onsdag 3. april 2013

Using Dependency Modeling For Better Risk Decisions

I denne artikkelen intervjuer Dark Reading Jim Hietala og Chris Baker fra Open Group. Tema er en ny standard som skal hjelpe oss å håndtere risiko bedre.

Using Dependency Modelling For Better Risk Decicions

Utgangspunktet for deres modell er attack-trees, en metode for å kartlegge "alt som kan gå galt".
(Attack Trees). Dessverre har jeg ikke noe særlig tro på denne metoden for å kartlegge risiko der truslene er uforutsigbare og dynamiske. Selv om wargaming kan være nytting i mange sammenhenger, bør det styres, og i tillegg til å gå gjennom de mest trolige scenariene, bør det styres mot å tenke utenfor boksen. Hva er det vi IKKE har tenkt på.

Hvorfor kan man ikke gjøre det i slike attack-trær da? Det er ingenting som forhindrer at man kan gjøre det, men kritikken mot denne metoden har vært at det er for lett å lage slike trær for det man allerede vet, og vanskelig å faktisk beskrive scenarier utenfor boksen. Mulig det er fordi at det ukjente er vanskelig å bryte opp og beskrive i detalj. Men unntak av i lærebøkene, har jeg ikke vært borti at noen bruker slike trær aktivt i sin risikohåndtering. Wargaming, som ligner på dette, brukes nok og kan som nevnt være fornuftig når det brukes riktig. "Hva er motstanders mest trolige handlemåte?" "Hva er motstanders farligste handlemåte?" er to spørsmål som kan lede til en god wargaming sesjon.

Artikkelen sier lite om innholdet i selve metoden, og jeg synes at svarene som representantene fra Open Group gir er preget av god gammeldags svada. Enkelte svar får meg imidlertid til å sperre opp øynene.

Baker: Within IT security risk management, one of the real benefits that start from deploying a dependency model in your environment is that it demands that you start by saying, 'What are we trying to achieve? What are our objectives?'
In the case of IT security, then you might adopt confidentiality, availability, and integrity, or some other issues around authentication and so on and so forth. And you will have systems that help you implement that.
Her faller jeg av. Et cyber defence team som stiller seg spørsmålet "Hva vil du oppnå?", og ender opp med å svare konfedensialitet, integritet og tilgjengelighet, er dømt til å feile. Et cyber defence team har som sin eneste oppgave å sørge for mission security, eller på norsk: Operasjonell handlefrihet.

The customer came to us basically saying, 'OK, I've got a 1,000 branches, and I've got 20 odd systems in every branch, and that's a big number. I'm getting red, amber, and green [alerts] from all of them. Every morning I come in and I have about 1,500 reds. All I want to know is, which of these reds are the most red?'
We're working with an organization that already provides that data within medium-sized environments to enable them to use our calculation engine and the open dependency modeling standard to communicate, capture that, and then give a prioritized list of outputs.
Jeg har overhodet ingen tro på at det går an å ha et oppdatert bilde på hvilke avhengigheter (koblet mot "business goals") som er gjeldende til enhver tid og hvordan de skal være prioritert i forhold til hverandre. Hva som er viktig for en virksomhet, kan forandre seg uke for uke, dag for dag. Kanskje enda oftere. En vil garantert sitte igjen med en oversikt som ikke er korrekt, og dermed et beslutningsgrunnlag som er feil.

Intervjuet ender med å love at vi skal få se mer til denne metoden om noen måneder. Jeg venter ikke i spenning.

Ps, har tidligere skrevet om risikohåndtering... Ligger i arkivet.




Ingen kommentarer:

Legg inn en kommentar