1 / 20

Ekonomia bezpieczeństwa Paweł Krawczyk <pawel.krawczyk@hush>

Ekonomia bezpieczeństwa Paweł Krawczyk <pawel.krawczyk@hush.com>. Tematy. Skąd potrzeba bezpieczeństwa? Jak mierzyć bezpieczeństwo? Jak wybierać zabezpieczenia? Bezpieczeństwo a regulacja. Źródła bezpieczeństwa. Zewnętrzne Klienci – łańcuch odpowiedzialności, SLA

phong
Download Presentation

Ekonomia bezpieczeństwa Paweł Krawczyk <pawel.krawczyk@hush>

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Ekonomia bezpieczeństwa Paweł Krawczyk <pawel.krawczyk@hush.com>

  2. Tematy • Skąd potrzeba bezpieczeństwa? • Jak mierzyć bezpieczeństwo? • Jak wybierać zabezpieczenia? • Bezpieczeństwo a regulacja

  3. Źródła bezpieczeństwa • Zewnętrzne • Klienci – łańcuch odpowiedzialności, SLA • Przepisy prawa, konkurencja, reputacja • Wewnętrzne • Klienci wewnętrzni – SLA • Analiza ryzyka • „10% szansy, że zapłacimy 10 mln zł kary” • Redukcja ryzyka jako inwestycja • „unikniemy straty 1 mln zł za jedyne 100 tys. zł”

  4. Racjonalne bezpieczeństwo (*) • Chroni przed zagrożeniami • Nie kosztuje więcej niż chronione dobra • Drogi do irracjonalności • Błędna ocena ryzyka • Błędny wybór zabezpieczeń • Skutki • Strata pewna zamiast prawdopodobnej • Chybione zabezpieczenia • Błędna alokacja zasobów

  5. Antywirus Strata 5 minut/dzień 5000 min/dzień 10 rocznych etatów Koszt: 440 tys. zł Rocznie Przykład – wirusy 1000 użytkowników Wirus • 6 godzin przestoju/osobę • 3 roczne etaty • Naprawa • 0,12 rocznego etatu • Koszt: 130 tys. zł • Za jeden incydent!

  6. Przykład – szyfrowanie dysków 1000 użytkowników Full-Disk Encryption • Roczna licencja 53 zł/laptop • Koszt licencji • 53 tys. zł • Koszt wsparcia technicznego • 12 tys. zł 60 kradzieży laptopów rocznie • Średnio 80 rekordów osobowych/laptop • Koszt obsługi 1 rekordu • 115 zł • Roczny koszt incydentów • 552 tys. zł

  7. Wskaźniki do oceny racjonalności ekonomicznej • Zwrot z inwestycji • ROI - Return on Investment • Zwrot z inwestycji w bezpieczeństwo • ROSI – Return on Security Investment • Inne danych wejściowe, to samo znaczenie • Wynik – mnożnik zainwestowanego kapitału

  8. ROI vs ROSI G – „jak bardzo ograniczymy straty?” [zł] C – koszt zabezpieczenia [zł] E – koszt ingorowania ryzyka [zł] Sm – skuteczność zabezpieczenia [%] Sc – koszt zabezpieczenia [zł]

  9. Przykład – Logistyka (ROSI)

  10. Przykład – Logistyka (ROI)

  11. Wyzwania • Skąd dane wejściowe? • Własne dane historyczne, tablice aktuarialne, SLA dostawców, statystyki branżowe • Dane obarczone dużym poziomiem niepewności • Średnia, mediana, odchylenie standardowe • Przedziały minimum-maksimum (widełki) • Rząd wielkości • Co wpływa na jakość wskaźnika? • Analiza ryzyka • Koszty incydentów • Koszty zabezpieczeń

  12. Wyzwania – koszty incydentów • Utracone korzyści • Czas pracy, naruszenia SLA • Kary i odszkodowania • Monitoring, odszkodowanie, kary za zaniedbania, kary za naruszenie SLA • Koszty naprawy i śledztwa • Personel wew/zew, narzędzia śledcze

