slide1 n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Ekonomia bezpieczeństwa Paweł Krawczyk <pawel.krawczyk@hush> PowerPoint Presentation
Download Presentation
Ekonomia bezpieczeństwa Paweł Krawczyk <pawel.krawczyk@hush>

Loading in 2 Seconds...

play fullscreen
1 / 20

Ekonomia bezpieczeństwa Paweł Krawczyk <pawel.krawczyk@hush> - PowerPoint PPT Presentation


  • 140 Views
  • Uploaded on

Ekonomia bezpieczeństwa Paweł Krawczyk <pawel.krawczyk@hush.com>. Tematy. Skąd potrzeba bezpieczeństwa? Jak mierzyć bezpieczeństwo? Jak wybierać zabezpieczenia? Bezpieczeństwo a regulacja. Źródła bezpieczeństwa. Zewnętrzne Klienci – łańcuch odpowiedzialności, SLA

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Ekonomia bezpieczeństwa Paweł Krawczyk <pawel.krawczyk@hush>' - phong


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
slide1

Ekonomia bezpieczeństwa

Paweł Krawczyk <pawel.krawczyk@hush.com>

tematy
Tematy
  • Skąd potrzeba bezpieczeństwa?
  • Jak mierzyć bezpieczeństwo?
  • Jak wybierać zabezpieczenia?
  • Bezpieczeństwo a regulacja
r d a bezpiecze stwa
Źródła bezpieczeństwa
  • Zewnętrzne
    • Klienci – łańcuch odpowiedzialności, SLA
    • Przepisy prawa, konkurencja, reputacja
  • Wewnętrzne
    • Klienci wewnętrzni – SLA
  • Analiza ryzyka
    • „10% szansy, że zapłacimy 10 mln zł kary”
  • Redukcja ryzyka jako inwestycja
    • „unikniemy straty 1 mln zł za jedyne 100 tys. zł”
racjonalne bezpiecze stwo
Racjonalne bezpieczeństwo (*)
  • Chroni przed zagrożeniami
  • Nie kosztuje więcej niż chronione dobra
  • Drogi do irracjonalności
    • Błędna ocena ryzyka
    • Błędny wybór zabezpieczeń
  • Skutki
    • Strata pewna zamiast prawdopodobnej
    • Chybione zabezpieczenia
    • Błędna alokacja zasobów
przyk ad wirusy 1000 u ytkownik w
Antywirus

Strata 5 minut/dzień

5000 min/dzień

10 rocznych etatów

Koszt: 440 tys. zł

Rocznie

Przykład – wirusy 1000 użytkowników

Wirus

  • 6 godzin przestoju/osobę
    • 3 roczne etaty
  • Naprawa
    • 0,12 rocznego etatu
  • Koszt: 130 tys. zł
    • Za jeden incydent!
przyk ad szyfrowanie dysk w 1000 u ytkownik w
Przykład – szyfrowanie dysków 1000 użytkowników

Full-Disk Encryption

  • Roczna licencja 53 zł/laptop
  • Koszt licencji
    • 53 tys. zł
  • Koszt wsparcia technicznego
    • 12 tys. zł

60 kradzieży laptopów rocznie

  • Średnio 80 rekordów osobowych/laptop
  • Koszt obsługi 1 rekordu
    • 115 zł
  • Roczny koszt incydentów
    • 552 tys. zł
wska niki do oceny racjonalno ci ekonomicznej
Wskaźniki do oceny racjonalności ekonomicznej
  • Zwrot z inwestycji
    • ROI - Return on Investment
  • Zwrot z inwestycji w bezpieczeństwo
    • ROSI – Return on Security Investment
    • Inne danych wejściowe, to samo znaczenie
  • Wynik – mnożnik zainwestowanego kapitału
roi vs rosi
ROI vs ROSI

G – „jak bardzo ograniczymy straty?” [zł]

C – koszt zabezpieczenia [zł]

E – koszt ingorowania ryzyka [zł]

Sm – skuteczność zabezpieczenia [%]

