¿Cuál es el método para cuantificar la evaluación de la seguridad de la información?

La idea de los métodos cuantitativos de evaluación de riesgos de seguridad de la información es muy clara: asignar cantidades numéricas o monetarias a todos los elementos que constituyen riesgo y el nivel de pérdidas potenciales. Cuando se asignan valores a todos los elementos que miden el riesgo (valor de los activos, frecuencia de las amenazas, explotación de la vulnerabilidad, eficiencia y costo de las medidas de seguridad, etc.), se puede cuantificar todo el proceso y los resultados de la evaluación del riesgo. En pocas palabras, la evaluación cuantitativa es un método que intenta analizar y evaluar los riesgos de seguridad de forma numérica.

En primer lugar, existen varios conceptos importantes en la evaluación cuantitativa de riesgos:

Coeficiente de exposición: el porcentaje o grado de pérdida causada por una amenaza específica a un activo específico. Expectativa de pérdida única: o SOC, la pérdida potencial total que puede causar una amenaza específica. Incidencia anual: La frecuencia estimada de una amenaza en un año. La pérdida anual esperada (EAC) representa la pérdida esperada de un activo específico dentro de un año.

2. La relación entre el proceso de evaluación cuantitativa de riesgos y los conceptos es la siguiente:

(1) Primero, identifique los activos y asigne valores de activos (montos cuantificados);

(2) A través de la evaluación de amenazas y vulnerabilidades, evaluar el impacto de amenazas específicas en activos específicos, es decir, el factor de exposición EF (valor entre 0% y 100%); 3) Calcular la frecuencia específica de la amenaza, es decir, la tasa de ocurrencia anual ARO;;

(4) Calcular la expectativa de pérdida única SLE del activo: SLE = valor del activo × EF.

(5) Calcular la expectativa de pérdida anual del activo: ale = SLE × ARO.

Podemos ver que para el análisis cuantitativo, dos indicadores son los más críticos, uno es la posibilidad de que ocurra un evento y el otro es la posible pérdida causada por un evento de amenaza. Dado que los riesgos de seguridad se pueden calificar con precisión mediante una evaluación cuantitativa, es muy fácil medir la racionalidad de las medidas de seguridad y calcular el retorno de la inversión de las medidas de seguridad. Por ejemplo, si el ALE del edificio es 350 000, y ahora, después de tomar contramedidas (instalar detectores de incendios, comprar suficientes extintores y gastar 80 000), el ALE del edificio es 70 000, entonces el ROI ahora es 35-7- 8 = 200.000. De este cálculo sabemos que la inversión en esta medida de seguridad vale la pena.

Aunque los riesgos de seguridad se pueden clasificar con precisión mediante una evaluación cuantitativa, existe un requisito previo de que los indicadores de datos disponibles como referencia sean precisos. De hecho, en los sistemas de información cada vez más complejos y en constante cambio de hoy, es difícil garantizar la confiabilidad de los datos en los que se basa la evaluación cuantitativa. Además, faltan datos estadísticos a largo plazo y el proceso de cálculo es propenso a errores, lo que plantea grandes dificultades para refinar la evaluación. Por lo tanto, la evaluación actual de riesgos de seguridad de la información adopta menos métodos de evaluación cuantitativa.