economics of cybersecurity
play

Economics of cybersecurity Metrics in prac?ce Carlos Gan - PowerPoint PPT Presentation

Economics of cybersecurity Metrics in prac?ce Carlos Gan Del. University of Technology Types of metrics Controls Vulnerabili?es Incidents (Prevented)


  1. Economics ¡of ¡cybersecurity ¡ Metrics ¡in ¡prac?ce ¡ Carlos ¡Gañán ¡ Del. ¡University ¡of ¡Technology ¡

  2. Types ¡of ¡metrics ¡ Controls ¡ Vulnerabili?es ¡ Incidents ¡ (Prevented) ¡ Losses ¡ w/o ¡threat ¡ with ¡threat ¡ environment ¡ environment ¡ determinis?c ¡ stochas?c ¡ ac?on ¡ event ¡ ¡ driven ¡ driven ¡

  3. Metrics ¡in ¡prac?ce ¡ § Applying ¡the ¡framework ¡to ¡ concrete ¡examples ¡ Cloud ¡Security ¡Alliance ¡ § Cloud ¡Control ¡Matrix ¡ Security ¡Service ¡Level ¡ § Agreement ¡(SLA) ¡ So.ware ¡Security ¡Maturity ¡ § Model ¡ Cyber ¡Security ¡Assessment ¡ § Netherlands ¡

  4. CSA ¡Controls ¡Matrix ¡ Set ¡of ¡133 ¡controls ¡iden?fied ¡by ¡ § Cloud ¡Security ¡Alliance, ¡used ¡to ¡ assess ¡and ¡rank ¡security ¡of ¡cloud ¡ services ¡ All ¡control-­‑based ¡metrics ¡(no ¡ § surprise ¡there!) ¡ Vulnerabili?es ¡are ¡men?oned, ¡ § but ¡only ¡in ¡terms ¡of ¡the ¡controls ¡ needed ¡to ¡deal ¡with ¡them ¡

  5. CSA ¡Controls ¡Matrix ¡ Controls ¡ Vulnerabili?es ¡ Incidents ¡ (Prevented) ¡ Losses ¡

  6. SLA ¡Security ¡Metrics ¡ § “Hosted ¡Email ¡Security ¡ SLA” ¡(Trend ¡Micro) ¡ § 100% ¡availability ¡ § No ¡more ¡than ¡0.0003% ¡ false ¡posi?ves ¡ § Support ¡response ¡that ¡ matches ¡incident ¡severity ¡ § Zero ¡email-­‑based ¡virus ¡ infec?ons ¡

  7. Security ¡SLA ¡ Controls ¡ Vulnerabili?es ¡ Incidents ¡ (Prevented) ¡ Losses ¡

  8. Building ¡Security ¡In ¡ Maturity ¡Model ¡ (BSIMM) ¡

  9. Security ¡Maturity ¡Model ¡-­‑ ¡BSIMM ¡ Observa?onal ¡model ¡built ¡from ¡ § real-­‑world ¡so.ware ¡security ¡ ini?a?ves ¡ Metrics ¡based ¡on ¡12 ¡prac?ces ¡with ¡ § 110 ¡associated ¡ac?vi?es ¡ Examples ¡ § Penetra?on ¡tes?ng ¡ § Provide ¡awareness ¡training ¡ § Code ¡review ¡ § Iden?fy ¡so.ware ¡defects ¡found ¡in ¡ § opera?ons ¡monitoring ¡ ¡ ¡

  10. Security ¡Maturity ¡model ¡(2) ¡ Each ¡prac?ce ¡is ¡rated ¡in ¡terms ¡of ¡its ¡ § maturity ¡ Strategy&Metrics ¡ 3 ¡ Vuln. ¡Mgmt. ¡ Policy ¡ 2.5 ¡ 2 ¡ So.. ¡Env. ¡ Training ¡ 1.5 ¡ 1 ¡ 0.5 ¡ Pen. ¡Tes?ng ¡ 0 ¡ A`ack ¡Models ¡ Sec. ¡Tes?ng ¡ Sec. ¡Features ¡ Code ¡Review ¡ Standards ¡ Earth(67) ¡ Arch. ¡Analysis ¡ FIRM ¡

  11. Security ¡Maturity ¡Model ¡-­‑ ¡BSIMM ¡ Controls ¡ Vulnerabili?es ¡ Incidents ¡ (Prevented) ¡ Losses ¡

  12. Cyber ¡Security ¡Assessment ¡Netherlands ¡ § Rates ¡security ¡threats ¡ qualita?vely ¡ § Forward ¡looking, ¡ evaluates ¡controls ¡in ¡ light ¡of ¡emerging ¡ vulnerabili?es ¡and ¡ incidents ¡

  13. Cyber ¡Security ¡Assessment ¡ Controls ¡ Vulnerabili?es ¡ Incidents ¡ (Prevented) ¡ Losses ¡

  14. Conclusion ¡ Many ¡metrics ¡focus ¡on ¡controls ¡ § Especially ¡when ¡they ¡have ¡been ¡ § developed ¡by ¡security ¡industry ¡ or ¡service ¡providers ¡ Why? ¡It’s ¡the ¡incen?ves ¡ § Easier ¡to ¡measure ¡ § Selling ¡controls ¡(security ¡solu?ons) ¡ § is ¡the ¡business ¡model ¡ Controls ¡are ¡about ¡effort, ¡not ¡ § about ¡results ¡against ¡a`ackers ¡ Focusing ¡on ¡controls ¡leaves ¡the ¡ § risk ¡of ¡failure ¡with ¡the ¡buyer ¡

  15. Thank ¡you ¡for ¡your ¡a`en?on! ¡ Please ¡post ¡any ¡ques?ons ¡you ¡may ¡have ¡ on ¡our ¡discussion ¡forum. ¡

Recommend


More recommend