Quantitative Risikoanalyse: Jährliche Verlust Erwartung

Die Risikobewertung ist ein wesentlicher Bestandteil des Risikomanagements. Sie ermöglicht es Ihnen, potenzielle Gefahren zu ermitteln, die spezifische Projekte negativ beeinflussen oder aus bestimmten Entscheidungen resultieren könnten.

Es gibt zwei Arten der Risikoanalyse — quantitative und qualitative:

• Quantitative Risikoanalyse ist ein objektiver Ansatz, der harte Zahlen verwendet, um die Wahrscheinlichkeit und Auswirkungen von Risiken zu bewerten. Der Prozess beinhaltet die Berechnung von Kennzahlen, wie zum Beispiel die jährliche Verlust-Erwartung, um Ihnen zu helfen zu bestimmen, ob eine bestimmte Risikominderungsmaßnahme die Investition wert ist. Die Bewertung erfordert gut entwickelte Projektmodelle und hochwertige Daten.
• Qualitative Risikoanalyse ist eine schnellere Methode, um die Wahrscheinlichkeit potenzieller Risiken und deren Auswirkungen abzuschätzen, damit Sie sie für eine weitere Bewertung priorisieren können. Während quantitative Risikoanalyse objektiv ist, handelt es sich bei der qualitativen Risikoanalyse um einen subjektiven Ansatz, der Risiken in breiteren Begriffen einstuft, wie beispielsweise einer Skala von 1–5 oder einfach niedrig, mittel und

Beide Formen der Risikoanalyse sind wertvolle Instrumente im Risikomanagement. In diesem Artikel konzentrieren wir uns auf die quantitative Risikoanalyse und erklären, wie man die jährliche Verlusterwartung (ALE) berechnet.

Was ist quantitative Risikoanalyse?

Die quantitative Risikoanalyse verwendet relevante, überprüfbare Daten, um die Wahrscheinlichkeit bestimmter Risikoergebnisse und deren geschätzte monetäre Kosten vorherzusagen.

Es gibt viele verschiedene Arten von Risiken, die IT-Profis berücksichtigen müssen, einschließlich der folgenden:

• Menschliche Fehler
• Feindliche Handlungen, wie Cyberangriffe, unbefugte Offenlegung oder Missbrauch von Daten
• Anwendungsfehler
• System- oder Netzwerkfunktionsstörungen
• Physische Schäden durch Ursachen wie Feuer, Naturkatastrophen oder Vandalismus

Welche Ergebnisse erhalten Sie aus der quantitativen Risikoanalyse?

Quantitative Risikoanalyse hilft Ihnen bei der Schätzung:

• Mögliche Ergebnisse eines gegebenen Risikos
• Die Wahrscheinlichkeit, spezifische Ziele zu erreichen
• Realistische Kosten
• Projektabschlusszeiten

Wann ist quantitative Risikoanalyse am nützlichsten?

Quantitative Risikobewertung hilft Ihnen, kluge, datengestützte Entscheidungen für Ihr Unternehmen zu treffen. Sie sollten eine quantitative Risikoanalyse durchführen, wenn Sie müssen:

• Entscheiden Sie, ob Sie in bestimmte Projekte oder Werkzeuge investieren möchten
• Wählen Sie Gegenmaßnahmen, um potenzielle Verlustquellen zu mindern
• Stellen Sie detaillierte Daten über die Chancen bereit, ein Projekt innerhalb des Budgets und termingerecht abzuschließen
• Erstellen Sie eine Notfallreserve für Ihr Projekt

Was ist die jährliche Verlusterwartung?

Die jährliche Verlust-Erwartung ist eine Berechnung, die Ihnen hilft, den erwarteten monetären Verlust für ein Vermögenswert aufgrund eines bestimmten Risikos über ein einzelnes Jahr zu bestimmen. Sie können die ALE als Teil der quantitativen Kosten-Nutzen-Analyse Ihres Unternehmens für jede gegebene Investition oder Projektidee berechnen.

