Home / Resources / ISACA Journal / Issues / 2022 / Volume 5 / 量化定性技术风险评估

量化定性技术风险评估

量化定性技术风险评估
Author: Julie Ebersbach和Michael Powers博士.D., CRISC
Date Published: 1 September 2022
Related: 网络风险量化|数字化|英文

技术风险评估帮助澳门赌场官方下载识别, 分析和评估其IT流程和安全框架中的弱点. 风险评估使澳门赌场官方下载能够了解其不断变化的风险状态, 确定他们当前的风险是否符合他们的风险偏好,并实施必要的控制来弥补已发现的差距. 由国际标准化组织(ISO)定义, 风险评估是风险识别的整体过程, 风险分析和风险评价.1 在进行风险评估时, 澳门赌场官方下载依靠数据对评估的各个要素形成定性意见. 许多澳门赌场官方下载利用定性评估,因为他们的时间和成本效益, 但这种方法本身并没有好处,因为它是主观的,缺乏针对性, fact-based data. 有些风险评估可能完全是定量的, 但大多数澳门赌场官方下载发现,专门的数学方法是有缺陷的,容易受到操纵和偏见. Therefore, 建议采用混合方法,以保留由具体量化措施支持的定性主题专家(SME)为基础的结论. 定量因素加强了风险评估中的定性决定.

Qualitative vs. 定量风险评估

有两种类型的风险评估:定量和定性.2, 3 定性风险评估包括利用专家评估识别和分析风险因素,该评估基于澳门赌场官方下载的风险管理标准或框架,并带有预定义的风险等级(如风险等级).e.,高,中,低). 这些类型的风险评估通常包括确定特定威胁的可能性和影响. 定性风险评估的标准组成部分包括固有风险, 控制环境和剩余风险评级为三分(高), medium, 低)或五点(高), medium-high, medium, medium-low, low) scale.

定量风险评估包括数字评级, 特别强调技术资产的价值或与服务或资产中断相关的成本.

As noted, 定性风险被认为更快, 但它更主观, 而定量分析是客观的, 但是需要更多的数据, 是否更复杂,是否存在数据准确性问题.4 尽管缺乏全面标准化的定性技术风险评估模板, several proprietary, 开源和特定于澳门赌场官方下载的评估类型是从工业标准或框架(figure 1).

Figure 1

定性和定量技术风险评估的两个主要框架或标准是NIST SP 800-30 风险评估指引5 and ISO 27005:2018 信息技术-安全技术-信息安全风险管理.6 NIST的出版物指出,风险评估是组织风险管理的基本需要,并观察到评估方法包括定量, 半定量和定性方法.7 它为进行风险评估提供指导和高级框架. Similarly, ISO/IEC 27005:2018是一项国际标准,定义了风险管理实践,特别侧重于信息安全管理. It, too, 提供侧重于风险识别的高级风险管理方法和框架, analysis, evaluation, 治疗和监测.8 一般的定性方法包括FMEA/FMECA、CRAMM和OCTAVE. FMEA/FMECA严格关注系统和设备类型的风险, 因此在范围上是相当狭窄的(技术资产vs. organizational).9 CRAMM是一种基于软件的实用工具,侧重于评估信息价值, 识别相关的威胁和漏洞, 确定风险缓解技术.10 OCTAVE, 类似于FMEA/FMECA, 还侧重于信息资产, 对这些资产的威胁以及这些资产的脆弱性.

主要采用定量技术风险评估方法, FAIR and ALE, 使用纯粹的定量技术来评估风险. FAIR是一个分析模型,专注于驱动损失频率和幅度的因素,11 而ALE是一个通用的数学方程,其中年损失等于事件概率乘以损失值.12

没有定量评估,特别是, 一项投资能在多大程度上降低环境风险——风险并没有真正被衡量出来.

许多澳门赌场官方下载避免纯粹的定量评估,因为由于数据丰富,量化IT风险是具有挑战性的, 快速变化的威胁, 对数字估计和技术变革速度的潜在过度依赖.13 In contrast, 在复杂的环境中,纯粹的定性评估可能涉及较少的批判性思维, 几乎没有数据支持任何结论.14 Severity ratings (e.g., high, medium, (低)让利益相关者认为,评级背后有一定的严谨性, 即使它们的定义是基于最少的数据. 高、中、低的评级不是由实际指标定义的,而是由估计来定义的. 通过使用环境中的现有指标和操作历史记录, 澳门赌场官方下载可以更定量地定义这些评级,更好地定义自己理想的目标经营阈值. 将严重性等级相互比较也很重要. 了解风险缓解工作如何影响移动规模上的剩余风险,以及存在多少总风险,对于更好地管理至关重要.15 没有定量评估,特别是, 一项投资能在多大程度上降低环境风险——风险并没有真正被衡量出来.

