Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Ekonomia bezpieczeństwa Paweł Krawczyk. Tematy Skąd potrzeba bezpieczeństwa? Jak mierzyć bezpieczeństwo? Jak wybierać zabezpieczenia? Bezpieczeństwo a.

Podobne prezentacje


Prezentacja na temat: "Ekonomia bezpieczeństwa Paweł Krawczyk. Tematy Skąd potrzeba bezpieczeństwa? Jak mierzyć bezpieczeństwo? Jak wybierać zabezpieczenia? Bezpieczeństwo a."— Zapis prezentacji:

1 Ekonomia bezpieczeństwa Paweł Krawczyk

2 Tematy Skąd potrzeba bezpieczeństwa? Jak mierzyć bezpieczeństwo? Jak wybierać zabezpieczenia? Bezpieczeństwo a regulacja

3 Źródła bezpieczeństwa Zewnętrzne Klienci – łańcuch odpowiedzialności, SLA Przepisy prawa, konkurencja, reputacja Wewnętrzne Klienci wewnętrzni – SLA Analiza ryzyka 10% szansy, że zapłacimy 10 mln zł kary Redukcja ryzyka jako inwestycja unikniemy straty 1 mln zł za jedyne 100 tys. zł

4 Racjonalne bezpieczeństwo (*) Chroni przed zagrożeniami Nie kosztuje więcej niż chronione dobra Drogi do irracjonalności Błędna ocena ryzyka Błędny wybór zabezpieczeń Skutki Strata pewna zamiast prawdopodobnej Chybione zabezpieczenia Błędna alokacja zasobów

5 Przykład – wirusy 1000 użytkowników Wirus 6 godzin przestoju/osobę 3 roczne etaty Naprawa 0,12 rocznego etatu Koszt: 130 tys. zł Za jeden incydent! Antywirus Strata 5 minut/dzień 5000 min/dzień 10 rocznych etatów Koszt: 440 tys. zł Rocznie

6 Przykład – szyfrowanie dysków 1000 użytkowników Full-Disk Encryption Roczna licencja 53 zł/laptop Koszt licencji 53 tys. zł Koszt wsparcia technicznego 12 tys. zł 60 kradzieży laptopów rocznie Średnio 80 rekordów osobowych/laptop Koszt obsługi 1 rekordu 115 zł Roczny koszt incydentów 552 tys. zł

7 Wskaźniki do oceny racjonalności ekonomicznej Zwrot z inwestycji – ROI - Return on Investment Zwrot z inwestycji w bezpieczeństwo – ROSI – Return on Security Investment – Inne danych wejściowe, to samo znaczenie Wynik – mnożnik zainwestowanego kapitału

8 ROI vs ROSI E – koszt ingorowania ryzyka [zł] S m – skuteczność zabezpieczenia [%] S c – koszt zabezpieczenia [zł] G – jak bardzo ograniczymy straty? [zł] C – koszt zabezpieczenia [zł]

9 Przykład – Logistyka (ROSI) Zabezpieczenie Prognozowane straty roczneSkutecznośćKosztROSI Żadne 75, % 0.00 Eskorta ochrony 1, % 100, Telemetryka 2, % 1,

10 Przykład – Logistyka (ROI) Zabezpieczenie Prognozowane straty roczne"Zysk"KosztROI Żadne 75, Eskorta ochrony 1, , , Telemetryka 2, , ,

11 Wyzwania Skąd dane wejściowe? – Własne dane historyczne, tablice aktuarialne, SLA dostawców, statystyki branżowe Dane obarczone dużym poziomiem niepewności – Średnia, mediana, odchylenie standardowe – Przedziały minimum-maksimum (widełki) – Rząd wielkości Co wpływa na jakość wskaźnika? – Analiza ryzyka – Koszty incydentów – Koszty zabezpieczeń

12 Wyzwania – koszty incydentów Utracone korzyści Czas pracy, naruszenia SLA Kary i odszkodowania Monitoring, odszkodowanie, kary za zaniedbania, kary za naruszenie SLA Koszty naprawy i śledztwa Personel wew/zew, narzędzia śledcze

13 Wyzwania – koszty zabezpieczeń Koszt wdrożenia Licencje, sprzęt, personel, szkolenia, doradztwo, wsparcie techniczne, zmiana Koszty operacyjne Administracja, wsparcie techniczne Koszty zewnętrzne Obciążenie systemu, obniżenie wydajności, awarie, czas użytkowników

