• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Paweł Krawczyk - Ekonomia bezpieczeństwa
 

Paweł Krawczyk - Ekonomia bezpieczeństwa

on

  • 768 views

Zaktualizowana wersja prezentacji o ekonomii bezpieczeństwa przygotowana na Górską Konferencję Informatyków w 2012 roku. Patrz http://ipsec.pl/

Zaktualizowana wersja prezentacji o ekonomii bezpieczeństwa przygotowana na Górską Konferencję Informatyków w 2012 roku. Patrz http://ipsec.pl/

Statistics

Views

Total Views
768
Views on SlideShare
768
Embed Views
0

Actions

Likes
1
Downloads
2
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

CC Attribution License

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Paweł Krawczyk - Ekonomia bezpieczeństwa Paweł Krawczyk - Ekonomia bezpieczeństwa Presentation Transcript

    • Ekonomia bezpieczeństwaPaweł Krawczyk <pawel.krawczyk@hush.com>
    • TEMATY Skąd potrzeba bezpieczeństwa? Jak mierzyć bezpieczeństwo? Jak wybierać zabezpieczenia? Bezpieczeństwo a regulacja
    • ŹRÓDŁA BEZPIECZEŃSTWA Zewnętrzne  Klienci – łańcuch odpowiedzialności, SLA  Przepisy prawa, konkurencja, reputacja Wewnętrzne  Klienci wewnętrzni – SLA Analiza ryzyka  „10% szansy, że zapłacimy 10 mln zł kary” Redukcja ryzyka jako inwestycja  „unikniemy straty 1 mln zł za jedyne 100 tys. zł”
    • RACJONALNE BEZPIECZEŃSTWO (*) Chroni przed zagrożeniami Nie kosztuje więcej niż chronione dobra Drogi do irracjonalności  Błędna ocena ryzyka  Błędny wybór zabezpieczeń Skutki  Strata pewna zamiast prawdopodobnej  Chybione zabezpieczenia  Błędna alokacja zasobów
    • KRZYWA LAFFERAWpływy budżetowe Stawka podatkowa
    • KRZYWA LAFFERA
    • TECHNIKI UWIERZYTELNIANIA Sektor publiczny  Sektor prywatny  Podpis kwalifikowany  Hasła statyczne (~2000) (2001-2010)  Hasła jednorazowe  Wysoki poziom (~2002) bezpieczeństwa  Hasła SMS (~2005)
    • DOSTĘP DO USŁUG ELEKTRONICZNYCH W POLSCE Sektor prywatny  Sektor publiczny• „Wystarczający poziom bezpieczeństwa” • „Wysoki poziom bezpieczeństwa”• 2010 – 8,4 mln • 2010 – 250 tys. – 22% obywateli – 0,94% obywateli Dostęp do usług elektronicznych w Polsce 10000 8000 Liczba użytkowników [tys] 6000 4000 2000 0 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 Rok
    • BEZPIECZEŃSTWO A REGULACJA (*)Kilka rozpowszechnionych mitów „Bezpieczeństwo jest najważniejsze”  Ale 100% bezpieczeństwa = 0% aktywności  Każde działanie stanowi kompromis bezpieczeństwa „Więcej bezpieczeństwa to lepiej”  Ale to także większy koszt i mniejsza efektywność „Tylko X zapewni wysoki poziom bezpieczeństwa”  Ale czy tutaj potrzebujemy wysokiego poziomu?
    • GWARANCJE NA OPROGRAMOWANIE• Niezawodne oprogramowanie istnieje – Formalne metody dowodzenia poprawności kodu – ADA SPARK, JOVIAL, SPIN, systemy klasy „trusted” – BNF, ASN.1• Ale tworzenie go jest bardzo kosztowne – Common Criteria EAL2 – od 50 tys. €, 12 miesięcy – Common Criteria EAL4 – od 150 tys. €, 18 miesięcy• Czy chcemy powszechnych gwarancji na oprogramowanie? – Ja nie chcę! Wolę program za 300 zł, który działa wystarczająco dobrze
