Economics of cybersecurity Metrics in prac?ce Carlos Gan - - PowerPoint PPT Presentation

economics of cybersecurity
SMART_READER_LITE
LIVE PREVIEW

Economics of cybersecurity Metrics in prac?ce Carlos Gan - - PowerPoint PPT Presentation

Oct 22, 2023 34 likes •235 views

Economics of cybersecurity Metrics in prac?ce Carlos Gan Del. University of Technology Types of metrics Controls Vulnerabili?es Incidents (Prevented)

slide-1
SLIDE 1

Carlos ¡Gañán ¡

  • Del. ¡University ¡of ¡Technology ¡

Economics ¡of ¡cybersecurity ¡

Metrics ¡in ¡prac?ce ¡

slide-2
SLIDE 2

Types ¡of ¡metrics ¡

Controls ¡ Vulnerabili?es ¡ Incidents ¡ (Prevented) ¡ Losses ¡

w/o ¡threat ¡ environment ¡ with ¡threat ¡ environment ¡ determinis?c ¡ stochas?c ¡ ac?on ¡ driven ¡ event ¡ ¡ driven ¡

slide-3
SLIDE 3

§ Applying ¡the ¡framework ¡to ¡ concrete ¡examples ¡

§ Cloud ¡Security ¡Alliance ¡ Cloud ¡Control ¡Matrix ¡ § Security ¡Service ¡Level ¡ Agreement ¡(SLA) ¡ § So.ware ¡Security ¡Maturity ¡ Model ¡ § Cyber ¡Security ¡Assessment ¡ Netherlands ¡

Metrics ¡in ¡prac?ce ¡

slide-4
SLIDE 4
slide-5
SLIDE 5

§ Set ¡of ¡133 ¡controls ¡iden?fied ¡by ¡ Cloud ¡Security ¡Alliance, ¡used ¡to ¡ assess ¡and ¡rank ¡security ¡of ¡cloud ¡ services ¡ § All ¡control-­‑based ¡metrics ¡(no ¡ surprise ¡there!) ¡ § Vulnerabili?es ¡are ¡men?oned, ¡ but ¡only ¡in ¡terms ¡of ¡the ¡controls ¡ needed ¡to ¡deal ¡with ¡them ¡

CSA ¡Controls ¡Matrix ¡

slide-6
SLIDE 6

CSA ¡Controls ¡Matrix ¡

Controls ¡ Vulnerabili?es ¡ Incidents ¡ (Prevented) ¡ Losses ¡

slide-7
SLIDE 7
slide-8
SLIDE 8

§ “Hosted ¡Email ¡Security ¡ SLA” ¡(Trend ¡Micro) ¡

§ 100% ¡availability ¡ § No ¡more ¡than ¡0.0003% ¡ false ¡posi?ves ¡ § Support ¡response ¡that ¡ matches ¡incident ¡severity ¡ § Zero ¡email-­‑based ¡virus ¡ infec?ons ¡

SLA ¡Security ¡Metrics ¡

slide-9
SLIDE 9

Security ¡SLA ¡

Controls ¡ Vulnerabili?es ¡ Incidents ¡ (Prevented) ¡ Losses ¡

slide-10
SLIDE 10

Building ¡Security ¡In ¡ Maturity ¡Model ¡ (BSIMM) ¡

slide-11
SLIDE 11

§ Observa?onal ¡model ¡built ¡from ¡ real-­‑world ¡so.ware ¡security ¡ ini?a?ves ¡ § Metrics ¡based ¡on ¡12 ¡prac?ces ¡with ¡ 110 ¡associated ¡ac?vi?es ¡ § Examples ¡

§ Penetra?on ¡tes?ng ¡ § Provide ¡awareness ¡training ¡ § Code ¡review ¡ § Iden?fy ¡so.ware ¡defects ¡found ¡in ¡

  • pera?ons ¡monitoring ¡

¡ ¡

Security ¡Maturity ¡Model ¡-­‑ ¡BSIMM ¡

slide-12
SLIDE 12

Security ¡Maturity ¡model ¡(2) ¡

§ Each ¡prac?ce ¡is ¡rated ¡in ¡terms ¡of ¡its ¡ maturity ¡

0 ¡ 0.5 ¡ 1 ¡ 1.5 ¡ 2 ¡ 2.5 ¡ 3 ¡ Strategy&Metrics ¡ Policy ¡ Training ¡ A`ack ¡Models ¡

  • Sec. ¡Features ¡

Standards ¡

  • Arch. ¡Analysis ¡

Code ¡Review ¡

  • Sec. ¡Tes?ng ¡
  • Pen. ¡Tes?ng ¡

So.. ¡Env. ¡

  • Vuln. ¡Mgmt. ¡

Earth(67) ¡ FIRM ¡

slide-13
SLIDE 13

Security ¡Maturity ¡Model ¡-­‑ ¡BSIMM ¡

Controls ¡ Vulnerabili?es ¡ Incidents ¡ (Prevented) ¡ Losses ¡

slide-14
SLIDE 14
slide-15
SLIDE 15
slide-16
SLIDE 16
slide-17
SLIDE 17

§ Rates ¡security ¡threats ¡ qualita?vely ¡ § Forward ¡looking, ¡ evaluates ¡controls ¡in ¡ light ¡of ¡emerging ¡ vulnerabili?es ¡and ¡ incidents ¡

Cyber ¡Security ¡Assessment ¡Netherlands ¡

slide-18
SLIDE 18

Cyber ¡Security ¡Assessment ¡

Controls ¡ Vulnerabili?es ¡ Incidents ¡ (Prevented) ¡ Losses ¡

slide-19
SLIDE 19

§ Many ¡metrics ¡focus ¡on ¡controls ¡ § Especially ¡when ¡they ¡have ¡been ¡ developed ¡by ¡security ¡industry ¡

  • r ¡service ¡providers ¡

§ Why? ¡It’s ¡the ¡incen?ves ¡

§ Easier ¡to ¡measure ¡ § Selling ¡controls ¡(security ¡solu?ons) ¡ is ¡the ¡business ¡model ¡ § Controls ¡are ¡about ¡effort, ¡not ¡ about ¡results ¡against ¡a`ackers ¡ § Focusing ¡on ¡controls ¡leaves ¡the ¡ risk ¡of ¡failure ¡with ¡the ¡buyer ¡

Conclusion ¡

slide-20
SLIDE 20

Thank ¡you ¡for ¡your ¡a`en?on! ¡

Please ¡post ¡any ¡ques?ons ¡you ¡may ¡have ¡

  • n ¡our ¡discussion ¡forum. ¡