Sc – koszt zabezpieczenia [zł]

wyzwania
Wyzwania
  • Skąd dane wejściowe?
    • Własne dane historyczne, tablice aktuarialne, SLA dostawców, statystyki branżowe
  • Dane obarczone dużym poziomiem niepewności
    • Średnia, mediana, odchylenie standardowe
    • Przedziały minimum-maksimum (widełki)
    • Rząd wielkości
  • Co wpływa na jakość wskaźnika?
    • Analiza ryzyka
    • Koszty incydentów
    • Koszty zabezpieczeń
wyzwania koszty incydent w
Wyzwania – koszty incydentów
  • Utracone korzyści
    • Czas pracy, naruszenia SLA
  • Kary i odszkodowania
    • Monitoring, odszkodowanie, kary za zaniedbania, kary za naruszenie SLA
  • Koszty naprawy i śledztwa
    • Personel wew/zew, narzędzia śledcze
wyzwania koszty zabezpiecze
Wyzwania – koszty zabezpieczeń
  • Koszt wdrożenia
    • Licencje, sprzęt, personel, szkolenia, doradztwo, wsparcie techniczne, zmiana
  • Koszty operacyjne
    • Administracja, wsparcie techniczne
  • Koszty zewnętrzne
    • Obciążenie systemu, obniżenie wydajności, awarie, czas użytkowników
zalety
Zalety
  • Możliwość porównania racjonalności ekonomicznej
    • Podobnych zabezpieczeń
      • Antywirus A versus antywirus B
    • Różnych zabezpieczeń
      • Edukacja użytkowników versus system wykrywania wycieków danych (DLP)
  • Obiektywizacja kryteriów wyboru zabezpieczeń
  • Fakty zamiast ogólników
    • „zważywszy na niniejszewydaje się iż pewne przesłanki mogą wskazywać na zasadność, jednakże...”
  • Uzasadnienie zmiany jeśli zmienią się warunki wejściowe
bezpiecze stwo a regulacja
Bezpieczeństwo a regulacja (*)

Kilka rozpowszechnionych mitów

  • „Bezpieczeństwo jest najważniejsze”
    • Ale 100% bezpieczeństwa = 0% aktywności
    • Każde działanie stanowi kompromis bezpieczeństwa
  • „Więcej bezpieczeństwa to lepiej”
    • Ale to także większy koszt i mniejsza efektywność
  • „Tylko X zapewni wysoki poziom bezpieczeństwa”
    • Ale czy tutaj potrzebujemy wysokiego poziomu?
gwarancje na oprogramowanie
Gwarancje na oprogramowanie
  • Niezawodne oprogramowanie istnieje
    • Formalne metody dowodzenia poprawności kodu
    • ADA SPARK, JOVIAL, SPIN, systemy klasy „trusted”
    • BNF, ASN.1
  • Ale tworzenie go jest bardzo kosztowne
    • Common Criteria EAL2 – od 50 tys. €, 12 miesięcy
    • Common Criteria EAL4 – od 150 tys. €, 18 miesięcy
  • Czy chcemy powszechnych gwarancji na oprogramowanie?
    • Ja nie chcę! Wolę program za 300 zł, który działa wystarczająco dobrze
dost p do us ug elektronicznych w polsce
Sektor prywatny

„Wystarczający poziom bezpieczeństwa”

2010 – 8,4 mln

22% obywateli

Sektor publiczny

„Wysoki poziom bezpieczeństwa”

2010 – 250 tys.

0,94% obywateli

Dostęp do usług elektronicznych w Polsce
podporz dkowanie legislacji celom strategicznym
Podporządkowanie legislacji celom strategicznym
  • Deklarowany cel strategiczny
    • „Wprowadzenie i upowszechnienie usług administracji publicznej świadczonych drogą elektroniczną w celu ułatwienia obywatelom i firmom prowadzenia spraw w urzędach bez konieczności osobistego stawiania się w urzędzie”(PIP, 2006)
  • Deklarowane cele taktyczne
    • „Bardzo nam zależało, by w Polsce upowszechnić stosowanie podpisu elektronicznego, zwłaszcza bezpiecznego. Wierzę, że rozporządzenie przyczyni się do tego, że wiele osób zacznie taki podpis stosować” (MNiI, 2005, e-faktury)
    • „Uważam, że ten zapis jest wręcz fundamentalny dla rozwoju podpisu elektronicznego i usług elektronicznych w administracji. W związku z tym popieramy tę propozycję zmiany.” (MNiI, 2005, uoi)
apel do ustawodawc w
Apel do ustawodawców
  • Jakość i racjonalność legislacji
    • Regulamin pracy Rady Ministrów
      • Analiza kosztów i zysków (§9.1)
    • Wytyczne do oceny skutków regulacji
      • Ministerstwo Gospodarki
    • Public ROI (PROI)
      • Model oceny racjonalności ekonomicznej zamówień publicznych
      • Interesariusze: obywatele (!), dostawcy, administracja
      • Oddziaływania: finansowe, polityczne, społeczne, strategiczne, ideologiczne, zaufanie do administracji