Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Ekonomia bezpieczeństwa

OpublikowałAureliusz Duchnik Został zmieniony 10 lat temu

Podobne prezentacje

Prezentacja na temat: "Ekonomia bezpieczeństwa"— Zapis prezentacji:

1 Ekonomia bezpieczeństwa
Paweł Krawczyk

2 Tematy Skąd potrzeba bezpieczeństwa? Jak mierzyć bezpieczeństwo?
Jak wybierać zabezpieczenia? Bezpieczeństwo a regulacja

3 Źródła bezpieczeństwa
Zewnętrzne Klienci – łańcuch odpowiedzialności, SLA Przepisy prawa, konkurencja, reputacja Wewnętrzne Klienci wewnętrzni – SLA Analiza ryzyka „10% szansy, że zapłacimy 10 mln zł kary” Redukcja ryzyka jako inwestycja „unikniemy straty 1 mln zł za jedyne 100 tys. zł”

4 Racjonalne bezpieczeństwo (*)
Chroni przed zagrożeniami Nie kosztuje więcej niż chronione dobra Drogi do irracjonalności Błędna ocena ryzyka Błędny wybór zabezpieczeń Skutki Strata pewna zamiast prawdopodobnej Chybione zabezpieczenia Błędna alokacja zasobów Niepożądana jest sytuacja, w której analiza ryzyka wskazuje na potencjalną możliwość poniesienia gigantycznych strat, które w końcu ponosimy nie z powodu danego ryzyka, tylko jako wynik irracjonalnych działań zabezpieczających. 30 małopolskich policjantów zostało wysłanych przez ustawodawcę na stoki narciarskie gdzie łapią osoby pod wpływem alkoholu oraz dzieci bez kasków. Niemal w tym samym czasie komendant główny policji w Krakowie wyjaśnia, że nie da się zwiększyć liczby patroli na ulicach bo... brakuje funkcjonariuszy. Błędna percepcja ryzyka prowadzi do błędnych zabezpieczeń Based on surveys Barnes collected, the top five worries of parents are, in order: 1. Kidnapping 2. School snipers 3. Terrorists 4. Dangerous strangers 5. Drugs But how do children really get hurt or killed? 1. Car accidents 2. Homicide (usually committed by a person who knows the child, not a stranger) 3. Abuse 4. Suicide 5. Drowning Meagen Voss, 30 sierpnia 2010, NPR

5 Przykład – wirusy 1000 użytkowników
Antywirus Strata 5 minut/dzień 5000 min/dzień 10 rocznych etatów Koszt: 440 tys. zł Rocznie Wirus 6 godzin przestoju/osobę 3 roczne etaty Naprawa 0,12 rocznego etatu Koszt: 130 tys. zł Za jeden incydent! 1000 pracowników PLN 3, średnia pensja 5 strata czasu [min/dzień] 2000 godzin pracy w roku [1 FTE] 100% pracowników dotkniętych problemem PLN 42, średnia roczna pensja strata czasu pracy w skali organizacji 5000 [minut/dzień] 83.33 [godz/dzień] 417 [godz/tydzień] 20833 [godz/50 tyg] 10 FTE etaty rocznie PLN 437,500 rocznie 1000 pracowników poszkodowanych przez wirus 6 godzin/osobę 6000 godzin strat 3 etatów 5 osób naprawiających systemy 48 godzin pracy 240 godzin pracy na naprawy 0.12 etatu 3.12 etatów strat łącznie PLN 131,040 strat łącznie

6 Przykład – szyfrowanie dysków 1000 użytkowników
60 kradzieży laptopów rocznie Średnio 80 rekordów osobowych/laptop Koszt obsługi 1 rekordu 115 zł Roczny koszt incydentów 552 tys. zł Full-Disk Encryption Roczna licencja 53 zł/laptop Koszt licencji 53 tys. zł Koszt wsparcia technicznego 12 tys. zł 1000 laptopów 60 skradzionych laptopów w roku 115 koszt jednego rekordu 80 średnio rekordów osobowych $552, koszt jednego incydentu 53 koszt 1 licencji FDE (1 rok) $53, koszt licencji koszt 1 godziny wsparcia tech.

