• Save
Reputacja jako aktywa. Zagrożenia, przewidywanie strat i zarządzanie ryzykiem
Upcoming SlideShare
Loading in...5
×
 

Reputacja jako aktywa. Zagrożenia, przewidywanie strat i zarządzanie ryzykiem

on

  • 2,569 views

 

Statistics

Views

Total Views
2,569
Views on SlideShare
2,486
Embed Views
83

Actions

Likes
0
Downloads
0
Comments
0

3 Embeds 83

http://sobiegraj.com 78
http://www.slideshare.net 3
http://www.slideee.com 2

Accessibility

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Reputacja jako aktywa. Zagrożenia, przewidywanie strat i zarządzanie ryzykiem Reputacja jako aktywa. Zagrożenia, przewidywanie strat i zarządzanie ryzykiem Presentation Transcript

  • Reputacja jako aktywa Zagrożenia, przewidywanie strat i zarządzanie ryzykiem BIN GigaCon Warszawa, 10 września 2007
  • Reputacja – aktywa (1)
    • Pozyskany poziom zaufania
      • Klientów, dostawców
      • Pracowników
      • Partnerów, wspólników, udziałowców
    • Pozytywne skojarzenia z marką
    • Zdobywana z czasem
      • Wyjątki – niektóre firmy new economy
    • Trudna do zdobycia „na skróty” -> cenna
    /26
  • Reputacja – aktywa (2)
    • Trudna w utrzymaniu
    • Bardzo łatwa do stracenia
      • Usługi finansowe -> pieniądze
      • Usługi profesjonalne
        • Klient, kontrahent, wspólnik, itp. nie jest w stanie sam obiektywnie ocenić jakości
    • Opiera się na subiektywnym odczuciu
      • Obiektywny stan rzeczy ma mniejsze znaczenie
    • Staje się kluczowym czynnikiem decydującym o konkurencyjności
    /26 View slide
  • Ryzyko operacyjne
    • Ryzyko pośrednich i bezpośrednich strat wynikających z nieodpowiednich lub błędnych procesów i procedur wewnętrznych, działania ludzi lub systemów, jak i zdarzeń zewnętrznych. [komitet bazylejski]
      • Nie obejmuje ryzyka związanego z reputacją
    • Miara prawdopodobieństwa urzeczywistnienia się zagrożeń
    /26 View slide
  • Zarządzanie ryzykiem
    • Identyfikacja ryzyka
      • Poprzez identyfikację podatności i zagrożeń
    • Ocena ryzyka
      • Przewidywanie strat
      • Bilans kosztów/zysków
    • Postępowanie z ryzykiem
      • Redukcja, akceptacja, delegacja lub unikanie ryzyka
    • Tworzenie planu redukcji ryzyka
    • Implementacja
    • Ocena…
    /26
  • Zarządzanie ryzykiem utraty reputacji (1)
    • Szybka i efektywna komunikacja
    • Implementacja skutecznych kontroli
    • Ciągłe monitorowanie zagrożeń dla reputacji
    • Zapewnienie przestrzegania zasad etycznych pośród dostawców
    • Stworzenie i ciągłe uaktualnianie planów zarządzania kryzysowego
    • Bla bla bla….
    /26
  • Zarządzanie ryzykiem utraty reputacji (2)
    • Skuteczne zarządzanie ryzykiem utraty reputacji osiąga się poprzez zadowalające zarządzanie pozostałym ryzykiem
      • “ Reputational risk is about getting everything else right...” Reputational risk , Bob McDowall, The Register
    • Truizmy
    /26
  • Bilans kosztów/zysków
    • ROSI (Return on Security Investment)
    • NPV (Net Present Value)
    • IRR (Internal Rate of Return)
    • Wymaga analizy i kwantyfikacji strat
    /26
  • Określanie kosztów utraty reputacji
    • Określenie skutków pośrednich (odsuniętych w czasie)
      • Wycena tych skutków
    • Trudne!
      • Brak dobrych modeli i metod
      • Trudność przewidzenia nowych podatności i zagrożeni
      • Wiele merytorycznych i pozamerytorycznych czynników wpływających na sytuację
    /26
  • Metody określania strat pośrednich (kosztów utraty reputacji)
    • Subiektywne
      • Wywiady
      • Kwestionariusze
      • Case studies (niekoniecznie przystające)
      • Wiedza ekspercka
    • Niepewne
      • Statystyki
        • Niewiele historycznych danych
        • Problem z wyizolowaniem wpływu badanych czynników
      • Logika rozmyta (Cas de Bie)
        • Pozwala zagregować dane historyczne
        • Problemy jak w metodach statystycznych
    • Brak dobrych uniwersalnych metod
    /26
  • Wiele dodatkowych czynników
    • Instytucje finansowe
      • Ryzyko rynkowe
      • Ryzyko kredytowe
      • Ryzyko utraty płynności
      • Ryzyko niezgodności z regulacjami
      • Ryzyko operacyjne
        • Ryzyko IT
          • Ryzyko bezpieczeństwa IT
            • Ryzyko związane z nieuprawnionym ujawnieniem, zmianą lub spowodowaniem braku dostępności danych
    • Problem z wyizolowaniem skutków
    /26
  • Typ incydentu
    • Wyciek poufnych danych (C)
      • Istotne znaczenie dla udziałowców
