Reputacja jako aktywa. Zagrożenia, przewidywanie strat i zarządzanie ryzykiem

1,756 views

Published on

Published in: Business, Economy & Finance
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,756
On SlideShare
0
From Embeds
0
Number of Embeds
34
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Reputacja jako aktywa. Zagrożenia, przewidywanie strat i zarządzanie ryzykiem

  1. 1. Reputacja jako aktywa Zagrożenia, przewidywanie strat i zarządzanie ryzykiem BIN GigaCon Warszawa, 10 września 2007
  2. 2. Reputacja – aktywa (1) <ul><li>Pozyskany poziom zaufania </li></ul><ul><ul><li>Klientów, dostawców </li></ul></ul><ul><ul><li>Pracowników </li></ul></ul><ul><ul><li>Partnerów, wspólników, udziałowców </li></ul></ul><ul><li>Pozytywne skojarzenia z marką </li></ul><ul><li>Zdobywana z czasem </li></ul><ul><ul><li>Wyjątki – niektóre firmy new economy </li></ul></ul><ul><li>Trudna do zdobycia „na skróty” -> cenna </li></ul>/26
  3. 3. Reputacja – aktywa (2) <ul><li>Trudna w utrzymaniu </li></ul><ul><li>Bardzo łatwa do stracenia </li></ul><ul><ul><li>Usługi finansowe -> pieniądze </li></ul></ul><ul><ul><li>Usługi profesjonalne </li></ul></ul><ul><ul><ul><li>Klient, kontrahent, wspólnik, itp. nie jest w stanie sam obiektywnie ocenić jakości </li></ul></ul></ul><ul><li>Opiera się na subiektywnym odczuciu </li></ul><ul><ul><li>Obiektywny stan rzeczy ma mniejsze znaczenie </li></ul></ul><ul><li>Staje się kluczowym czynnikiem decydującym o konkurencyjności </li></ul>/26
  4. 4. Ryzyko operacyjne <ul><li>Ryzyko pośrednich i bezpośrednich strat wynikających z nieodpowiednich lub błędnych procesów i procedur wewnętrznych, działania ludzi lub systemów, jak i zdarzeń zewnętrznych. [komitet bazylejski] </li></ul><ul><ul><li>Nie obejmuje ryzyka związanego z reputacją </li></ul></ul><ul><li>Miara prawdopodobieństwa urzeczywistnienia się zagrożeń </li></ul>/26
  5. 5. Zarządzanie ryzykiem <ul><li>Identyfikacja ryzyka </li></ul><ul><ul><li>Poprzez identyfikację podatności i zagrożeń </li></ul></ul><ul><li>Ocena ryzyka </li></ul><ul><ul><li>Przewidywanie strat </li></ul></ul><ul><ul><li>Bilans kosztów/zysków </li></ul></ul><ul><li>Postępowanie z ryzykiem </li></ul><ul><ul><li>Redukcja, akceptacja, delegacja lub unikanie ryzyka </li></ul></ul><ul><li>Tworzenie planu redukcji ryzyka </li></ul><ul><li>Implementacja </li></ul><ul><li>Ocena… </li></ul>/26
  6. 6. Zarządzanie ryzykiem utraty reputacji (1) <ul><li>Szybka i efektywna komunikacja </li></ul><ul><li>Implementacja skutecznych kontroli </li></ul><ul><li>Ciągłe monitorowanie zagrożeń dla reputacji </li></ul><ul><li>Zapewnienie przestrzegania zasad etycznych pośród dostawców </li></ul><ul><li>Stworzenie i ciągłe uaktualnianie planów zarządzania kryzysowego </li></ul><ul><li>Bla bla bla…. </li></ul>/26
  7. 7. Zarządzanie ryzykiem utraty reputacji (2) <ul><li>Skuteczne zarządzanie ryzykiem utraty reputacji osiąga się poprzez zadowalające zarządzanie pozostałym ryzykiem </li></ul><ul><ul><li>“ Reputational risk is about getting everything else right...” Reputational risk , Bob McDowall, The Register </li></ul></ul><ul><li>Truizmy </li></ul>/26
  8. 8. Bilans kosztów/zysków <ul><li>ROSI (Return on Security Investment) </li></ul><ul><li>NPV (Net Present Value) </li></ul><ul><li>IRR (Internal Rate of Return) </li></ul><ul><li>Wymaga analizy i kwantyfikacji strat </li></ul>/26
  9. 9. Określanie kosztów utraty reputacji <ul><li>Określenie skutków pośrednich (odsuniętych w czasie) </li></ul><ul><ul><li>Wycena tych skutków </li></ul></ul><ul><li>Trudne! </li></ul><ul><ul><li>Brak dobrych modeli i metod </li></ul></ul><ul><ul><li>Trudność przewidzenia nowych podatności i zagrożeni </li></ul></ul><ul><ul><li>Wiele merytorycznych i pozamerytorycznych czynników wpływających na sytuację </li></ul></ul><ul><ul><li>… </li></ul></ul>/26