7 Wskaźniki do oceny racjonalności ekonomicznej
Zwrot z inwestycji ROI - Return on Investment Zwrot z inwestycji w bezpieczeństwo ROSI – Return on Security Investment Inne danych wejściowe, to samo znaczenie Wynik – mnożnik zainwestowanego kapitału

8 G – „jak bardzo ograniczymy straty?” [zł]
ROI vs ROSI G – „jak bardzo ograniczymy straty?” [zł] C – koszt zabezpieczenia [zł] E – koszt ingorowania ryzyka [zł] Sm – skuteczność zabezpieczenia [%] Sc – koszt zabezpieczenia [zł]

9 Przykład – Logistyka (ROSI)
Zabezpieczenie Prognozowane straty roczne Skuteczność Koszt ROSI Żadne € 75,000.00 0% € 0.00 0.00 Eskorta ochrony € 1,000.00 98.70% € 100,000.00 -0.26 Telemetryka € 2,000.00 97.30% 71.98 EU road transport theft data based on 2009 GE assessment. Annual lane value €14.4m, shipment frequency 72/year, distance 1300 km, average shipment value €200k.

10 Przykład – Logistyka (ROI)
Zabezpieczenie Prognozowane straty roczne "Zysk" Koszt ROI Żadne € 75,000.00 € 0.00 0.00 Eskorta ochrony € 1,000.00 € 74,000.00 € 100,000.00 -0.26 Telemetryka € 2,000.00 € 73,000.00 72.00

11 Dane obarczone dużym poziomiem niepewności
Wyzwania Skąd dane wejściowe? Własne dane historyczne, tablice aktuarialne, SLA dostawców, statystyki branżowe Dane obarczone dużym poziomiem niepewności Średnia, mediana, odchylenie standardowe Przedziały minimum-maksimum (widełki) Rząd wielkości Co wpływa na jakość wskaźnika? Analiza ryzyka Koszty incydentów Koszty zabezpieczeń Nawet dane obarczone dużym poziomem niepewności mogą być bardzo wartościowe przy podejmowaniu decyzji – np. rząd wielkości czy przedział.

12 Wyzwania – koszty incydentów
Utracone korzyści Czas pracy, naruszenia SLA Kary i odszkodowania Monitoring, odszkodowanie, kary za zaniedbania, kary za naruszenie SLA Koszty naprawy i śledztwa Personel wew/zew, narzędzia śledcze

13 Wyzwania – koszty zabezpieczeń
Koszt wdrożenia Licencje, sprzęt, personel, szkolenia, doradztwo, wsparcie techniczne, zmiana Koszty operacyjne Administracja, wsparcie techniczne Koszty zewnętrzne Obciążenie systemu, obniżenie wydajności, awarie, czas użytkowników

14 Zalety Możliwość porównania racjonalności ekonomicznej Podobnych zabezpieczeń Antywirus A versus antywirus B Różnych zabezpieczeń Edukacja użytkowników versus system wykrywania wycieków danych (DLP) Obiektywizacja kryteriów wyboru zabezpieczeń Fakty zamiast ogólników „zważywszy na niniejsze wydaje się iż pewne przesłanki mogą wskazywać na zasadność, jednakże...” Uzasadnienie zmiany jeśli zmienią się warunki wejściowe

15 Bezpieczeństwo a regulacja (*)
Kilka rozpowszechnionych mitów „Bezpieczeństwo jest najważniejsze” Ale 100% bezpieczeństwa = 0% aktywności Każde działanie stanowi kompromis bezpieczeństwa „Więcej bezpieczeństwa to lepiej” Ale to także większy koszt i mniejsza efektywność „Tylko X zapewni wysoki poziom bezpieczeństwa” Ale czy tutaj potrzebujemy wysokiego poziomu? Zażywając popularny lek na grypę (bez recepty) pacjent podejmuje niezerowe ryzyko zapadnięcia na toksyczną nekrozę naskórka (1:500000), w której przeżywalnóść jest rzędu 30%. Czy należy zakazać leku, który daje efekty uboczne np. w 10% przypadków? A jeśli pacjent cierpi na zaawansowanego raka lub białaczkę?