    • Problemy z dostępnością (A)
      • Przypominają problemy magazynowe
      • Klient prawdopodobnie powróci następnego dnia (merlin.pl, allegro.pl)
        • Lub uda się do konkurencji (google)
    • Problemy z integralnością (I)
      • Podmiana witryny – bezpośredni atak na markę
    /26
  • Nowe podatności i zagrożenia
    • Nowe podatności
      • Techniczne, np. WEP, aplikacje, urządzenia
        • Responsible/irresponsible disclosure
        • Problem z łataniem
      • Dodatkowe regulacje
        • Potencjalna niezgodność
    • Nowe zagrożenia
      • Phishing – tak naprawdę nie mamy na to wpływu
      • Większa skuteczność mediów
    /26
  • Różna wartość dla interesariuszy
    • Udziałowcy
      • Minimalna jeśli nie miał miejsca nieuprawniony dostęp do poufnych informacji
    • Partnerzy
      • Merytoryczna analiza ryzyka
      • Bez sentymentów
    • Klienci
      • Podatni na nastroje
      • Ulegają iluzorycznemu wrażeniu
      • Kierują się własnym poczuciem
    /26
  • Merytoryczne powody różnych reakcji
    • Bank vs. Digg.com
      • Poziom zaufania, jakim użytkownik/klient musi darzyć firmę, by czuć się komfortowo
    • Konkurencja na rynku
      • Brak alternatyw zmniejsza skutki utraty reputacji
    • Względnie przewidywalne
    /26
  • Pozamerytoryczne powody różnych reakcji
    • Zasięg mediów
      • Lokalne/ogólnokrajowe
    • Czas kiedy ogłoszona zostanie wiadomość
      • „ Sezon ogórkowy”
        • Mało wiadomości – dużo czasu
        • Do sporej części odbiorców wiadomość nie dotrze
    • Stan reputacji w momencie incydentu
      • Nawarstwianie się złej prasy
    • „ Chwytliwość” informacji z punktu widzenia mediów
    • Bardzo trudne do przewidzenia
    /26
  • Niespodziewane skutki
    • Skutki inwestycji zainspirowanych skutecznym atakiem
      • Długoterminowo mogą zniwelować negatywny wpływ opublikowanej informacji na reputację
    • Raportowanie do organów ścigania
      • Media
    • „ Cyber insurance”
      • Wyciek informacji
    /26
  • Niespodziewane skutki
    • Skutki inwestycji zainspirowanych skutecznym atakiem
      • Długoterminowo mogą zniwelować negatywny wpływ opublikowanej informacji na reputację
    • Raportowanie do organów ścigania
      • Media
    • „ Cyber insurance”
      • Wyciek informacji
    /26
  • Raportowanie do organów ścigania (1) /26
  • Raportowanie do organów ścigania (2) /26
  • Niespodziewane skutki
    • Skutki inwestycji zainspirowanych skutecznym atakiem
      • Długoterminowo mogą zniwelować negatywny wpływ opublikowanej informacji na reputację
    • Raportowanie do organów ścigania
      • Media
    • „ Cyber insurance”
      • Wyciek informacji
    /26
  • Ubezpieczenie typu „Cyber Insurance” Lawrence A. Gordon, Martin P. Loeb /26 Redukcja pozostałego ryzyka szczątkowego za pomocą ubezpieczenia typu „Cyber Insurance” Redukcja ryzyka przełamania zabezpieczeń do poziomu akceptowalnego poprzez zastosowanie zabezpieczeń Szacowanie ryzyka (Risk Assessment) Utrzymanie ryzyka na akceptowalnym poziomie
  • Wnioski
    • Trudne 
    • Brak gotowych modeli
    • Bardzo dużo czynników do wzięcia pod uwagę
    • Trudne do przewidzenia skutki
    • Gra pozorów i iluzji
    • Warto – im dokładniej tym lepiej
    /26
  • Literatura
    • 2006 CSI/FBI computer crime and security survey , Lawrence A. Gordon, Martin P. Loeb, William Lucyshyn and Robert Richardson
    • The economic cost of publicly announced information security breaches: empirical evidence from the stock market , Katherine Campbell, Lawrence A. Gordon, Martin P. Loeb and Lei Zhou
    • Exploring ways to Model Reputation Loss (Master thesis) , Cas de Bie
    /26
  • /26
    • Michał Sobiegraj specjalizuje się w bezpieczeństwie systemów informatycznych. Jest konsultantem i ewangelizatorem bezpieczeństwa informacji. Legitymuje się certyfikatem CISSP i może się pochwalić szerokim praktycznym doświadczeniem w zabezpieczaniu technologiach informatycznych.
    • Przez ostatnie osiem lat, pracując między innymi dla firm hostingowych oraz firm sektora finansowego, zajmował się projektowaniem i wdrażaniem bezpiecznych rozwiązań informatycznych oraz audytem i poprawianiem bezpieczeństwa już wdrożonych rozwiązań.
    • Ostatnio pracował jako analityk ds. bezpieczeństwa informacji w trzynastym pod względem wielkości aktywów banku na świecie, gdzie zajmował się analizą ryzyka bankowych systemów informatycznych.
    • Michal@Sobiegraj.com
    /26