Ekonomia bezpieczeństwaPaweł Krawczyk <pawel.krawczyk@hush.com>
TEMATY   Skąd potrzeba bezpieczeństwa?   Jak mierzyć bezpieczeństwo?   Jak wybierać zabezpieczenia?   Bezpieczeństwo a...
ŹRÓDŁA BEZPIECZEŃSTWA   Zewnętrzne       Klienci – łańcuch odpowiedzialności, SLA       Przepisy prawa, konkurencja, re...
RACJONALNE BEZPIECZEŃSTWO (*)   Chroni przed zagrożeniami   Nie kosztuje więcej niż chronione dobra   Drogi do irracjon...
KRZYWA LAFFERAWpływy budżetowe                   Stawka podatkowa
KRZYWA LAFFERA
TECHNIKI UWIERZYTELNIANIA   Sektor publiczny              Sektor prywatny       Podpis kwalifikowany          Hasła st...
DOSTĘP DO USŁUG                                               ELEKTRONICZNYCH W POLSCE   Sektor prywatny                 ...
BEZPIECZEŃSTWO A REGULACJA (*)Kilka rozpowszechnionych mitów  „Bezpieczeństwo jest najważniejsze”       Ale 100% bezpiec...
GWARANCJE NA OPROGRAMOWANIE•   Niezawodne oprogramowanie istnieje    –   Formalne metody dowodzenia poprawności kodu    – ...
DROGA DO RACJONALNOŚCI   Analiza ryzyka     Co  mamy? Przed czym to chcemy chronić?     Ile kosztuje ryzyko? Ile kosztu...
PRZYKŁAD – WIRUSY Skutki infekcji wirusa        Skutki antywirusa  Sieć 1000 użytkowników       Sieć 1000 użytkowników ...
PRZYKŁAD – SZYFROWANIEDYSKÓW             1000 UŻYTKOWNIKÓW60 kradzieży laptopów rocznie   Full-Disk Encryption   Średnio ...
WSKAŹNIKI DO OCENY RACJONALNOŚCIEKONOMICZNEJ•   Zwrot z inwestycji    –   ROI - Return on Investment•   Zwrot z inwestycji...
ROI VS ROSIG – „jak bardzo ograniczymy     E – koszt ingorowania ryzykastraty?” [zł]                   [zł]C – koszt zabez...
PRZYKŁAD – LOGISTYKA (ROSI)                  Prognozowane stratyZabezpieczenie                          Skuteczność      K...
PRZYKŁAD – LOGISTYKA (ROI)                    Prognozowane Zabezpieczenie                        "Zysk"         Koszt     ...
WYZWANIA•   Skąd dane wejściowe?    –   Własne dane historyczne, tablice aktuarialne, SLA        dostawców, statystyki bra...
WYZWANIA – KOSZTY INCYDENTÓW   Utracone korzyści       Czas pracy, naruszenia SLA   Kary i odszkodowania       Monitor...
WYZWANIA – KOSZTY ZABEZPIECZEŃ   Koszt wdrożenia       Licencje, sprzęt, personel, szkolenia, doradztwo, wsparcie       ...
ZALETY•   Możliwość porównania racjonalności ekonomicznej    –   Podobnych zabezpieczeń         •   Antywirus A versus ant...
Pawel.krawczyk@hush.comPYTANIA?
Upcoming SlideShare
Loading in …5
×

Paweł Krawczyk - Ekonomia bezpieczeństwa

838 views

Published on

Zaktualizowana wersja prezentacji o ekonomii bezpieczeństwa przygotowana na Górską Konferencję Informatyków w 2012 roku. Patrz http://ipsec.pl/

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
838
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
4
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Paweł Krawczyk - Ekonomia bezpieczeństwa