14 Zalety Możliwość porównania racjonalności ekonomicznej – Podobnych zabezpieczeń Antywirus A versus antywirus B – Różnych zabezpieczeń Edukacja użytkowników versus system wykrywania wycieków danych (DLP) Obiektywizacja kryteriów wyboru zabezpieczeń Fakty zamiast ogólników – zważywszy na niniejsze wydaje się iż pewne przesłanki mogą wskazywać na zasadność, jednakże... Uzasadnienie zmiany jeśli zmienią się warunki wejściowe

15 Bezpieczeństwo a regulacja (*) Kilka rozpowszechnionych mitów Bezpieczeństwo jest najważniejsze Ale 100% bezpieczeństwa = 0% aktywności Każde działanie stanowi kompromis bezpieczeństwa Więcej bezpieczeństwa to lepiej Ale to także większy koszt i mniejsza efektywność Tylko X zapewni wysoki poziom bezpieczeństwa Ale czy tutaj potrzebujemy wysokiego poziomu?

16 Internetowe usługi finansowe Metoda autoryzacji IlośćZalety i wady Sektor konsumencki Sektor korporacyjny SMS 15 Łatwość użycia, bezpieczeństwo Niska niezaprzeczalność Sprzętowy token OTP 11 Wysokie koszty zarządzania Ochrona przed phishingiem, średnia niezaprzeczalność Wydruk OTP (TAN) 7 Podstawowa ochrona przed phishingiem Niska niezaprzeczalność Podpis elektroniczny 2Wysoka cena (QES), kłopotliwe użycie Wysoki poziom niezaprzeczalności

17 Gwarancje na oprogramowanie Niezawodne oprogramowanie istnieje – Formalne metody dowodzenia poprawności kodu – ADA SPARK, JOVIAL, SPIN, systemy klasy trusted – BNF, ASN.1 Ale tworzenie go jest bardzo kosztowne – Common Criteria EAL2 – od 50 tys., 12 miesięcy – Common Criteria EAL4 – od 150 tys., 18 miesięcy Czy chcemy powszechnych gwarancji na oprogramowanie? – Ja nie chcę! Wolę program za 300 zł, który działa wystarczająco dobrze

18 Dostęp do usług elektronicznych w Polsce Sektor prywatny Wystarczający poziom bezpieczeństwa 2010 – 8,4 mln – 22% obywateli Sektor publiczny Wysoki poziom bezpieczeństwa 2010 – 250 tys. – 0,94% obywateli

19 Podporządkowanie legislacji celom strategicznym Deklarowany cel strategiczny – Wprowadzenie i upowszechnienie usług administracji publicznej świadczonych drogą elektroniczną w celu ułatwienia obywatelom i firmom prowadzenia spraw w urzędach bez konieczności osobistego stawiania się w urzędzie (PIP, 2006) Deklarowane cele taktyczne –Bardzo nam zależało, by w Polsce upowszechnić stosowanie podpisu elektronicznego, zwłaszcza bezpiecznego. Wierzę, że rozporządzenie przyczyni się do tego, że wiele osób zacznie taki podpis stosować (MNiI, 2005, e-faktury) –Uważam, że ten zapis jest wręcz fundamentalny dla rozwoju podpisu elektronicznego i usług elektronicznych w administracji. W związku z tym popieramy tę propozycję zmiany. (MNiI, 2005, uoi)

20 Apel do ustawodawców Jakość i racjonalność legislacji – Regulamin pracy Rady Ministrów Analiza kosztów i zysków (§9.1) – Wytyczne do oceny skutków regulacji Ministerstwo Gospodarki – Public ROI (PROI) Model oceny racjonalności ekonomicznej zamówień publicznych Interesariusze: obywatele (!), dostawcy, administracja Oddziaływania: finansowe, polityczne, społeczne, strategiczne, ideologiczne, zaufanie do administracji


Pobierz ppt "Ekonomia bezpieczeństwa Paweł Krawczyk. Tematy Skąd potrzeba bezpieczeństwa? Jak mierzyć bezpieczeństwo? Jak wybierać zabezpieczenia? Bezpieczeństwo a."

Podobne prezentacje


Reklamy Google