Monthly Archives: August 2023

Methodology for Return on Security Investment

от Божидар Божанов
лиценз CC BY

Measuring return-on-investement for security (information security/cybersecurity) has always been hard. This is a problem for both cybersecurity vendors and service providers as well as for CISOs, as they find it hard to convince the budget stakeholders why they need another pile of money for tool X.

Return on Security Investment (ROSI) has been discussed, including academically, for a while. But we haven’t yet found a sound methodology for it. I’m not proposing one either, but I wanted to mark some points for such a methodology that I think are important. Otherwise, decisions are often taken by “auditor said we need X” or “regulation says we need Y”. Which are decent reasons to buy something, but it makes security look like a black hole cost center. It’s certainly no profit center, but the more tangibility we add, the more likely investments are going to work.

I think the leading metric is “likelihood of critical incident”. Businesses are (rightly) concerned with this. They don’t care about the number of reconnaissance attempts, false positives ratios, MTTRs and other technical things. This likelihood, if properly calculated, can lead to a sum of money lost due to the incident (due to lack of availability, data loss, reputational cost, administrative fines, etc.). The problem is we can’t get company X and say “you are 20% likely to get hit because that’s the number for SMEs”. It’s likely that a number from a vendor presentation won’t ring true. So I think the following should be factored in the methodology:

  • Likelihood of incident per type – ransomware, DDoS, data breach, insider data manipulation, are all differently likely.
  • Likelihood of incident per industry – industries vary greatly in terms of hacker incentive. Apart from generic ransomware, other attacks are more likely to be targeted at the financial industry, for example, than the forestry industry. That’s why EU directives NIS and NIS2 prioritize some industries as more critical
  • Likelihood of incident per organization size or revenue – not all SMEs and not all large enterprises are the same – the number of employees and their qualification may mean increased or decreased risk; company revenue may make it stand out ontop of the target list (or at the bottom)
  • Likelihood of incident per team size and skill – if you have one IT guy doing printers and security, it’s more likely to get hit by a critical incident than if you have a SOC team. Sounds obvious, but it’s a spectrum, and probably one with diminishing returns, especially for SMEs
  • Likelihood of incident per available security products – if you have nothing installed, you are more likely to get hit. If you have a simple AV, you can the basic attacks out. If you have a firewall, a SIEM/XDR, SOAR, threat intel subscriptions, things are different. Having them, of course, doesn’t mean they are properly deployed, but the types of tools matter in the ballpark calculations

How to get that data – I’m sure someone collects it. If nobody does, governments should. Such metrics are important for security decisions and therefore for the overall security of the ecosystem.

The post Methodology for Return on Security Investment appeared first on Bozho's tech blog.

Как се пише: тазгодишен или таз годишен?

от Павлина Върбанова
лиценз CC BY-NC-ND
Правилно е да се пише слято – тазгодишен, също и тазгодишна, тазгодишно, тазгодишни. Главата ми се мотае, все едно съм препил с тазгодишно вино. Според тазгодишната класация най-конкурентоспособна е швейцарската икономика. Стажант-репортерът от БНР Спас Крайнин е един от носителите на тазгодишните награди за разследваща журналистика на Фондация „Радостина Константинова“.

Как се пише: парвеню или първеню?

от Павлина Върбанова
лиценз CC BY-NC-ND
Правилно е да се пише парвеню, мн.ч. парвенюта. Думата е заета от френски – parvenu. В новата театрална постановка Бай Ганьо не е демонстративен парвеню, а предпочита задкулисните борби и удари. Парвенютата никнат (като гъби) в мътни времена, във времена на стопанска и политическа контрабанда, когато общественият живот дава възможност за бързо успяване. („Оптимистична теория […]

Заобикалянето на санкциите срещу прокремълската пропаганда, епизод пореден

от Нели Огнянова
лиценз CC BY

Според съобщения в Twitter/Х  компанията-майка на RT –  TV Novosti –  регистрира на 31 юли 2023 г. три  нови имена на домейни, позволяващи достъп до немскоезичния сайт на групата, RT DE. Между тях по-специално е домейн  freeassange.tech.

RT DE е част от мрежата RT, руска държавна международна медийна мрежа, финансирана от руското правителство. Медията RT DE е забранена в Германия през февруари 2022 г., но все още има достъпно интернет присъствие в Германия.

Заобикалянето на санкциите показва за пореден път, че противодействието на пропагандата и дезинформацията става най-сигурно чрез работа с хората, чрез убеждение и информиране с факти. Това е дълъг процес, отнема време и иска постоянство и държавна политика. Техническите средства дават незабавен ефект, ограничават донякъде разпространението на дезинформацията, но се намират начини те да бъдат заобиколени – в случая чрез достъп до огледални сайтове – копия  на уебсайта на RT, до които може да се стигне чрез други уеб адреси.

Как се пише: воал или вуал?

от Павлина Върбанова
лиценз CC BY-NC-ND
Правилно е да се пише воал, мн.ч. воали. Думата е заета от френски – voile. Този булчински воал може спокойно да се носи с почти всеки модел сватбен тоалет. Прозрачни или полупрозрачни, пердетата могат да бъдат от различни материи: воал, органза, газ, мрежа. Сюжетът на книгата има няколко пласта, подвижни като воали – тук виждаш […]

Как се пише: землянин или земянин?

от Павлина Върбанова
лиценз CC BY-NC-ND
Правилно е да се пише землянин, мн.ч. земляни. На масата вече бяха седнали набит землянин с лице, прорязано от белези от дуели, и дребен очукан робот, клас първи. („Тъмната страна на слънцето“, Тери Пратчет) В „Стар Трек“ клингоните са една от първите извънземни раси, с които земляните осъществяват контакт.

Как се пише: куртоазен или куртуазен?

от Павлина Върбанова
лиценз CC BY-NC-ND
Правилно е да се пише куртоазен, също и куртоазна, куртоазно, куртоазни. Думата е заета чрез руски (куртуазный) от френски (courtois). Усмивката на лицето ѝ беше куртоазна. Уволниха ме без причина и без дори да проведат куртоазен разговор с мен.

Как се пише: завоалирам или завуалирам?

от Павлина Върбанова
лиценз CC BY-NC-ND
Правилно е да се пише завоалирам. Основно изискване към участниците в тези разговори е да споделят свои убеждения, а не да ги завоалират зад авторитети или общи фрази. Президентът се опита да успокои обществеността, като завоалира истината.

Как се пише: трубадур или тробадур?

от Павлина Върбанова
лиценз CC BY-NC-ND
Правилно е да се пише трубадур, мн.ч. трубадури. Думата е заета от френски – troubadour. Концертът е със специалното участие на Васко Кръпката – трубадура на българската демокрация. Трубадурите създават своеобразна култура на любовта – fine amor (куртоазна любов), която е в основата на тяхната лирика.

Как се пише: дисидентство или дисиденство?

от Павлина Върбанова
лиценз CC BY-NC-ND
Правилно е да се пише дисидентство. Думата е образувана от дисидент и наставката -ство. Георги Марков, Румяна Узунова, Радой Ралин, Желю Желев са сред знаковите имена на българското дисидентство. Комунистическа партия управлява Куба като авторитарна еднопартийна държава, където дисидентството и политическата опозиция са забранени и репресирани.