Как оценить риски в кибербезопасности. Лучшие инструменты и практики - стр. 5
• Как принимать наилучшие решения в случаях, когда вы не уверены в настоящем и будущем?
• Как снизить неопределенность даже в тех случаях, когда кажется, что данные недоступны или что цели измерения двусмысленны и неосязаемы?
В частности, в этой книге предлагается альтернатива набору глубоко укоренившихся методов оценки рисков, которые в настоящее время широко используются в сфере кибербезопасности, но не имеют в своей основе математических вычислений или научных методов. С нашей точки зрения, такие методы лишь мешают принятию решений по проблеме, что становится критически важной. И мы утверждаем, что методы, основанные на реальных доказательствах улучшения принимаемых решений, не только практичны, но уже применялись для широкого круга одинаково сложных проблем, в том числе и в кибербезопасности. Мы покажем, что можно начать с простых приемов, а затем развить их до необходимого уровня и при этом избежать проблем, присущих матрицам и шкалам риска. Так что не останется причин тотчас же не перейти на использование более эффективных методов.
Следует ожидать, что постепенно эффективность принимаемых решений повысится, что будет отражено количественно. В частности, это коснется ключевых решений, принимаемых в ситуации с высокой долей неопределенности, последствия которых при неверном выборе могут быть катастрофическими. Мы считаем, что безопасность охватывает все эти проблемы.
Читателям не обязательно быть экспертами по управлению рисками или кибербезопасности. Методы, применяемые нами в сфере безопасности, можно использовать и во многих других областях. Хотя, конечно, мы надеемся, что наши методики помогут прежде всего специалистам в сфере кибербезопасности более успешно строить защиту и разрабатывать ее стратегии. А также мы надеемся, что благодаря книге многие руководители начнут лучше осознавать риски безопасности и принимать более эффективные решения.
Если вы хотите быть уверены, что эта книга для вас, ниже описана целевая аудитория, на которую мы ориентировались.
• Вы – специалист, принимающий решения и стремящийся повысить число верно принятых важных решений (так чтобы это можно было проверить количественно).
• Вы – специалист по безопасности, желающий усовершенствовать свою стратегию борьбы со злоумышленниками.
• Вы не относитесь ни к одной из названных категорий, но хотите лучше понять область кибербезопасности и/или управления рисками, используя доступные количественные методы.
Профессиональные количественные аналитики могут пропустить разделы, посвященные исключительно анализу. Профессиональные хакеры могут не читать разделы о безопасности. Мы часто будем рассматривать хорошо знакомые вам области с новой точки зрения или, наоборот, повторять очевидное, поэтому читайте так, как будет удобнее.