风险评估组成部分

虽然质量风险评估的组成部分因机构而异, 典型因素包括固有风险(或按概率和影响排序的风险因素),16, 17 预测最高和正在发展的风险因素, 控制环境和剩余风险, 它采取行动声明的形式,旨在解决澳门赌场官方下载前进的姿态:

  • Inherent risk—在没有任何缓解努力的情况下,某一事件产生意外结果的可能性. 这是通过评估与这些资产的漏洞和威胁相关的处于风险中的资产或关键业务流程来确定的.
  • 顶部和发展风险-识别出对环境最重要或最新的风险因素.
  • 控制环境-在环境中实现的缓解流程,允许业务有效运行,同时将风险降低到所需的级别. 还应考虑缺乏控制.
  • Residual risk—控制和缓解措施到位后剩余的风险量. 这取决于控制的设计和与特定资产和识别的固有风险因素相关的有效性.

风险量化要素

定性风险评估的每个组成部分都有影响评估的潜在定量或伪定量驱动因素.

Inherent Risk
固有风险是指某一事件可能产生意想不到的结果的可能性. 固有风险通常是通过首先确定资产来衡量的, 技术环境的大小和复杂性. 考虑因素包括整个环境中服务器和数据库的数量, 托管在这些资产上的应用程序和这些应用程序的真正功能. For example, 具有重大业务影响的应用程序, 与支持业务范围狭窄的少数用户相比,潜在的客户损失或有影响的法律要求的风险更高. 对资产的潜在威胁和脆弱性进行评估,可以对环境中的固有风险进行更可量化的度量.

固有风险通常使用3分或5分量表或使用数字分数的类似量表来测量, 具有由澳门赌场官方下载风险管理框架确定的定义. 尽管这些定义通常是由风险专业人员主观评估的, 使用概率和影响陈述来量化固有风险的要素为定性结果提供了更有力的支持. 量化示例包括对历史事件的引用(例如.g., 测量X每年发生的频率, even in the presence of controls; therefore, 发生的可能性很高, medium or low), 影响客户的事件数量和与运营损失相关的成本数据.

定性风险评估的每个组成部分都有影响评估的潜在定量或伪定量驱动因素.

最高风险和发展风险
澳门赌场官方下载应该确定环境中的首要风险因素以及那些新的和正在出现的风险因素,以确定哪些威胁和漏洞最有可能产生影响. 所有的风险因素, 顶级和新兴风险量化是最具挑战性的,因为, by nature, 顶级和新兴风险更纯粹是定性的.

然而,某些可量化的数据元素和技术是可用的. 专门针对应用程序漏洞风险, 开放Web应用程序安全项目(OWASP)基金会的威胁建模方法可以帮助识别对环境的威胁并评估存在的漏洞.18 这项活动不仅涉及识别风险因素的数量, 还有风险的类型和程度. 一些风险因素比其他因素影响更大, 评估这些威胁对于了解环境的真正风险至关重要. 尽管OWASP方法衡量和评估了应用程序的主要风险因素, 类似的原则也可以用于评估整个环境. 类似于固有风险, 应该使用概率和影响报表来评估顶级和发展中的风险, 用可量化的数据来支持定性数据.

Control Environment
控制环境通常由控制效能评分来定义, 通过将有效控制措施的数量除以控制措施的总数可以得到哪个. 这就是量化失败的地方. 分数不是全部,100%的效率可能并不总是期望的目标. 首先要考虑的是了解整个环境的控制范围和覆盖范围. 覆盖范围通常是通过澳门赌场官方下载现有控制组合映射到权威框架源(如COBIT)的程度来度量的®19 or NIST SP 800-53 信息系统和组织的安全和隐私控制.20 如果范围和覆盖面是广泛和彻底的, with few gaps, the control environment can be considered strong; in this case, 控制效果得分显著. However, 如果控制范围和覆盖范围仍在成熟,还存在许多差距, 拥有一个高的控制有效性分数是没有意义的,因为它还没有覆盖整个环境. Thus, 一个完全覆盖的65%的控制有效性评分(由一个给定的框架测量)可能比只有部分覆盖的100%的控制有效性评分更有信息和意义. It is critical that control scope and coverage and control effectiveness are evaluated together; when each is considered alone, 它没有对真正的缓解努力提供足够详细的看法.

控制环境的另一个方面是正式技术问题的数量及其相关的严重性. Determining the number of documented issues does not provide the full picture; severity is an important component. For example, 对于具有大量低级别严重性问题的环境,应与具有中等数量高级别问题的环境进行不同的评估.

定期评估剩余风险可以从定量和定性的角度了解环境是如何随时间变化和演变的.

In addition, 度量标准和关键性能指标(kpi)可用于获得环境随时间的执行情况的整体视图. 将可量化的措施应用于环境中的脆弱性或评估某一时期内高优先级事件的数量,有助于确定环境在不同时期的趋势以及缓解工作的效果. 度量标准可以帮助识别控制环境中的弱点, 即使控制是有效的. 重要的是要注意,应仔细定义阈值和指标,并经常进行审查,以确定最佳可见性的适当测量.