  13. Wyzwania – koszty zabezpieczeń • Koszt wdrożenia • Licencje, sprzęt, personel, szkolenia, doradztwo, wsparcie techniczne, zmiana • Koszty operacyjne • Administracja, wsparcie techniczne • Koszty zewnętrzne • Obciążenie systemu, obniżenie wydajności, awarie, czas użytkowników

  14. Zalety • Możliwość porównania racjonalności ekonomicznej • Podobnych zabezpieczeń • Antywirus A versus antywirus B • Różnych zabezpieczeń • Edukacja użytkowników versus system wykrywania wycieków danych (DLP) • Obiektywizacja kryteriów wyboru zabezpieczeń • Fakty zamiast ogólników • „zważywszy na niniejszewydaje się iż pewne przesłanki mogą wskazywać na zasadność, jednakże...” • Uzasadnienie zmiany jeśli zmienią się warunki wejściowe

  15. Bezpieczeństwo a regulacja (*) Kilka rozpowszechnionych mitów • „Bezpieczeństwo jest najważniejsze” • Ale 100% bezpieczeństwa = 0% aktywności • Każde działanie stanowi kompromis bezpieczeństwa • „Więcej bezpieczeństwa to lepiej” • Ale to także większy koszt i mniejsza efektywność • „Tylko X zapewni wysoki poziom bezpieczeństwa” • Ale czy tutaj potrzebujemy wysokiego poziomu?

  16. Internetowe usługi finansowe

  17. Gwarancje na oprogramowanie • Niezawodne oprogramowanie istnieje • Formalne metody dowodzenia poprawności kodu • ADA SPARK, JOVIAL, SPIN, systemy klasy „trusted” • BNF, ASN.1 • Ale tworzenie go jest bardzo kosztowne • Common Criteria EAL2 – od 50 tys. €, 12 miesięcy • Common Criteria EAL4 – od 150 tys. €, 18 miesięcy • Czy chcemy powszechnych gwarancji na oprogramowanie? • Ja nie chcę! Wolę program za 300 zł, który działa wystarczająco dobrze

  18. Sektor prywatny „Wystarczający poziom bezpieczeństwa” 2010 – 8,4 mln 22% obywateli Sektor publiczny „Wysoki poziom bezpieczeństwa” 2010 – 250 tys. 0,94% obywateli Dostęp do usług elektronicznych w Polsce

  19. Podporządkowanie legislacji celom strategicznym • Deklarowany cel strategiczny • „Wprowadzenie i upowszechnienie usług administracji publicznej świadczonych drogą elektroniczną w celu ułatwienia obywatelom i firmom prowadzenia spraw w urzędach bez konieczności osobistego stawiania się w urzędzie”(PIP, 2006) • Deklarowane cele taktyczne • „Bardzo nam zależało, by w Polsce upowszechnić stosowanie podpisu elektronicznego, zwłaszcza bezpiecznego. Wierzę, że rozporządzenie przyczyni się do tego, że wiele osób zacznie taki podpis stosować” (MNiI, 2005, e-faktury) • „Uważam, że ten zapis jest wręcz fundamentalny dla rozwoju podpisu elektronicznego i usług elektronicznych w administracji. W związku z tym popieramy tę propozycję zmiany.” (MNiI, 2005, uoi)

  20. Apel do ustawodawców • Jakość i racjonalność legislacji • Regulamin pracy Rady Ministrów • Analiza kosztów i zysków (§9.1) • Wytyczne do oceny skutków regulacji • Ministerstwo Gospodarki • Public ROI (PROI) • Model oceny racjonalności ekonomicznej zamówień publicznych • Interesariusze: obywatele (!), dostawcy, administracja • Oddziaływania: finansowe, polityczne, społeczne, strategiczne, ideologiczne, zaufanie do administracji

More Related