup prací, který je replikovatelný a v principu relativně jednoduše pochopitelný.

Navíc při sběru dat dojde nevyhnutelně k zapojení businessu do procesu, čímž získají vhled do problematiky a možnost ovlivnit výstupy. To bude mít pozitivní vliv na vnímání případných nových opatření.

Komunikace s kolegy


Situace


Obor kybernetické bezpečnosti se dlouhodobě potýká s nejasným vymezením a definicí základních pojmů. Pokud se v týmu zeptáte na definici rizika 5 lidí, dostanete 5 různých odpovědí. Další faktory, které ovlivňují rozhodování lidí jsou:

  • různorodá zkušenost
  • snaha držet se postupů obvyklých v daném odvětví
  • přístup, že compliance rovná se bezpečnost
  • různorodá odbornost a preference „svých“ technologií
  • setrvačnost a pohodlnost
  • neznalost, chybějící informace

To vše ve finále vede k subjektivnímu přístupu k přínosu jednotlivých řešení a aktuální výši rizika ve společnosti pro jednotlivá aktiva. Pro vzniklé rozpory neexistuje nástroj, který by jednotlivé pohledy na věc rozsoudil a vybral ten nejlepší z hlediska potřeb společnosti.

Řešení


FAIR jednoznačně definuje základní pojmy potřebné pro práci v kybernetické bezpečnosti a současně definuje vztahy mezi nimi. Dále definuje metodiku pro výpočet a měření rizik a pro práci s nedostatečnými či nejasnými daty.

Jednotná metodika pro vyčíslení rizik, společná práce na jejich vyčíslení a nástroje pro vyjasnění si rozdílných názorů a eliminaci nevyřčených („to je přece jasné, že…“) předpokladů zaručí minimalizaci nekonečný zdroj dalších nedorozumění a rychlé dosažení souladu na nejlepším řešení.

Pojištění rizik


Situace


Ve společnosti se řeší, jestli, případně jaké pojištění kybernetických rizik si pořídit. Není jasné, jak velká rizika hrozí klíčovým aktivům a proti čemu by mělo pojištění přesně chránit a jak velké by mělo být plnění. Nejde jen o peníze, ale i o výluky. „Semafory“ (červené – oranžové – zelené riziko) jsou v tomto případě k ničemu.

Je velký rozdíl mezi mít pojištění a být pojištěný!

Řešení


Využitím metodiky FAIR budou identifkována klíčová aktiva, hrozby a výše rizika. Na základě toho bude definováno, jaká aktiva a typ hrozeb musí pojištění krýt a kolik maximálně může stát.

Nabídky od pojišťoven budou porovnány s dalšími alternativami (implementace opatření na snížení rizik, vyhnutí se riziku, akceptace rizika) a bude vybrána ta nejvhodnější.

Oponentura auditům


Situace


Ve společnosti proběhl audit provedený externí společností, která typicky použila vlastní black box metodiku. Auditované bezpečnostní oddělení nesouhlasí s některými nálezy – buď jim přijdou nepodstatné, nebo nahlášené riziko nadsazené. Některá navrhovaná opatření jsou navíc svými náklady v nepoměru s rizikem, které vidí bezpečnostní oddělení. Bez možnosti nějak spočítat rizika a náklady na odstranění dojde na souboj „semaforů“ (červené – oranžové – zelené riziko) a přetlačování autorit.

Vzhledem k ceně za audit, velkému jménu společnosti a potřebě vedení společnosti krýt si záda, budou akceptovány výsledky auditorů a bezpečnostní oddělení se s nimi bude muset vypořádat.

Řešení


Bezpečnostní oddělení použije FAIR pro výpočet rizika pro každý nález, vyčíslí náklady na odstranění/snížení rizika a spočítá reziduální riziko. Tím získá jasné argumenty, pokud nesouhlasí s nálezy, které jsou marginální, případně výpočtem může dokázat, že riziko není tak vysoké, jak popsal auditor.

Současně si může ověřit, zda navrhovaná opatření jsou efektivní a buď je rozporovat zcela, nebo navrhnout alternativní řešení.

Monetizací rizik použitím transparentní metodiky získá oddělení argumenty pro svoje tvrzení a přenese důkazní břemeno na stranu auditorů, kteří můžou pouze rozporovat výpočty. Vedení společnosti si pak může udělat samo závěr z diskuze mezi auditory a zástupci oddělení nad konkrétními čísly.

Data Security Services s.r.o.

Telefon 777 760 580, info@prodsm.cz

Radlická 663/28, 150 00 Praha 5

IČO: 06429246