  1. 1. Ekonomia bezpieczeństwaPaweł Krawczyk <pawel.krawczyk@hush.com>
  2. 2. TEMATY Skąd potrzeba bezpieczeństwa? Jak mierzyć bezpieczeństwo? Jak wybierać zabezpieczenia? Bezpieczeństwo a regulacja
  3. 3. ŹRÓDŁA BEZPIECZEŃSTWA Zewnętrzne  Klienci – łańcuch odpowiedzialności, SLA  Przepisy prawa, konkurencja, reputacja Wewnętrzne  Klienci wewnętrzni – SLA Analiza ryzyka  „10% szansy, że zapłacimy 10 mln zł kary” Redukcja ryzyka jako inwestycja  „unikniemy straty 1 mln zł za jedyne 100 tys. zł”
  4. 4. RACJONALNE BEZPIECZEŃSTWO (*) Chroni przed zagrożeniami Nie kosztuje więcej niż chronione dobra Drogi do irracjonalności  Błędna ocena ryzyka  Błędny wybór zabezpieczeń Skutki  Strata pewna zamiast prawdopodobnej  Chybione zabezpieczenia  Błędna alokacja zasobów
  5. 5. KRZYWA LAFFERAWpływy budżetowe Stawka podatkowa
  6. 6. KRZYWA LAFFERA
  7. 7. TECHNIKI UWIERZYTELNIANIA Sektor publiczny  Sektor prywatny  Podpis kwalifikowany  Hasła statyczne (~2000) (2001-2010)  Hasła jednorazowe  Wysoki poziom (~2002) bezpieczeństwa  Hasła SMS (~2005)
  8. 8. DOSTĘP DO USŁUG ELEKTRONICZNYCH W POLSCE Sektor prywatny  Sektor publiczny• „Wystarczający poziom bezpieczeństwa” • „Wysoki poziom bezpieczeństwa”• 2010 – 8,4 mln • 2010 – 250 tys. – 22% obywateli – 0,94% obywateli Dostęp do usług elektronicznych w Polsce 10000 8000 Liczba użytkowników [tys] 6000 4000 2000 0 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 Rok
  9. 9. BEZPIECZEŃSTWO A REGULACJA (*)Kilka rozpowszechnionych mitów „Bezpieczeństwo jest najważniejsze”  Ale 100% bezpieczeństwa = 0% aktywności  Każde działanie stanowi kompromis bezpieczeństwa „Więcej bezpieczeństwa to lepiej”  Ale to także większy koszt i mniejsza efektywność „Tylko X zapewni wysoki poziom bezpieczeństwa”  Ale czy tutaj potrzebujemy wysokiego poziomu?
  10. 10. GWARANCJE NA OPROGRAMOWANIE• Niezawodne oprogramowanie istnieje – Formalne metody dowodzenia poprawności kodu – ADA SPARK, JOVIAL, SPIN, systemy klasy „trusted” – BNF, ASN.1• Ale tworzenie go jest bardzo kosztowne – Common Criteria EAL2 – od 50 tys. €, 12 miesięcy – Common Criteria EAL4 – od 150 tys. €, 18 miesięcy• Czy chcemy powszechnych gwarancji na oprogramowanie? – Ja nie chcę! Wolę program za 300 zł, który działa wystarczająco dobrze
  11. 11. DROGA DO RACJONALNOŚCI Analiza ryzyka  Co mamy? Przed czym to chcemy chronić?  Ile kosztuje ryzyko? Ile kosztują zabezpieczenia? Analiza kosztów i korzyści (cost-benefit analysis) Techniki  Drzewa decyzyjne (decision trees)  Applied Information Economics
  12. 12. PRZYKŁAD – WIRUSY Skutki infekcji wirusa Skutki antywirusa  Sieć 1000 użytkowników  Sieć 1000 użytkowników  6 godzin przestoju/osobę  Strata 5 minut/dzień 3 roczne etaty   5000 min/dzień  Naprawa  10 rocznych etatów  0,12 rocznego etatu  Koszt: 440 tys. zł  Koszt: 130 tys. zł  Rocznie  Za jeden incydent!
  13. 13. PRZYKŁAD – SZYFROWANIEDYSKÓW 1000 UŻYTKOWNIKÓW60 kradzieży laptopów rocznie Full-Disk Encryption Średnio 80 rekordów  Roczna licencja 53 zł/laptop osobowych/laptop  Koszt licencji Koszt obsługi 1 rekordu  53 tys. zł  Koszt wsparcia technicznego  115 zł  12 tys. zł Roczny koszt incydentów  552 tys. zł
  14. 14. WSKAŹNIKI DO OCENY RACJONALNOŚCIEKONOMICZNEJ• Zwrot z inwestycji – ROI - Return on Investment• Zwrot z inwestycji w bezpieczeństwo – ROSI – Return on Security Investment – Inne danych wejściowe, to samo znaczenie• Wynik – mnożnik zainwestowanego kapitału
  15. 15. ROI VS ROSIG – „jak bardzo ograniczymy E – koszt ingorowania ryzykastraty?” [zł] [zł]C – koszt zabezpieczenia [zł] Sm – skuteczność zabezpieczenia [%] Sc – koszt zabezpieczenia [zł]
  16. 16. PRZYKŁAD – LOGISTYKA (ROSI) Prognozowane stratyZabezpieczenie Skuteczność Koszt ROSI roczne Żadne € 75,000.00 0% € 0.00 0.00Eskorta ochrony € 1,000.00 98.70% € 100,000.00 -0.26 Telemetryka € 2,000.00 97.30% € 1,000.00 71.98
  17. 17. PRZYKŁAD – LOGISTYKA (ROI) Prognozowane Zabezpieczenie "Zysk" Koszt ROI straty roczne Żadne € 75,000.00 € 0.00 € 0.00 0.00 Eskorta ochrony € 1,000.00 € 74,000.00 € 100,000.00 -0.26 Telemetryka € 2,000.00 € 73,000.00 € 1,000.00 72.00
  18. 18. WYZWANIA• Skąd dane wejściowe? – Własne dane historyczne, tablice aktuarialne, SLA dostawców, statystyki branżowe• Dane obarczone dużym poziomiem niepewności – Średnia, mediana, odchylenie standardowe – Przedziały minimum-maksimum (widełki) – Rząd wielkości• Co wpływa na jakość wskaźnika? – Analiza ryzyka – Koszty incydentów – Koszty zabezpieczeń
  19. 19. WYZWANIA – KOSZTY INCYDENTÓW Utracone korzyści  Czas pracy, naruszenia SLA Kary i odszkodowania  Monitoring, odszkodowanie, kary za zaniedbania, kary za naruszenie SLA Koszty naprawy i śledztwa  Personel wew/zew, narzędzia śledcze
  20. 20. WYZWANIA – KOSZTY ZABEZPIECZEŃ Koszt wdrożenia  Licencje, sprzęt, personel, szkolenia, doradztwo, wsparcie techniczne, zmiana Koszty operacyjne  Administracja, wsparcie techniczne Koszty zewnętrzne  Obciążenie systemu, obniżenie wydajności, awarie, czas użytkowników
  21. 21. ZALETY• Możliwość porównania racjonalności ekonomicznej – Podobnych zabezpieczeń • Antywirus A versus antywirus B – Różnych zabezpieczeń •Edukacja użytkowników versus system wykrywania wycieków danych (DLP)• Obiektywizacja kryteriów wyboru zabezpieczeń• Fakty zamiast ogólników – „zważywszy na niniejsze wydaje się iż pewne przesłanki mogą wskazywać na zasadność, jednakże...”• Uzasadnienie zmiany jeśli zmienią się warunki wejściowe
  22. 22. Pawel.krawczyk@hush.comPYTANIA?

×