Nehmen wir zum Beispiel an, Sie berechnen eine ALE von 10.000 $ und stellen fest, dass es 15.000 $ pro Jahr kosten würde, das Risiko zu eliminieren; basierend auf diesen Zahlen könnten Sie entscheiden, dass die Kosten das Risiko nicht wert sind.

Natürlich sind nicht alle Situationen so einfach. Nehmen wir zum Beispiel an, Sie verstehen, dass ein HIPAA violation Sie möglicherweise $100 pro Verstoß bis zu einer maximalen Geldstrafe von $250.000 kosten könnte. Das mag handhabbar erscheinen, aber wenn man tiefer in Informationen eindringt, die man vielleicht nicht bedacht hat, könnte sich herausstellen, dass, wenn der Verstoß auf vorsätzliche Fahrlässigkeit zurückzuführen ist, die Auswirkungen bis zu $1,5 Millionen hoch sein könnten. Dieses Beispiel veranschaulicht, dass, obwohl quantitative Risikoanalysen eine zuverlässige und objektive Methode zur Bewertung potenzieller Risiken bieten, die Ergebnisse nur so gut sind wie die Daten, die Sie in den Prozess einfließen lassen.

Außerdem beachten Sie, dass ALE die Kosten des Risikos bestimmt. Verwechseln Sie ALE nicht mit den Gesamtbetriebskosten (TCO), die die Kosten einer bestimmten Lösung bewerten.

Wie wird die jährliche Verlust-Erwartung berechnet?

Hier ist ein Überblick darüber, wie man ALE berechnet. Jeder Begriff wird weiter unten detaillierter erklärt.

1. Erfassen Sie Ihre Informationswerte und bestimmen Sie den Vermögenswert (AV) jedes einzelnen.
2. Identifizieren Sie die potenziellen Bedrohungen für jedes Asset.
3. Führen Sie für jede Bedrohung Folgendes durch:

#1. Bestimmen Sie den Expositionsfaktor (EF) für diese Bedrohung für jedes Informationsasset.

#2. Berechnen Sie die Einzelverlust-Erwartung (SLE) mit dieser Formel: AV x EF = SLE

#3. Berechnen Sie die jährliche Eintrittswahrscheinlichkeit (ARO).

#4. Berechnen Sie die jährliche Verlusterwartung (ALE) mit dieser Formel: SLE x ARO = ALE

• Vermögenswert — Viele Ihrer Vermögenswerte sind greifbare Gegenstände, wie Computer, Server und Software. Andere Vermögenswerte sind immateriell, wie Fachwissen, Datenbanken, Pläne und sensible Informationen. Der Vermögenswert ist der Gesamtwert des spezifischen Vermögenswertes; wenn Ihr Server 6.000 $ wert ist, beträgt Ihr AV 6.000 $. Hier sind einige Fragen, die Sie in Betracht ziehen sollten, um Ihren AV zu ermitteln:
• Was haben Sie bezahlt, um das betreffende Asset zu erwerben oder zu erstellen?
• Was ist Ihre Haftung, wenn das Asset kompromittiert wird?
• Was sind die Produktionskosten, wenn das Asset nicht verfügbar gemacht wird?
• Welchen Wert hat das Asset für externe Nutzer?
• Auf welche anderen Arten würde der Verlust des Vermögenswerts Ihr Geschäft beeinflussen?
• Exposure-Faktor — Dies ist der Prozentsatz des Wertes eines bestimmten Vermögenswerts, der infolge eines spezifischen Vorfalls verloren geht. Wenn Sie erwarten, dass Sie bei einem Vorfall ein Viertel des Wertes eines Vermögenswerts verlieren, dann ist Ihr EF für diesen Vermögenswert 0,25 (25%). Denken Sie daran, dass Sie den EF nur in Bezug auf ein spezifisches Risiko berechnen können, wie zum Beispiel einen Sicherheitsvorfall oder eine Naturkatastrophe. Beachten Sie auch, dass ein Verlust den Wert eines bestimmten Vermögenswerts übersteigen kann; in solchen Fällen wäre der EF größer als 1,0 (mehr als 100%).
• Einzelverlust-Erwartung — Dies ist der Geldbetrag, den Sie erwarten zu verlieren, jedes Mal, wenn ein bestimmtes Asset verloren geht oder kompromittiert wird. Beispielsweise könnten Sie erwarten, 300 Dollar zu verlieren, jedes Mal, wenn Ihr Geschäftsserver ausfällt, oder Sie könnten 1.500 Dollar verlieren, jedes Mal, wenn ein Laptop verloren geht oder gestohlen wird. Um die Einzelverlust-Erwartung zu berechnen, multiplizieren Sie den AV und den EF.
• Jährliche Eintrittswahrscheinlichkeit — Dies ist die Anzahl der Male, von denen Sie erwarten, dass ein bestimmtes Ereignis innerhalb eines Jahres eintritt. Wenn Sie damit rechnen, dass Ihr Server fünfmal pro Jahr ausfällt, wäre Ihr ARO 5. Wenn das ARO weniger als 1 ist, drücken Sie es als Prozentsatz aus — zum Beispiel, wenn die Wahrscheinlichkeit eines Vorfalls einmal alle vier Jahre ist, wäre das ARO für dieses Ereignis 0,25 (25%).

