Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ЕКОНОМІКА КІБЕР-БЕЗПЕКИ

Vlad Styran
February 22, 2018

ЕКОНОМІКА КІБЕР-БЕЗПЕКИ

ЯК ГОВОРИТИ ПРО БЕЗПЕКУ ТАК, ЩОБ CFO СЛУХАВ,
CEO РОЗУМІВ, А ІНВЕСТОРИ ПОГОДЖУВАЛИСЯ

Vlad Styran

February 22, 2018
Tweet

More Decks by Vlad Styran

Other Decks in Technology

Transcript

  1. ЕКОНОМІКА КІБЕР-БЕЗПЕКИ
    ЯК ГОВОРИТИ ПРО БЕЗПЕКУ ТАК, ЩОБ CFO СЛУХАВ,
    CEO РОЗУМІВ, А ІНВЕСТОРИ ПОГОДЖУВАЛИСЯ
    Володимир Стиран
    CISSP CISA OSCP
    Co-founder & Director of Ops, Berezha Security

    View full-size slide

  2. ПИТАННЯ НА $1,000,000
    Скільки потрібно витрачати на безпеку?

    View full-size slide

  3. КЛЮЧОВІ КОРПОРАТИВНІ ГРАВЦІ
    Інвестори та засновники
    CEO, CFO
    COO, CMO, CCO… CxO
    CTO, CIO
    CSO, CISO

    View full-size slide

  4. ІНТУЇЦІЯ РИЗИКУ КІБЕРБЕЗПЕКИ
    0.00%
    10.00%
    20.00%
    30.00%
    40.00%
    50.00%
    60.00%
    70.00%
    80.00%
    90.00%
    100.00%
    CEO СISO
    прийнятний допустимий

    View full-size slide

  5. ТРАДИЦІЙНІ ЗАСОБИ
    «Срібні кулі»
    Контролі та «найкращі практики»
    Управління ризиками
    Комплаянс
    «Мова бізнесу»

    View full-size slide

  6. НАУКОВИЙ ПІДХІД

    View full-size slide

  7. ЕКОНОМІКА КІБЕРБЕЗПЕКИ
    Сучасна поведінкова, а не «класична» раціональна
    Вивчає природу та мотиви учасників ринку
    1) Споживачі 2) Постачальники 3) Індустрія кібербезпеки
    Визначає та намагається розв’язати основні проблеми
    Асиметричність інформації
    Монополії та олігополії на ринку
    Потребу в зовнішньому регулюванні
    Оптимальні інвестиції в безпеку

    View full-size slide

  8. ВИМІРЮВАННЯ БЕЗПЕКИ
    Cyber Security Economics, © Delft University of Technology

    View full-size slide

  9. СУЧАСНІ «НАЙКРАЩІ ПРАКТИКИ» БЕЗПЕКИ
    Cyber Security Economics, © Delft University of Technology

    View full-size slide

  10. ДЖЕРЕЛА ДАНИХ
    Контролі
    Аудит
    Регулятори
    Моніторинг
    Вразливості
    Vuln DBs
    Пентести
    Bug Bounty
    Інциденти
    CERTs
    Експерти
    Новини
    Втрати
    Розслідування
    Моделювання
    Новини

    View full-size slide

  11. (ПОПЕРЕДЖЕНІ) ВТРАТИ
    0.00%
    10.00%
    20.00%
    30.00%
    40.00%
    50.00%
    60.00%
    70.00%
    80.00%
    90.00%
    100.00%
    0 10 20 30 40 50 60 70 80 90 100
    Ймовірність
    Втрати

    View full-size slide

  12. ІНВЕСТИЦІЇ В БЕЗПЕКУ
    0.00%
    10.00%
    20.00%
    30.00%
    40.00%
    50.00%
    60.00%
    70.00%
    80.00%
    90.00%
    100.00%
    0 10 20 30 40 50 60 70 80 90 100
    Продуктивність
    Кошти

    View full-size slide

  13. ОПТИМАЛЬНИЙ РІВЕНЬ БЕЗПЕКИ
    0.00%
    10.00%
    20.00%
    30.00%
    40.00%
    50.00%
    60.00%
    70.00%
    80.00%
    90.00%
    100.00%
    0 10 20 30 40 50 60 70 80 90 100

    View full-size slide

  14. МОДЕЛЬ ГОРДОНА-ЛОБА
    Інвестиції в кібербезпеку
    не повинні складати більше,
    ніж 37% прогнозованих втрат.
    Дані вартістю $1,000,000,
    ймовірність атаки 7%,
    ймовірність успішності атаки 42%.
    Оптимальний захист:
    $1,000,000 х 0.07 х 0.42 х 0.37 =
    $10,878
    Cyber Security Economics, © Delft University of Technology
    Wikipedia, the free encyclopedia

    View full-size slide

  15. ХОЧЕТЕ ЗНАТИ БІЛЬШЕ?
    Secon101x
    https://www.edx.org/course/cyber-security-economics-delftx-secon101x-0
    Ross Anderson’s Economics and Security resource page
    http://www.cl.cam.ac.uk/%7Erja14/econsec.html
    Bruce Schneier on Economics of Security
    https://www.schneier.com/essays/economics/
    Vlad Styran - Security Economics @ OWASP Kyiv Winter 2017
    https://www.youtube.com/watch?v=vZAldeJ-_rw

    View full-size slide

  16. ДЯКУЮ ЗА УВАГУ!
    [email protected]
    fb.me/vstyran
    @c2FwcmFu

    View full-size slide