Residual Risk
While inherent risk, 顶级和发展风险, 利用可测量的数据和具体的支持证据对控制环境进行定性评估, 剩余风险是用更客观的事实来定义的, 相对于主观性质的纯粹定性评价. 与剩余风险相关的客观事实和量化要素包括总体控制有效性百分比(假设完全基于风险的覆盖), 法规或遵从性问题的数量, 高风险技术问题的数量, 以及与技术管理相关的运营指标和这些指标的健康状况. 风险专家的定性判断可能更容易受到澳门赌场官方下载内部纵深防御元素的挑战(第二行), (如果存在定量因素)或外部审计师或监管机构.

如果评估包括定量和定性两个部分, 它们可以结合起来得出一个关于环境总体剩余风险的结论. 定期评估剩余风险可以从定量和定性的角度了解环境是如何随时间变化和演变的. 它还可以识别环境中的弱点, 例如可能需要更多控制或现有控制可能缺乏有效性的领域.

Conclusion

对高级管理人员进行定性风险评估的一个主要挑战, 董事会和其他非风险专业人士正在理解风险评估的模糊性, 哪些主要基于专家判断,并高度受意见影响. 为了应对这一挑战, 风险从业人员应该有一个完善的, 成熟的框架,具有具体定义的方法学结构和可量化的数据元素. 量化增强了定性风险评估的可信度和准确性.

在执行技术风险评估时,澳门赌场官方下载有多种选择, 从内部开发的方法到采用行业方法(专有的和开源的). In general, 定性评估和方法的优势表明,复杂性, 纯数量评估的成本和局限性限制了它们更广泛的采用. In reality, 定量技术和工具支持定性评估的混合方法可能提供两全其美的效果.

Authors’ Note

作者感谢罗伯特·布特尔的帮助, IT risk director, 提供审查和反馈.

Endnotes

1 国际标准化组织(ISO), ISO 31000:2018 风险管理指南,瑞士,2018; http://www.iso.org/iso-31000-risk-management.html
2 Gibson, D.; 信息系统风险管理,2nd Ed., Jones and Bartlett Learning, USA, 2015
3 Rot, A.; “IT Risk Assessment: Quantitative and Qualitative Approach,” 2008世界工程与计算机科学大会论文集, (WCECS), 2008年10月,p 22-24; http://www.iaeng.org/publication/WCECS2008/WCECS2008_pp1073-1078.pdf
4 Volan, E.; “Risk Assessment and Analysis Methods: Qualitative and Quantitative,” ISACA® Journal, vol. 2, 2021, http://1bn.kingpaq.com/archives
5 美国国家标准与技术研究院(NIST),特别出版物(SP) 800-30 Rev. 1, 风险评估指引2012年9月,美国; http://csrc.nist.gov/publications/detail/sp/800-30/rev-1/final
6 国际标准化组织(ISO)/国际电工委员会(IEC), ISO/IEC 27005:2018 信息技术-安全技术-信息安全风险管理,瑞士,2018; http://www.iso.org/standard/75281.html
7 美国国家标准与技术研究院(NIST), NIST Special Publication (SP) 800-53 信息系统和组织的安全和隐私控制,第5版,美国,2020; http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r5.pdf
8 Op cit 国际标准化组织/国际电工委员会
9 Op cit Rot
10 Yazar, Z.; 定性风险分析和管理工具- cramm, SANS研究所,美国,2002; http://www.sans.org/white-papers/83/
11 Jones, J.; "An Adoption Guide for FAIR," RiskLens, 2019, http://www.risklens.com/ebooks/an-adoption-guide-for-fair
12 Op cit Rot
13 Wangen, G.; C. Hallstensen; E. Snekkenes; “A Framework for Estimating Information Security Risk Assessment Method Completeness,” 国际信息安全杂志, vol. 17, iss. 6, 2017, http://doi.org/10.1007/s10207-017-0382-0
14 Op cit Yazar
15 Ibid.
16 Op cit Rot
17 Op cit Jones
18 Drake, V.; “Threat Modeling,” Open Web Application Security Project (OWASP), http://owasp.org/www-community/Threat_Modeling
19 ISACA®, COBIT®, USA, 2018, http.//1bn.kingpaq.com/resources/cobit
20 Op cit 国家标准与技术研究所

JULIE EBERSBACH

是美国中西部地区银行机构的IT风险经理吗. 可以联系到她 jvandenbulke@gmail.com.

MICHAEL POWERS | PH.D., CRISC

是美国中西部地区银行机构的IT风险主管,还是定量统计学的兼职教授, 在三所大学学习项目管理和网络安全. 可以联系到他 mpowersphd@gmail.com.