Siber Güvenlik Risk Modellerinin Çoğu Başlamadan Neden Başarısız Oluyor

Siber güvenlik liderleri imkansız sorularla karşı karşıya. "Bu yıl bir güvenlik ihlali yaşanma olasılığı nedir?" ve "Maliyeti ne kadar olacak?" ve "Bunu durdurmak için ne kadar harcama yapmalıyız?"

Ancak bugün kullanılan risk modellerinin çoğu hâlâ verilere değil, tahminlere, içgüdülere ve renk kodlu risk haritalarına dayanmaktadır.

Aslında buldum PwC'nin 2025 Küresel Dijital Güven İçgörüleri Çalışması Kuruluşların yalnızca %15'i niceliksel risk modellemesini önemli ölçüde kullanıyor.

Bu makale, geleneksel siber güvenlik risk modellerinin neden yetersiz kaldığını ve olasılıksal modelleme gibi bazı hafif istatistiksel araçların uygulanmasının nasıl daha iyi bir yol sunduğunu araştırıyor.

Siber risk modellemesinde iki ana düşünce okulu

Siber Risk Modelleri şunlardır: Siber güvenlik tehditlerini ve bunların bilgi sistemleri, veriler veya işletmeler üzerindeki potansiyel etkilerini analiz etmek, değerlendirmek ve ölçmek için kullanılan sistematik çerçeveler veya yöntemler.

Bilgi güvenliği uzmanları risk değerlendirme sürecinde öncelikle nitel ve nicel olmak üzere iki farklı risk modelleme yöntemini kullanırlar. Düşünülüyor Siber risklerin nicel modellemesi Özel uzmanlık gerektiren ileri bir teknik.

Risk değerlendirmesi için nitel modeller

Aynı riski değerlendiren iki ekibi düşünün. Riske olasılık açısından 4/5, etki açısından ise 5/5 puan veriliyor. Diğer takım ise ona 3/5 ve 4/5 veriyor. Her iki takım da bunu bir matris üzerinde konumlandırır. Ancak hiçbiri CFO'nun şu sorusuna cevap veremiyor: "Bunun gerçekten gerçekleşme olasılığı nedir ve bize maliyeti ne olacak?"

Nitel yaklaşım öznel risk değerlendirmesine dayanır ve esas olarak değerlendiricinin sezgilerinden kaynaklanır. Nitel yaklaşım genellikle risklerin olasılığını ve etkisini 1-5 gibi sıralı bir ölçek üzerinde derecelendirmekle sonuçlanır.

Daha sonra riskler risk matrisinde konumlandırılarak bu sıra ölçeğinde nereye uydukları anlaşılır.

En önemli risklerin olasılık ve etki temelinde önceliklendirilmesine yardımcı olmak için genellikle bu iki sıra ölçeği birbiriyle çarpılır. İlk bakışta bu makul görünüyor çünkü bilgi güvenliğinde riskin yaygın olarak kullanılan tanımı şudur:

[text{Risk} = text{Olasılık} çarpı text{Etki}]

Ancak istatistiksel açıdan bakıldığında nitel risk modellemesi bazı çok önemli riskleri içermektedir.

Bu risklerden ilki sıralı ölçeklerin kullanılmasıdır. Sıralama ölçeğine sayılar atamak, modele matematiksel destek sağlıyormuş gibi bir görünüm verse de, bu yalnızca bir yanılsamadır.

Sıralı ölçekler sadece etiketlerdir; aralarında tanımlanmış bir mesafe yoktur. Etkisi “2” olan bir risk ile etkisi “3” olan bir risk arasındaki mesafe ölçülemez. Sıralama ölçeğindeki etiketleri “A”, “B”, “C”, “D” ve “E” olarak değiştirmenin bir farkı yoktur.

Bu da nitel modellemeyi kullandığımızda risk formülasyonumuzun hatalı olduğu anlamına geliyor. “B”nin olasılığının “C”nin etkisiyle çarpılmasıyla hesaplanamaz.

Bir diğer büyük tuzak ise belirsizliğin modellenmesidir. Siber riskleri modellediğimizde aslında belirsiz gelecekteki olayları modelliyoruz. Aslında ortaya çıkabilecek bir dizi sonuç vardır.

Siber riski tek noktalı tahminlere (örneğin "20/25" veya "Yüksek") indirgemek, "en olası yıllık kayıp 1 milyon dolar" ile "5 milyon dolar veya daha fazla kayıp olasılığı %10" arasındaki önemli ayrımı yansıtmıyor.

