CEO vs CISO, Parte IV: Modelagem de custo de violação de Monte Carlo para CISOs

Meu principal objetivo nesta série é fornecer aos CISOs insights sobre a tomada de decisões do CEO e diretores, para que possam fazer um caso de sucesso para possíveis aquisições de segurança de dados. No meu último mergulho, expliquei como os CISOs devem quantificar dois fatores-chave envolvidos em uma violação: a frequência dos ataques e, em seguida, a probabilidade de a violação exceder um certo limite de custo. Conhecer esses dois ingredientes lhe dará pontos com CEOs e CFOs.

CISOs devem entender a linguagem do risco e como fazer algumas análises básicas de risco. Certamente, os CEOs também devem ter conhecimentos básicos sobre os incríveis truques de pós-exploração que os hackers têm à disposição e irei falar sobre isso em um post futuro.

Como bônus para CISOs e executivos de tecnologia que chegaram até aqui, reuni uma incrível planilha em Excel para que possam fazer suas próprias modelagens ao estilo Monte Carlo! Assim, você realmente pode impressionar os CEOs na sua próxima apresentação, aprimorando essa simulação para sua empresa e setores específicos.

Sejamos justos

Sou um fã do Instituto FAIR e sua estrutura para analisar riscos. Você pode ir tão fundo quanto quiser para a análise FAIR, mas, como descrevi no post anterior, até mesmo um mergulho superficial pode fornecer resultados muito úteis para a tomada de decisões.

No primeiro nível de análise da FAIR, é preciso olhar para os dois fatores que mencionei acima. Primeiro, obtenha uma curva de perda de excedência para sua indústria ou empresa em particular. No meu caso, eu pude usar um conjunto de dados públicos da área de saúde relatados no HIPAA e aplicar os resultados de uma regressão de custo de violação com base na pesquisa de violação do Ponemon.

A propósito, um tipo semelhante de curva também é calculado pelas companhias de seguros para automóveis e residências. Em última análise, as seguradoras usam as curvas de excedência de perdas para elaborar prêmios que ajudem a cobrir os custos do seguro e gerem lucro. E podemos pensar no custo de uma licença de software de segurança de dados também como uma espécie de empresa premium paga para limitar a perda de uma violação.

De qualquer forma, o segundo fator é a frequência ou taxa em que as empresas são violadas. Você pode estimar uma taxa média, que foi o que eu fiz da última vez para minha hipotética empresa de saúde.

O que fazer com esses dois fatores?
Em uma simulação MC, você “gira os dados” – usando o gerador de números aleatórios integrado do Excel – pra simular um ataque. E então você “gira” novamente para gerar uma possível perda causada por um ataque. Registra as perdas, classifica-as e produz uma curva representando as perdas totais de excedência para uma dada frequência média durante um período de tempo.

Na minha simulação de MC, eu rolei os dados alguns milhares de vezes usando uma planilha do Excel com macros especiais do Visual Basic que eu adicionei. Modelei uma empresa de saúde com uma taxa média de quatro incidentes em dez anos e uma curva de perda única baseada no conjunto de dados HIPAA para produzir uma  curva de perda total.

Este é realmente o objetivo da simulação: você quer uma curva que mostre a soma das perdas que ocorrem quando um número aleatório de ataques ocorre em um determinado período de tempo. Armado com esse tipo de análise imagine fazer uma apresentação para seu CEO e CFO e dizer-lhes com confiança: “há 10% de chance de a nossa empresa enfrentar uma perda de US$ 35 milhões nos próximos 10 anos”.

A principal lição da FAIR é que você pode quantificar o risco de violação de dados para produzir um cálculo suficientemente bom e útil para o planejamento. E à medida que você vai mais fundo na FAIR, o exercício de analisar quais dados estão em risco, seu valor e os possíveis cenários de violação é valioso por si só.

Valor em risco para CISOs
Minha análise dos dados do HIPAA envolveu algumas análises usando software de estatísticas disponíveis no mercado. Consegui ajustar o conjunto de dados a uma curva de estilo da lei de potência. Curvas de cauda pesada (e outros dados catastróficos) podem ser aproximadas por uma lei de potência, como as fórmulas na cauda.

Essa é uma boa noticia!
É mais fácil trabalhar com as leis de energia ao fazer simulações e números de processamento, e a causa é realmente a parte mais interessante para fins de planejamento. É onde as catástrofes são encontradas.

Afinal, os executivos estão encarregados de manter a empresa funcionando, mesmo quando a quebra equivalente a um furacão vier. Então eles têm que estar preparados para esses eventos extremos, e isso significa fazer os investimentos que limitam as perdas encontradas.

E isso nos leva ao Value at Risk ou Var
Vamos desmistifica-lo primeiro. Ele é realmente um único número que diz o quanto as coisas podem ficar ruins. Um VaR de 90% para violação é o maior número de todos, menos 10% de todas as perdas. Um VaR de 95% é maior que todos, exceto 5%.

Você executa minha simulação de MC com taxas de frequência média inseridas e uma curva de perda única (ou realmente a cauda) com base em um conjunto de dados do mundo real e, em seguida, permite gerar milhares de cenários possíveis.

Os mistérios do dragão de cauda pesada
Eu menti. Acontece que, para distribuição da cauda pesada, não é preciso executar uma simulação de MC para obter alguns números de VaR. Existe uma fórmula!

Eu vou sugerir o que pode ser, mas para ver o que é no caso de uma distribuição Pareto, você terá que baixar a planilha. A fórmula do VaR permite que você faça um cálculo rápido. A simulação MC ainda é útil para verificar a fórmula com dados simulados com base na sua modelagem.

Outra coisa estranha e mágica é que uma boa aproximação do VaR pode ser facilmente calculada para muitos conjuntos de dados pesados. Essencialmente, você pode pensar no VaR com um look reverso. Isso significa em matemática fazer o inverso de uma fórmula. No caso de perdas múltiplas que têm uma dada taxa ou frequência ao longo de um período de tempo, a fórmula do VaR pode ser calculada por um ligeiro ajuste na distribuição inversa de Pareto. Você terá que verificar minha planilha do Excel para ver a fórmula verdadeira.

O que mais você pode fazer com toda essa informação de probabilidade?
Pode começar a descobrir se um investimento em software de segurança de dados se pagará – assumindo que o software previne o ataque. Na minha planilha, deixo você calcular uma porcentagem de ponto de equilíbrio com base em um investimento em segurança anual. E eu também trabalhei com o retorno médio – quanto dinheiro suas defesas vão economizar, em média.

Faça o download da planilha de modelagem de custo de violação hoje!

Os modelos de ameaça Varonis descobrem problemas de segurança rapidamente e nossos alertas de comportamento reconhecem a atividade suspeita por intermédio de cada estado de uma potencial violação de dados. Previna vazamentos de dados em tempo real com o DatAlert. Fale com nossos especialistas e conheça mais sobre a solução.