  10. 10. Metody określania strat pośrednich (kosztów utraty reputacji) <ul><li>Subiektywne </li></ul><ul><ul><li>Wywiady </li></ul></ul><ul><ul><li>Kwestionariusze </li></ul></ul><ul><ul><li>Case studies (niekoniecznie przystające) </li></ul></ul><ul><ul><li>Wiedza ekspercka </li></ul></ul><ul><li>Niepewne </li></ul><ul><ul><li>Statystyki </li></ul></ul><ul><ul><ul><li>Niewiele historycznych danych </li></ul></ul></ul><ul><ul><ul><li>Problem z wyizolowaniem wpływu badanych czynników </li></ul></ul></ul><ul><ul><li>Logika rozmyta (Cas de Bie) </li></ul></ul><ul><ul><ul><li>Pozwala zagregować dane historyczne </li></ul></ul></ul><ul><ul><ul><li>Problemy jak w metodach statystycznych </li></ul></ul></ul><ul><li>Brak dobrych uniwersalnych metod </li></ul>/26
  11. 11. Wiele dodatkowych czynników <ul><li>Instytucje finansowe </li></ul><ul><ul><li>Ryzyko rynkowe </li></ul></ul><ul><ul><li>Ryzyko kredytowe </li></ul></ul><ul><ul><li>Ryzyko utraty płynności </li></ul></ul><ul><ul><li>Ryzyko niezgodności z regulacjami </li></ul></ul><ul><ul><li>Ryzyko operacyjne </li></ul></ul><ul><ul><ul><li>Ryzyko IT </li></ul></ul></ul><ul><ul><ul><ul><li>Ryzyko bezpieczeństwa IT </li></ul></ul></ul></ul><ul><ul><ul><ul><ul><li>Ryzyko związane z nieuprawnionym ujawnieniem, zmianą lub spowodowaniem braku dostępności danych </li></ul></ul></ul></ul></ul><ul><li>Problem z wyizolowaniem skutków </li></ul>/26
  12. 12. Typ incydentu <ul><li>Wyciek poufnych danych (C) </li></ul><ul><ul><li>Istotne znaczenie dla udziałowców </li></ul></ul><ul><li>Problemy z dostępnością (A) </li></ul><ul><ul><li>Przypominają problemy magazynowe </li></ul></ul><ul><ul><li>Klient prawdopodobnie powróci następnego dnia (merlin.pl, allegro.pl) </li></ul></ul><ul><ul><ul><li>Lub uda się do konkurencji (google) </li></ul></ul></ul><ul><li>Problemy z integralnością (I) </li></ul><ul><ul><li>Podmiana witryny – bezpośredni atak na markę </li></ul></ul>/26
  13. 13. Nowe podatności i zagrożenia <ul><li>Nowe podatności </li></ul><ul><ul><li>Techniczne, np. WEP, aplikacje, urządzenia </li></ul></ul><ul><ul><ul><li>Responsible/irresponsible disclosure </li></ul></ul></ul><ul><ul><ul><li>Problem z łataniem </li></ul></ul></ul><ul><ul><li>Dodatkowe regulacje </li></ul></ul><ul><ul><ul><li>Potencjalna niezgodność </li></ul></ul></ul><ul><ul><li>… </li></ul></ul><ul><li>Nowe zagrożenia </li></ul><ul><ul><li>Phishing – tak naprawdę nie mamy na to wpływu </li></ul></ul><ul><ul><li>Większa skuteczność mediów </li></ul></ul><ul><ul><li>… </li></ul></ul>/26
  14. 14. Różna wartość dla interesariuszy <ul><li>Udziałowcy </li></ul><ul><ul><li>Minimalna jeśli nie miał miejsca nieuprawniony dostęp do poufnych informacji </li></ul></ul><ul><li>Partnerzy </li></ul><ul><ul><li>Merytoryczna analiza ryzyka </li></ul></ul><ul><ul><li>Bez sentymentów </li></ul></ul><ul><li>Klienci </li></ul><ul><ul><li>Podatni na nastroje </li></ul></ul><ul><ul><li>Ulegają iluzorycznemu wrażeniu </li></ul></ul><ul><ul><li>Kierują się własnym poczuciem </li></ul></ul>/26
  15. 15. Merytoryczne powody różnych reakcji <ul><li>Bank vs. Digg.com </li></ul><ul><ul><li>Poziom zaufania, jakim użytkownik/klient musi darzyć firmę, by czuć się komfortowo </li></ul></ul><ul><li>Konkurencja na rynku </li></ul><ul><ul><li>Brak alternatyw zmniejsza skutki utraty reputacji </li></ul></ul><ul><li>Względnie przewidywalne </li></ul>/26