 

Nicel Risk Modellemesi: Gelişmiş Analiz

 

Bir risk değerlendirmesi yapan bir ekibi düşünün. 100 dolardan 10 milyon dolara kadar değişen bir sonuç aralığı tahmin ediyorlar. Monte Carlo simülasyonu çalıştırarak yıllık zararın 10 milyon doları aşma olasılığının %480 olduğunu ve beklenen zararın XNUMX dolar olduğunu çıkarıyorlar. Şimdi CFO sorduğunda, "Bunun gerçekleşme olasılığı nedir ve maliyeti ne kadar olacak?"Ekip sadece sezgiyle değil, verilerle de yanıt verebilir.

Bu yaklaşım, konuşmayı belirsiz risk sınıflandırmalarından şuraya kaydırır: Olasılıklar ve potansiyel finansal etki, yöneticilerin anlayacağı bir dil.

Eğer istatistik alanında bir geçmişiniz varsa, burada özellikle bir kavram öne çıkacaktır:

Olasılık.

Siber güvenlik risk modellemesi, özünde, belirli olayların gerçekleşme olasılığını ve gerçekleşmeleri halinde etkilerini ölçme girişimidir. Bu, belirsizliği sıralı ölçümlerden çok daha etkili bir şekilde modelleyebilen Monte Carlo simülasyonu gibi çeşitli istatistiksel araçlara kapı açar.

Nicel risk modellemesi, kayıplara dolar cinsinden değerler atamak ve bu kayıp olaylarının meydana gelme olasılığını modellemek için istatistiksel modeller kullanır ve gelecekteki belirsizliği yakalar.

Nitel analiz bazen en olası sonuca yaklaşabilse de, "uzun kuyruk riski" olarak bilinen nadir ancak etkili olaylar gibi belirsizliğin tüm aralığını kapsamada başarısız olur.

Kayıp fazlası eğrisi, y ekseninde belirli bir yıllık kayıp miktarını aşma olasılığını, x ekseninde ise farklı kayıp miktarlarını çizerek aşağı eğimli bir çizgi oluşturur.

Kayıp fazlası eğrisinden 90. yüzdelik, medyan ve XNUMX. yüzdelik gibi farklı yüzdelerin çekilmesi, %XNUMX güven aralığındaki bir risk için potansiyel yıllık kayıplar hakkında fikir verebilir.

Nitel analizin tek noktalı tahmini en olası riskleri yaklaşık olarak tahmin edebilirken (değerlendiricilerin yargısının doğruluğuna bağlı olarak), nicel analiz sonuçlardaki belirsizliği, nadir ancak yine de olası olanları bile (uzun kuyruk riski olarak bilinir) yakalar.

 

Siber Riskin Ötesine Bakmak: Siber Güvenlikte Risk Modellerini İyileştirmek

Bilgi güvenliğindeki risk modellerimizi iyileştirmek için dışarıya, özellikle diğer alanlarda kullanılan teknolojilere bakmamız yeterli. Risk modelleri finans, sigorta, havacılık güvenliği ve tedarik zinciri yönetimi gibi çeşitli uygulamalarda önemli ölçüde gelişmiştir. Bu alanlar siber güvenliğe uygulanabilecek değerli bilgiler sunmaktadır.

Finans ekipleri yatırım portföyü riskini yönetmek için benzer Bayes istatistiklerini kullanan modeller kullanırlar. Sigorta ekipleri riskleri karmaşık aktueryal modeller kullanarak modeller. Havacılık sektörü sistem arızası riskini olasılık modellerini kullanarak modeller. Tedarik zinciri yönetimi ekipleri olasılıksal simülasyon kullanarak riskleri modeller. Bu metodolojiler, etkili siber risk modelleri geliştirmek için sağlam bir temel sağlar.

Araçlar zaten mevcut. Matematiksel temelleri iyi anlaşılmıştır. Diğer sektörler de bu yolda öncü oldu. Artık siber güvenliğin daha iyi, daha bilinçli kararlar alabilmek için niceliksel risk modellerini benimsemesi, siber güvenlik stratejilerinin iyileştirilmesi ve olası kayıpların azaltılması zamanı. Bu niceliksel modellerin benimsenmesi, daha etkili siber risk yönetimine doğru önemli bir adım teşkil ediyor.

الخلاصة الرئيسية

 

التحليل النوعي	التحليل الكمي
Sıralı ölçekler (1-5)	Olasılıksal modelleme
kişisel sezgi	istatistiksel doğruluk
Tek değerlendirme puanları	Risk dağılımları
Isı haritaları ve renk kodları	Kayıp aşım eğrileri
Nadir fakat ciddi olayları göz ardı eder	Uzun kuyruk riskini yakalar