16 Internetowe usługi finansowe
Metoda autoryzacji Ilość Zalety i wady Sektor konsumencki Sektor konsumencki Sektor korporacyjny SMS 15 Łatwość użycia, bezpieczeństwo Niska niezaprzeczalność Sprzętowy token OTP 11 Wysokie koszty zarządzania Ochrona przed phishingiem, średnia niezaprzeczalność Wydruk OTP (TAN) 7 Podstawowa ochrona przed phishingiem Podpis elektroniczny 2 Wysoka cena (QES), kłopotliwe użycie Wysoki poziom niezaprzeczalności Raport: Michał Macierzyński, „Najbezpieczniejsze banki internetowe w Polsce”, Bankier.pl, 2009

17 Gwarancje na oprogramowanie
Niezawodne oprogramowanie istnieje Formalne metody dowodzenia poprawności kodu ADA SPARK, JOVIAL, SPIN, systemy klasy „trusted” BNF, ASN.1 Ale tworzenie go jest bardzo kosztowne Common Criteria EAL2 – od 50 tys. €, 12 miesięcy Common Criteria EAL4 – od 150 tys. €, 18 miesięcy Czy chcemy powszechnych gwarancji na oprogramowanie? Ja nie chcę! Wolę program za 300 zł, który działa wystarczająco dobrze BNF - Backus–Naur Form

18 Dostęp do usług elektronicznych w Polsce
Sektor prywatny „Wystarczający poziom bezpieczeństwa” 2010 – 8,4 mln 22% obywateli Sektor publiczny „Wysoki poziom bezpieczeństwa” 2010 – 250 tys. 0,94% obywateli Michał Polasik, „Bankowość internetowa”, 2001 IPSec.pl, informacje o liczbie certyfikatów kwalifikowanych publikowane w latach Związek Banków Polskich – dane i prognozy z 2008 oraz 2010 roku

19 Podporządkowanie legislacji celom strategicznym
Deklarowany cel strategiczny „Wprowadzenie i upowszechnienie usług administracji publicznej świadczonych drogą elektroniczną w celu ułatwienia obywatelom i firmom prowadzenia spraw w urzędach bez konieczności osobistego stawiania się w urzędzie” (PIP, 2006) Deklarowane cele taktyczne „Bardzo nam zależało, by w Polsce upowszechnić stosowanie podpisu elektronicznego, zwłaszcza bezpiecznego. Wierzę, że rozporządzenie przyczyni się do tego, że wiele osób zacznie taki podpis stosować” (MNiI, 2005, e-faktury) „Uważam, że ten zapis jest wręcz fundamentalny dla rozwoju podpisu elektronicznego i usług elektronicznych w administracji. W związku z tym popieramy tę propozycję zmiany.” (MNiI, 2005, uoi) „udostępnienie szerokiego zakresu usług administracji publicznej świadczonych drogą elektroniczną” (Strategia rozwoju SI, 2008) Nowa ustawa o podpisach grozi „zahamowaniem rozwoju PKI w Polsce” (EFPE 2010)

20 Jakość i racjonalność legislacji
Apel do ustawodawców Jakość i racjonalność legislacji Regulamin pracy Rady Ministrów Analiza kosztów i zysków (§9.1) Wytyczne do oceny skutków regulacji Ministerstwo Gospodarki Public ROI (PROI) Model oceny racjonalności ekonomicznej zamówień publicznych Interesariusze: obywatele (!), dostawcy, administracja Oddziaływania: finansowe, polityczne, społeczne, strategiczne, ideologiczne, zaufanie do administracji Regulamin pracy Rady Ministrów - M.P. z dnia 5 kwietnia 2002 r., M.P. z dnia 1 kwietnia 2009 r. Ministerstwo Gospodarki „Wytyczne do Oceny skutków regulacji”, Reforma Regulacji, 2006 Anthony M. Cresswell, G. Brian Burke, Theresa A. Pardo „Advancing Return on Investment Analysis for Government IT: A Public Value Framework”, University of Albany, 2006

Pobierz ppt "Ekonomia bezpieczeństwa"

Podobne prezentacje

Projekt: „Dostosowanie do obowiązujących uregulowań prawnych budynku gminnego w Kraśniczynie, w którym funkcjonuje Niepubliczny Zakład Opieki Zdrowotnej”

Projekt: „Dostosowanie do obowiązujących uregulowań prawnych budynku gminnego w Kraśniczynie, w którym funkcjonuje Niepubliczny Zakład Opieki Zdrowotnej”
Służba przygotowawcza dla pracowników jednostek samorządu terytorialnego w formie e-learningu w ramach projektu systemowego MAC Łukasz Krysztofiak Naczelnik.

