إدارة المخاطر الكمية باستخدام FAIR – تقييم حجم الخسارة

لقد قطعنا شوطا طويلا في مشاركات المدونة القليلة الماضية ، ولدينا الجزء الثاني من معادلة المخاطر (الأول هو تكرار حدث الخسارة الذي أكدناه في المنشور الأخير) وهو حجم الخسارة في FAIR تصنيف المخاطر.

وهي تتألف مما يلي:

من أجل مناقشتها ، دعنا نحدد بعض المصطلحات أولاً للتأكد من أننا نفهم ما ينطوي عليه كل منها ، ولكن قبل التفكير في الخسائر الأولية والثانوية ، أعتقد أنه من المناسب البدء أولاً بالأشكال الستة للخسائر التي يعتبر إطار العمل.

الأشكال الستة للخسائر في FAIR والتطبيق على السيناريو الخاص بنا

واحد من أجل خسارة هو الإنتاجية. إنه واضح إلى حد ما ، لكنه يمثل انخفاضًا في السعة أو القدرة على الأداء عرض القيمة سواء كان ذلك يوفر سلعة أو خدمات أو أي شكل آخر من أشكال الدخل. هنا يمكنك أيضًا مراعاة التكاليف المتكبدة مع الموظفين ، والتي لا تزال مسؤولاً عنها ، حتى إذا كانت الأنظمة التي يستخدمونها لأداء الخدمة غير متوفرة أو معطلة بشكل كبير. في السيناريو الخاص بنا ، سيكون هذا هو خسارة المبيعات بالنسبة لموظفي مركز الاتصال الذين لم يتمكنوا من تلقي الطلبات في حين أن سطح المكتب الخاص بهم غير متاح بالإضافة إلى تكاليف الموظفين أنفسهم.

شكل آخر من أشكال الخسارة هو الاستجابة. يمكنك هنا مراعاة جميع النفقات المتكبدة في إدارة حدث الخسارة والاستجابة له. هناك الكثير في سيناريو Ransomware ، والذي سيشمل السيناريو الخاص بنا وقتًا إضافيًا من فرق تكنولوجيا المعلومات والأمن التي تتعامل مع الاستجابة ، والدعم الخارجي من فريق Forensics للمساعدة في إدارة الحادث كما تريد عادةً دعم المحترفين المعتادين على التعامل مع هذه المواقف ، فإن التكاليف مع العلاقات العامة وأي قسط تأمين إذا كنت مشمولاً بالتأمين السيبراني الذي يتضمن فقرات لبرامج الفدية.

ثم لدينا خسائر استبدال . تلك التي تتعلق بالمصروفات الرأسمالية المرتبطة باستبدال الأصول المفقودة أو التالفة. في هذا السيناريو ، لا أعتقد أنه سيكون لدينا تكاليف استبدال مرتبطة لأن أسوأ سيناريو سيكون تحسين بيئة التحكم التي تحمي الأصول.

يعد الغرامات والأحكام مصدر قلق كبير آخر للخسارة في المؤسسات. يتعلق هذا بالإجراءات القانونية أو التنظيمية التي قد يتم تقديمها إلى المنظمة. فكر في الناتج المحلي الإجمالي (أو الغرامات التنظيمية الأخرى) أو العملاء في B2B الذين يقدمون مؤسستك إلى المحكمة بسبب خرق الشروط التعاقدية. يتم تغطية تكاليف الدفاع القانوني في إطار الاستجابة بالرغم من ذلك. في هذا السيناريو ، نظرًا لأن المخاطرة تتمثل في إكمال البيانات وعدم توفرها ولكنها لا تشكل خطرًا على حقوق وحريات العملاء ، ولا يقدم Juice Shop خدمات إلى B2B ، فلن نفكر في أي تكاليف غرامات وأحكام .

الميزة التنافسية هي نوع آخر من الخسارة. قد يشمل ذلك العناصر المرتبطة بفقدان المركز التنافسي. قد يشمل ذلك نشر الأسرار التجارية وخطط الاندماج والاستحواذ وما إلى ذلك. في هذا السيناريو ، لن نفكر في أي خسائر في الميزة التنافسية.