    • DROGA DO RACJONALNOŚCI Analiza ryzyka  Co mamy? Przed czym to chcemy chronić?  Ile kosztuje ryzyko? Ile kosztują zabezpieczenia? Analiza kosztów i korzyści (cost-benefit analysis) Techniki  Drzewa decyzyjne (decision trees)  Applied Information Economics
    • PRZYKŁAD – WIRUSY Skutki infekcji wirusa Skutki antywirusa  Sieć 1000 użytkowników  Sieć 1000 użytkowników  6 godzin przestoju/osobę  Strata 5 minut/dzień 3 roczne etaty   5000 min/dzień  Naprawa  10 rocznych etatów  0,12 rocznego etatu  Koszt: 440 tys. zł  Koszt: 130 tys. zł  Rocznie  Za jeden incydent!
    • PRZYKŁAD – SZYFROWANIEDYSKÓW 1000 UŻYTKOWNIKÓW60 kradzieży laptopów rocznie Full-Disk Encryption Średnio 80 rekordów  Roczna licencja 53 zł/laptop osobowych/laptop  Koszt licencji Koszt obsługi 1 rekordu  53 tys. zł  Koszt wsparcia technicznego  115 zł  12 tys. zł Roczny koszt incydentów  552 tys. zł
    • WSKAŹNIKI DO OCENY RACJONALNOŚCIEKONOMICZNEJ• Zwrot z inwestycji – ROI - Return on Investment• Zwrot z inwestycji w bezpieczeństwo – ROSI – Return on Security Investment – Inne danych wejściowe, to samo znaczenie• Wynik – mnożnik zainwestowanego kapitału
    • ROI VS ROSIG – „jak bardzo ograniczymy E – koszt ingorowania ryzykastraty?” [zł] [zł]C – koszt zabezpieczenia [zł] Sm – skuteczność zabezpieczenia [%] Sc – koszt zabezpieczenia [zł]
    • PRZYKŁAD – LOGISTYKA (ROSI) Prognozowane stratyZabezpieczenie Skuteczność Koszt ROSI roczne Żadne € 75,000.00 0% € 0.00 0.00Eskorta ochrony € 1,000.00 98.70% € 100,000.00 -0.26 Telemetryka € 2,000.00 97.30% € 1,000.00 71.98
    • PRZYKŁAD – LOGISTYKA (ROI) Prognozowane Zabezpieczenie "Zysk" Koszt ROI straty roczne Żadne € 75,000.00 € 0.00 € 0.00 0.00 Eskorta ochrony € 1,000.00 € 74,000.00 € 100,000.00 -0.26 Telemetryka € 2,000.00 € 73,000.00 € 1,000.00 72.00
    • WYZWANIA• Skąd dane wejściowe? – Własne dane historyczne, tablice aktuarialne, SLA dostawców, statystyki branżowe• Dane obarczone dużym poziomiem niepewności – Średnia, mediana, odchylenie standardowe – Przedziały minimum-maksimum (widełki) – Rząd wielkości• Co wpływa na jakość wskaźnika? – Analiza ryzyka – Koszty incydentów – Koszty zabezpieczeń
    • WYZWANIA – KOSZTY INCYDENTÓW Utracone korzyści  Czas pracy, naruszenia SLA Kary i odszkodowania  Monitoring, odszkodowanie, kary za zaniedbania, kary za naruszenie SLA Koszty naprawy i śledztwa  Personel wew/zew, narzędzia śledcze
    • WYZWANIA – KOSZTY ZABEZPIECZEŃ Koszt wdrożenia  Licencje, sprzęt, personel, szkolenia, doradztwo, wsparcie techniczne, zmiana Koszty operacyjne  Administracja, wsparcie techniczne Koszty zewnętrzne  Obciążenie systemu, obniżenie wydajności, awarie, czas użytkowników
    • ZALETY• Możliwość porównania racjonalności ekonomicznej – Podobnych zabezpieczeń • Antywirus A versus antywirus B – Różnych zabezpieczeń •Edukacja użytkowników versus system wykrywania wycieków danych (DLP)• Obiektywizacja kryteriów wyboru zabezpieczeń• Fakty zamiast ogólników – „zważywszy na niniejsze wydaje się iż pewne przesłanki mogą wskazywać na zasadność, jednakże...”• Uzasadnienie zmiany jeśli zmienią się warunki wejściowe
    • Pawel.krawczyk@hush.comPYTANIA?