Beispiel

Hier ist ein fiktives Szenario, um Ihnen zu helfen, eine ALE zu berechnen und sie in einer Geschäftsentscheidung zu verwenden. Beachten Sie, dass dies eine sehr vereinfachte Berechnung ist, die nur eine Bedrohung für ein Informationsasset berücksichtigt.

Nehmen wir an, Ihre Organisation überlegt, in eine Lösung zu investieren, die Ihnen dabei helfen kann, bösartige Insider-Aktionen auf Ihren Dateiservern zu entdecken, um das Risiko eines Verlusts eines bestimmten geistigen Eigentums (IP) zu verringern. Hier ist, wie Sie feststellen könnten, ob eine Investition in eine bestimmte Sicherheitslösung gerechtfertigt ist:

1. Bestimmen Sie den AV. Nehmen wir an, dass das IP-Asset von Interesse einen Wert von 75.000 $ hat.
2. Berechnen Sie den EF. Gehen wir davon aus, dass er 0,75 (75 %) beträgt.
3. Berechnen Sie den SLE, indem Sie den AV mit dem EF multiplizieren, was einen SLE von $56,250 ergibt.
4. Bestimmen Sie die ARO. Gehen wir davon aus, dass sie bei 0,95 liegt (was bedeutet, dass es eine 95%ige Chance gibt, dass in einem beliebigen Jahr böswillige Insider-Aktivitäten auftreten).
5. Berechnen Sie den ALE: $56,250 (SLE) X 0.95 (ARO) = $53,357.50 (ALE).
6. Vergleichen Sie den ALE mit den Kosten jeder Softwarelösung, die Sie in Betracht ziehen. Wenn die Lizenzgebühr Ihren ALE (53.357,50 $) übersteigt, ist die Lösung keine lohnende Investition.

Fazit

Die Berechnung des ALE als Teil einer quantitativen Risikobewertung ist unerlässlich, um fundierte Geschäftsentscheidungen zu treffen. Obwohl der Prozess manchmal verwirrend und mühsam sein kann, liefert die zuverlässige Bestimmung von Risiken und die genaue Berechnung potenzieller Verluste wertvolle Informationen, die Ihnen helfen, kluge Geschäftsentscheidungen zu treffen. Mit dem ALE als Werkzeug zur Risikobewertung in der Hinterhand können Sie Kosten-Nutzen-Analysen effektiver durchführen und bestimmen, ob der Einsatz spezifischer Gegenmaßnahmen die Investition wert ist.