Analisi quantitativa del rischio: Aspettativa di perdita annuale

La valutazione dei rischi è un componente essenziale della gestione dei rischi. Ti permette di determinare i potenziali pericoli che possono influenzare negativamente progetti specifici o derivare da determinate decisioni.

Ci sono due tipi di analisi del rischio: quantitativa e qualitativa:

• L'analisi quantitativa del rischio è un approccio oggettivo che utilizza dati numerici concreti per valutare la probabilità e l'impatto dei rischi. Il processo prevede il calcolo di metriche, come la perdita annuale attesa, per aiutarti a determinare se uno sforzo di mitigazione del rischio dato vale l'investimento. La valutazione richiede modelli di progetto ben sviluppati e dati di alta qualità.
• L'analisi qualitativa del rischio è un metodo più rapido per valutare la probabilità dei rischi potenziali e il loro impatto in modo da poterli prioritizzare per ulteriori valutazioni. Mentre l'analisi quantitativa del rischio è oggettiva, l'analisi qualitativa del rischio è un approccio soggettivo che classifica i rischi in termini più ampi, come una scala da 1 a 5 o semplicemente basso, medio e

Entrambe le forme di analisi del rischio sono strumenti preziosi nella gestione del rischio. In questo articolo, ci concentreremo sull'analisi del rischio quantitativa e spiegheremo come calcolare la perdita annuale attesa (ALE).

Cos'è l'analisi quantitativa del rischio?

L'analisi quantitativa del rischio utilizza dati pertinenti e verificabili per prevedere la probabilità di determinati esiti del rischio e il loro costo monetario stimato.

Ci sono molti tipi diversi di rischi che i professionisti IT devono considerare, inclusi i seguenti:

• Errori umani
• Azioni ostili, come cyberattacchi, divulgazione non autorizzata o uso improprio dei dati
• Errori dell'applicazione
• Malfunzionamenti del sistema o della rete
• Danni fisici causati da incendi, disastri naturali o atti di vandalismo

Quali risultati si ottengono dall'analisi quantitativa del rischio?

L'analisi quantitativa del rischio ti aiuta a stimare:

• Possibili esiti di un rischio dato
• La probabilità di raggiungere obiettivi specifici
• Costi realistici
• Scadenze di completamento del progetto

Quando è più utile l'analisi quantitativa del rischio?

La valutazione quantitativa del rischio ti aiuta a prendere decisioni intelligenti e basate sui dati per la tua azienda. Dovresti eseguire un'analisi quantitativa del rischio quando hai bisogno di:

• Decidere se investire in progetti o strumenti specifici
• Scegliete contromisure per mitigare potenziali fonti di perdita
• Fornire dati dettagliati sulle probabilità di completare un progetto entro il budget e nei tempi previsti
• Crea una riserva di contingenza per il tuo progetto

Cos'è la perdita annuale prevista?

L'aspettativa di perdita annuale è un calcolo che aiuta a determinare la perdita monetaria prevista per un bene a causa di un particolare rischio durante un singolo anno. Puoi calcolare l'ALE come parte dell'analisi quantitativa costi-benefici della tua azienda per qualsiasi investimento o idea di progetto.

Ad esempio, supponiamo che tu calcoli un ALE di $10,000 e determini che costerebbe $15,000 all'anno per eliminare il rischio; basandoti su questi numeri, potresti decidere che il costo non vale il rischio.

Ovviamente, non tutte le situazioni sono così semplici. Ad esempio, supponiamo che tu capisca che una violazione del HIPAA potrebbe costarti $100 per violazione fino a un massimo di $250,000. Questo potrebbe sembrare gestibile, ma analizzando più a fondo informazioni che potresti non aver considerato potrebbe rivelarsi che se la violazione è dovuta a negligenza volontaria, l'impatto potrebbe essere alto fino a $1.5 milioni. Questo esempio dimostra che, sebbene l'analisi quantitativa del rischio fornisca un modo affidabile e oggettivo per valutare i rischi potenziali, i risultati sono buoni quanto i dati che inserisci nel processo.

Inoltre, ricorda che ALE determina il costo del rischio. Non confondere ALE con il costo totale di proprietà (TCO), che valuta il costo di una particolare soluzione.

Come si calcola la perdita annuale attesa?

Ecco una panoramica di come calcolare l'ALE. Ogni termine è spiegato più dettagliatamente di seguito.