وأخيرًا ، خسائر السمعة . ترتبط هذه مع أصحاب المصلحة الخارجيين ، والتي يمكن أن تشمل العملاء والمساهمين على سبيل المثال ، تصور أن عرض القيمة قد تضاءل أو أن العمل مع Juice Shop يمكن أن يمثل مسؤولية تجاههم. قد يعني هذا خسارة حصة السوق ، وانخفاض أسعار الأسهم للشركات المتداولة علنًا أو حتى زيادة تكلفة رأس المال. في السيناريو الخاص بنا ، سننظر في التأثير المتعلق بفقدان حصة السوق ، حيث أن بيع منتجات العصير هو سوق تنافسي للغاية بالنسبة للعملاء

ما يتضح بعد مناقشة نماذج الخسارة هذه ، هو أن خريطتنا الأولية لا تقدم تفاصيل كافية لتحليل هذا السيناريو ، لذلك دعونا نوسعها.

كمرجع ، هكذا بدا السيناريو المعين لدينا ، وسننتقل الآن إلى جانب “بيانات الشركة” حيث أن هذه هي الطريقة التي حددنا بها الأصول التي نقوم بتقييم مخاطرها.

إليك خريطتنا المعدلة للسيناريو ، وإزالة الكثير من المكونات من أجل التركيز على الأصل المعرض للخطر.

يفترض سيناريو “المسار السعيد” لدينا إصابة سطح مكتب واحد فقط ، لذا يبدو على هذا النحو ، مع كون نصف قطر الانفجار الرئيسي هو محركات التعاون:

يفترض “المسار الأقل سعادة” انتشار العدوى الأولية إلى أجهزة سطح المكتب الأخرى في نفس قطاع الشبكة ، ويبدو الأمر على النحو التالي:

يتمثل إجراء التهديد الرئيسي الذي يهمنا في هذا السيناريو في رفض الوصول (التدمير) للفرق المتعددة المحددة للبيانات التي يحتاجون إليها لأداء وظائفهم.

في معرض FAIR ، نحتاج إلى التمييز بين كل من الأساسية و الخسائر الثانوية .

الخسائر الأساسية هي نتيجة مباشرة لإجراءات وكيل التهديد على الأصل قيد التقييم. في هذا السيناريو ، قد يشير ذلك إلى خسارة الإنتاجية الناتجة عن عدم توفر 3 فرق مختلفة الوصول إلى البيانات التي يحتاجونها ، و الاستجابة

الخسائر الثانوية تتعلق بالعواقب المتوقع حدوثها (أي ردود الفعل) عندما يدرك أصحاب المصلحة الآخرون الخسارة الأساسية. إذا كنت تفكر في تصنيف التهديدات أو التهديدات ، فإنها تصبح تهديدات في حد ذاتها (سأكتب عن اعتماد تصنيفات التهديدات في المستقبل). في هذا السيناريو ، سنأخذ في الاعتبار خسائر السمعة فقط.

كما هو الحال مع الأمثلة السابقة ، من أجل تحسين الدقة والطبيعة الكمية لتقييمنا للمخاطر ، سنستخدم مرة أخرى القيم الدنيا والأكثر ترجيحًا والحد الأقصى لكل منها.

لتأكيد خسائر الإنتاجية ، سأفكر في 3 سيناريوهات مختلفة لتتماشى مع القيم الدنيا والأكثر ترجيحًا والقيم القصوى. كل هذا يستثني السيناريو الذي يتم فيه دفع الفدية بالفعل ، حيث سيكون ذلك رقمًا فعليًا يمكن بعد ذلك تقييمه مقابل نتائج هذا التقييم لاتخاذ قرار مدفوع بالأعمال. ضمن تكاليف الفريق ، نقوم بتضمين خسارة الإيرادات المباشرة من عدم إنتاج الفرق.

