Страховщик IAG смоделировал финансовые издержки, которые нарушение данных или атака вымогателей могут иметь для его бизнеса, отчасти для того, чтобы понять, насколько предлагаемые инвестиции infosec могут компенсировать его убытки.
Глава отдела кибербезопасности и управления Иэн Кэмерон рассказал IBM Think 2018 в Сиднее, что проект “моделирование ценности риска” призвал актуарные знания компании оценить различные типы и уровни угроз безопасности.
“Поскольку мы страховая компания, мы можем использовать актуарные методы, чтобы оценить или смоделировать стоимость страхового случая”, — сказал Кэмерон.
“Если у нас есть крупная утечка данных или крупная атака вымогателей, мы проделали действительно большую работу за последние 12 месяцев, чтобы смоделировать чистую стоимость потерь для нашей организации с точки зрения потери производительности, затрат на рекламу для решения проблем наших клиентов, судебных издержек и расходов на регулирующий надзор.
— Мы смогли рассчитать распределение потерь от небольшого события до очень большого.”
В прошлом году организации, пострадавшие от вредоносного ПО Petya, сообщили о потере продаж и потерях в сотни миллионов долларов, вызванных одной инфекцией.
Кэмерон сказал, что IAG сделала свое моделирование “еще один шаг вперед” , используя его в качестве основы для сценариев “что, если” вокруг влияния различных инвестиций в безопасность на снижение потенциальных потерь.
— А что, если бы у нас была вся эта дополнительная охрана?” — спросил Камерон.
“Мы смогли рассчитать, какие меры безопасности действительно будут наиболее эффективными в снижении этой стоимости воздействия [инцидента].
“Это довольно ново, и это требует некоторых инвестиций [для достижения].”
Кэмерон сказал, что организации, желающие реализовать подобный проект, скорее всего, смогут достичь аналогичного результата с помощью менее сложного экономического моделирования.
“Я думаю, что на самом деле это просто означает проведение семинаров с ключевыми людьми в вашем бизнесе, чтобы просмотреть сценарии, получить их мнение о том, каковы минимальные или максимальные затраты, и сложить их вместе, а затем понять, как это могло бы выглядеть, если бы у вас была лучшая безопасность”, — сказал он.
— Насколько уменьшится эта потеря?”
Моделирование не только помогает понять влияние различных угроз и инвестиций, но и обеспечивает основу для обсуждения рисков безопасности с бизнесом.
“Очень важно начать с обсуждения рисков,” сказал Камерон.
“Слишком часто мы сразу переходим в режим решения [с бизнесом] и говорим: «вам нужна вся эта безопасность», а иногда, честно говоря, это может быть чрезмерно.
— Безопасность должна быть соизмерима с ценностью информации, которую мы пытаемся защитить.
“Поэтому я думаю, что ключевой посыл заключается в том, чтобы действительно начать с честного обсуждения с бизнесом того, что представляет собой угроза, и провести действительно хорошую образовательную дискуссию о том, каковы будут вероятные последствия и последствия, а затем лучше вооружить вас для понимания решения и уровня безопасности, который должен быть применен.”
Безопасность выпечки в облаке
Кэмерон сказал, что IAG в настоящее время “находится в гуще” миграции рабочих нагрузок из своих собственных центров обработки данных в облако.
“Это заставляет нас фундаментально переосмыслить и бросить вызов самим себе в отношении методов, которые мы использовали в прошлом, чтобы обеспечить адекватную защиту наших данных”, — сказал он.
Один из фокусов команды безопасности заключается в том, чтобы включить безопасность в процесс разработки и подготовки кода к запуску в облаке.
— Прямо сейчас мы пытаемся встроить систему безопасности в DevOps,” сказал Камерон.
“Мы делаем много работы, чтобы попытаться децентрализовать функцию [безопасности], научить разработчиков, как помочь нам сделать безопасность как код, и включить безопасность в цепочку инструментов непрерывной доставки.
“Как команда безопасности, это означает, что мы должны выучить совершенно новый язык, чтобы общаться с разработчиками, поэтому мы экспериментируем с новыми способами привлечения их.
“Мы хотим научить их быть нашими пехотинцами, нашими защитниками безопасности, и мы делаем это, отпуская их и позволяя им делать что-то [безопасность] для нас.
Только так мы действительно сможем достичь некоторого масштаба, гибкости и адаптивности в облачной среде. На самом деле мы не можем этого сделать, используя традиционные операционные модели, которые мы пытались применить в прошлом.”
Рай Крозье посетил IBM Think 2018 в Сиднее в качестве гостя IBM.