Służba przygotowawcza dla pracowników jednostek samorządu terytorialnego w formie e-learningu w ramach projektu systemowego MAC Łukasz Krysztofiak Naczelnik.
Próg rentowności.

Próg rentowności.
NIZIELSKI & BORYS C o n s u l t i n G

NIZIELSKI & BORYS C o n s u l t i n G
Strategia rozwoju społeczeństwa informacyjnego w Polsce do roku 2013

Strategia rozwoju społeczeństwa informacyjnego w Polsce do roku 2013
Ministerstwo Gospodarki i Pracy Sektorowy Program Operacyjny Wzrost konkurencyjności przedsiębiorstw, lata 2004-2006 (SPO-WKP) Małgorzata Świderska.

Ministerstwo Gospodarki i Pracy Sektorowy Program Operacyjny Wzrost konkurencyjności przedsiębiorstw, lata (SPO-WKP) Małgorzata Świderska.
HUMAN PERFORMANCE IMPROVEMENT

HUMAN PERFORMANCE IMPROVEMENT
© Paweł Dobrowolski 2006 Deregulacja – dlaczego regulujemy? 20 marca 2005.

© Paweł Dobrowolski 2006 Deregulacja – dlaczego regulujemy? 20 marca 2005.
Michał Żwinis s3472.

Michał Żwinis s3472.
Fundusze europejskie, a rejestry publiczne Gdańsk, dn.12.06.2008 - 1 - bezpieczny i skuteczny dostęp do zawartych w nich danych oraz rozwój systemów udostępniania.

Fundusze europejskie, a rejestry publiczne Gdańsk, dn bezpieczny i skuteczny dostęp do zawartych w nich danych oraz rozwój systemów udostępniania.
1. 2 Możliwości finansowania rozwoju nowoczesnych technologii edukacyjnych ze środków UE w latach 2007 – 2013 Marek Szczepański Zastępca Prezesa PSDB.

1. 2 Możliwości finansowania rozwoju nowoczesnych technologii edukacyjnych ze środków UE w latach 2007 – 2013 Marek Szczepański Zastępca Prezesa PSDB.
Jak najlepiej wykorzystać ? środki finansowe z Unii Europejskiej? 6 kwietnia 2006.

Jak najlepiej wykorzystać ? środki finansowe z Unii Europejskiej? 6 kwietnia 2006.
Zarządzanie przez cele Mazowieckiego Urzędu Wojewódzkiego

Zarządzanie przez cele Mazowieckiego Urzędu Wojewódzkiego
PRZYGOTOWANIA DO REACH W POLSCE PIOTR ZABADAŁA MINISTERSTWO GOSPODARKI

PRZYGOTOWANIA DO REACH W POLSCE PIOTR ZABADAŁA MINISTERSTWO GOSPODARKI
JAKOŚĆ PRODUKTU - USŁUGI

JAKOŚĆ PRODUKTU - USŁUGI
Analiza ekonomiczna „Od studenta do menedżera” projekt współfinansowany ze środków Narodowego Banku Polskiego mgr E. Tarnawska.

Analiza ekonomiczna „Od studenta do menedżera” projekt współfinansowany ze środków Narodowego Banku Polskiego mgr E. Tarnawska.
Narodowa Strategia Spójności

Narodowa Strategia Spójności
Ministerstwo Polityki Społecznej DEPARTAMENT POŻYTKU PUBLICZNEGO październik – listopad 2005 r.

Ministerstwo Polityki Społecznej DEPARTAMENT POŻYTKU PUBLICZNEGO październik – listopad 2005 r.
Nowa Ekonomia Instytucjonalna

Nowa Ekonomia Instytucjonalna
Projekt współfinansowany przez Unię Europejską Europejski Fundusz Rozwoju Regionalnego Plan Informatyzacji Państwa na lata 2007-2010 elektroniczna Platforma.

Projekt współfinansowany przez Unię Europejską Europejski Fundusz Rozwoju Regionalnego Plan Informatyzacji Państwa na lata elektroniczna Platforma.

Podobne prezentacje

Reklamy Google