تأكيد الخسارة الأولية

برامج الفدية لأدنى حسابات السيناريو

برامج الفدية لحسابات السيناريو الأكثر احتمالاً

يمكننا على الأرجح إجراء تقدير جيد ، أنه في حالة إصابة إحدى الأجهزة ، وبما أنها تشترك في نفس الممارسات التشغيلية وإصدارات مكافحة الفيروسات ، فإن بقية مساحة سطح المكتب ستتأثر أيضًا. افتراضات هذا السيناريو هي:

برامج الفدية لحسابات السيناريو الأسوأ

يتمثل الاختلاف الرئيسي بين هذا السيناريو والسيناريو السابق في أننا وجدنا أن هجوم Ransomware استغرق حوالي شهر لتقديم نفسه بالفعل بعد الإصابة الأولية. هناك سلالات من Ransomware منذ 2018 لوحظ أنها تتصرف على هذا النحو (https://www.datto.com/blog/new-strain-of-ransomware-encrypts-backup-data) على هذا النحو ، عندما تحاول مؤسسة Juice Shop لاستعادة البيانات من النسخ الاحتياطية ، وجدوا أيضًا أن الإعلانات المشفرة غير قادرة على استرداد البيانات من النسخة الاحتياطية. هذا من شأنه أن يجعله حدثًا كارثيًا بشكل كبير على المنظمة. افتراضات هذا السيناريو هي:

بوضع هذه السيناريوهات الثلاثة في تداعياتها المالية ، لدينا الجدول التالي:

ملاحظة: كنت أستخدم جدول بيانات OpenFAIR التجريبي لتحليل المخاطر في البداية ، لكنه فشل في السماح بإجراء تغييرات على حسابات حجم الخسارة في Office 365 عبر الإنترنت ، أو التثبيت المحلي لبرنامج Excel على MacOS أو جداول بيانات Google ، لذلك توقفت عن المحاولة. بدلاً من ذلك ، ستكون النتائج أدناه ناتجة عن استخدام حاوية Docker في TidyRisk.org لإجراء بعض العمليات الحسابية.

على غرار جدول البيانات ، يحتاج محلل المخاطر إلى إضافة التفاصيل التي نقلتها من الأساس المنطقي أعلاه بالإضافة إلى عدد عمليات المحاكاة التي نرغب في القيام بها (اخترت 100.000)

كانت النتائج ممتعة للغاية.



نظرًا لمستوى الضوابط في البيئة ، والتي ليست رائعة وتقدم استجابة كبيرة وتكلفة استرداد ، فإننا نتطلع إلى ما يقرب من 500 ألف جنيه إسترليني للقيمة المعرضة للخطر. الأمر المثير للاهتمام بشكل خاص هو أنه من بين كل تلك الأحداث المحاكية ، وبالنظر إلى الضوابط في البيئة ، فإن خطر التعرض لحدث الخسارة يكاد يكون عبارة عن عملة رمزية بنسبة 50/50 ، وأعتقد أن العديد من المنظمات لا تزال تتمتع بهذا المستوى من التحكم ضد مثل هذه الهجمات (أي ليس أكثر من AV وتدريب أساسي على التصيد). هذا التقييم لا يشمل حاليًا خسائر السمعة أيضًا.

خواطر ختامية

يستهلك هذا النهج وقتًا أطول بكثير من مناهج تقييم المخاطر النوعية التقليدية ، ولكنه يحقق نتائج رائعة في الأشكال التالية:

في منشور المدونة التالي ، سأبحث في كيفية تحسين بعض عناصر التحكم والتأثير الذي يجب أن تتركه على خسائر الاستجابة و الإنتاجية ، حتى نتمكن من ثم أعد تقييم ما قد يعنيه ذلك بالنسبة للمخاطر الإجمالية لهذا السيناريو.

آمل أن تكون قد استمتعت به!

ماريو بلات

التالي في السلسلة → https://medium.com/@marioplatt/quantitative-risk-management-with-fair-communicating-risk-bb50a2bf24be