  16. 16. Pozamerytoryczne powody różnych reakcji <ul><li>Zasięg mediów </li></ul><ul><ul><li>Lokalne/ogólnokrajowe </li></ul></ul><ul><li>Czas kiedy ogłoszona zostanie wiadomość </li></ul><ul><ul><li>„ Sezon ogórkowy” </li></ul></ul><ul><ul><ul><li>Mało wiadomości – dużo czasu </li></ul></ul></ul><ul><ul><ul><li>Do sporej części odbiorców wiadomość nie dotrze </li></ul></ul></ul><ul><li>Stan reputacji w momencie incydentu </li></ul><ul><ul><li>Nawarstwianie się złej prasy </li></ul></ul><ul><li>„ Chwytliwość” informacji z punktu widzenia mediów </li></ul><ul><li>Bardzo trudne do przewidzenia </li></ul>/26
  17. 17. Niespodziewane skutki <ul><li>Skutki inwestycji zainspirowanych skutecznym atakiem </li></ul><ul><ul><li>Długoterminowo mogą zniwelować negatywny wpływ opublikowanej informacji na reputację </li></ul></ul><ul><li>Raportowanie do organów ścigania </li></ul><ul><ul><li>Media </li></ul></ul><ul><li>„ Cyber insurance” </li></ul><ul><ul><li>Wyciek informacji </li></ul></ul>/26
  18. 18. Niespodziewane skutki <ul><li>Skutki inwestycji zainspirowanych skutecznym atakiem </li></ul><ul><ul><li>Długoterminowo mogą zniwelować negatywny wpływ opublikowanej informacji na reputację </li></ul></ul><ul><li>Raportowanie do organów ścigania </li></ul><ul><ul><li>Media </li></ul></ul><ul><li>„ Cyber insurance” </li></ul><ul><ul><li>Wyciek informacji </li></ul></ul>/26
  19. 19. Raportowanie do organów ścigania (1) /26
  20. 20. Raportowanie do organów ścigania (2) /26
  21. 21. Niespodziewane skutki <ul><li>Skutki inwestycji zainspirowanych skutecznym atakiem </li></ul><ul><ul><li>Długoterminowo mogą zniwelować negatywny wpływ opublikowanej informacji na reputację </li></ul></ul><ul><li>Raportowanie do organów ścigania </li></ul><ul><ul><li>Media </li></ul></ul><ul><li>„ Cyber insurance” </li></ul><ul><ul><li>Wyciek informacji </li></ul></ul>/26
  22. 22. Ubezpieczenie typu „Cyber Insurance” Lawrence A. Gordon, Martin P. Loeb /26 Redukcja pozostałego ryzyka szczątkowego za pomocą ubezpieczenia typu „Cyber Insurance” Redukcja ryzyka przełamania zabezpieczeń do poziomu akceptowalnego poprzez zastosowanie zabezpieczeń Szacowanie ryzyka (Risk Assessment) Utrzymanie ryzyka na akceptowalnym poziomie
  23. 23. Wnioski <ul><li>Trudne  </li></ul><ul><li>Brak gotowych modeli </li></ul><ul><li>Bardzo dużo czynników do wzięcia pod uwagę </li></ul><ul><li>Trudne do przewidzenia skutki </li></ul><ul><li>Gra pozorów i iluzji </li></ul><ul><li>Warto – im dokładniej tym lepiej </li></ul>/26
  24. 24. Literatura <ul><li>2006 CSI/FBI computer crime and security survey , Lawrence A. Gordon, Martin P. Loeb, William Lucyshyn and Robert Richardson </li></ul><ul><li>The economic cost of publicly announced information security breaches: empirical evidence from the stock market , Katherine Campbell, Lawrence A. Gordon, Martin P. Loeb and Lei Zhou </li></ul><ul><li>Exploring ways to Model Reputation Loss (Master thesis) , Cas de Bie </li></ul>/26
  25. 25. /26
  26. 26. <ul><li>Michał Sobiegraj specjalizuje się w bezpieczeństwie systemów informatycznych. Jest konsultantem i ewangelizatorem bezpieczeństwa informacji. Legitymuje się certyfikatem CISSP i może się pochwalić szerokim praktycznym doświadczeniem w zabezpieczaniu technologiach informatycznych. </li></ul><ul><li>Przez ostatnie osiem lat, pracując między innymi dla firm hostingowych oraz firm sektora finansowego, zajmował się projektowaniem i wdrażaniem bezpiecznych rozwiązań informatycznych oraz audytem i poprawianiem bezpieczeństwa już wdrożonych rozwiązań. </li></ul><ul><li>Ostatnio pracował jako analityk ds. bezpieczeństwa informacji w trzynastym pod względem wielkości aktywów banku na świecie, gdzie zajmował się analizą ryzyka bankowych systemów informatycznych. </li></ul><ul><li>Michal@Sobiegraj.com </li></ul>/26

×