1. Inventario dei tuoi beni informativi e determina il valore dell'asset (AV) di ciascuno.
2. Identificate le potenziali minacce per ogni risorsa.
3. Per ogni minaccia, fare quanto segue:

#1. Determinare il fattore di esposizione (EF) a quella minaccia per ogni risorsa informativa.

#2. Calcolato l'aspettativa di perdita singola (SLE) utilizzando questa formula: AV x EF = SLE

#3. Calcolare il tasso annuale di occorrenza (ARO).

#4. Calcolare l'aspettativa di perdita annualizzata (ALE) utilizzando questa formula: SLE x ARO = ALE

• Valore dell'asset — Molti dei vostri assets sono oggetti tangibili, come computer, server e software. Altri assets sono intangibili, come l'esperienza, le banche dati, i piani e le informazioni sensibili. Il valore dell'asset è il valore totale dell'asset specifico; se il vostro server vale $6,000, il vostro AV è $6,000. Ecco alcune domande da considerare per trovare il vostro AV:
• Quanto hai pagato per acquisire o costruire l'asset in questione?
• Qual è la vostra responsabilità se l'asset viene compromesso?
• Qual è il costo di produzione se l'asset diventa non disponibile?
• Qual è il valore dell'asset per gli utenti esterni?
• In quali altri modi la perdita dell'asset influirebbe sulla tua attività?
• Fattore di esposizione — Questa è la percentuale del valore di un dato bene che viene persa a seguito di un incidente specifico. Se prevedi di perdere un quarto del valore di un bene in un incidente, allora il tuo EF per quel bene è 0,25 (25%). Ricorda che puoi calcolare l'EF solo in relazione a un rischio specifico, come una violazione della sicurezza o un disastro naturale. Tieni anche presente che una perdita può superare il valore di un dato bene; in tali casi, l'EF sarebbe maggiore di 1,0 (più del 100%).
• Perdita singola attesa — Questo è l'importo di denaro che ci si aspetta di perdere ogni volta che una specifica risorsa viene persa o compromessa. Ad esempio, potresti aspettarti di perdere $300 ogni volta che il server aziendale si guasta, o potresti perdere $1,500 ogni volta che un laptop viene perso o rubato. Per calcolare la perdita singola attesa, moltiplica l'AV e l'EF.
• Tasso annuale di occorrenza — Questo è il numero di volte che ci si aspetta che un determinato incidente si verifichi in un anno. Se prevedi che il tuo server si blocchi cinque volte all'anno, il tuo ARO sarebbe 5. Se l'ARO è inferiore a 1, lo esprimi come percentuale — ad esempio, se la probabilità di un incidente è una volta ogni quattro anni, l'ARO per quell'incidente sarebbe 0,25 (25%).

Esempio

Ecco uno scenario fittizio per aiutarti a praticare il calcolo di un ALE e ad utilizzarlo in una decisione aziendale. Nota che si tratta di un calcolo molto semplificato che considera solo una minaccia a un singolo bene informativo.

Supponiamo che la tua organizzazione stia considerando di investire in una soluzione che possa aiutarti a scoprire malicious insider actions sui tuoi server di file per ridurre il rischio di perdere un particolare pezzo di proprietà intellettuale (IP). Ecco come potresti determinare se l'investimento in una particolare soluzione di sicurezza è giustificato:

1. Determina l'AV. Diciamo che l'asset IP di interesse ha un valore di $75,000.
2. Calcola il EF. Supponiamo che sia 0,75 (75%).
3. Calcola l'SLE moltiplicando l'AV per l'EF, il che produce un SLE di $56,250.
4. Determina l'ARO. Supponiamo che sia 0,95 (il che significa che c'è una probabilità del 95% che si verifichi un'attività interna malevola in un dato anno).
5. Calcola l'ALE: $56,250 (SLE) X 0.95 (ARO) = $53,357.50 (ALE).
6. Confronta l'ALE con il costo di ciascuna delle soluzioni software che stai prendendo in considerazione. Se la tariffa della licenza supera il tuo ALE (53.357,50 dollari), la soluzione non è un investimento conveniente.

Conclusione

Calcolare l'ALE come parte di una valutazione quantitativa del rischio è essenziale per prendere decisioni aziendali informate. Sebbene il processo possa essere confuso e arduo a volte, determinare in modo affidabile i rischi e calcolare accuratamente le perdite potenziali fornirà informazioni preziose per aiutarti a prendere decisioni aziendali intelligenti. Con l'ALE come strumento di valutazione del rischio a tua disposizione, puoi eseguire più efficacemente l'analisi costo-beneficio e determinare se l'impiego di specifiche contromisure vale l'investimento.