9-10-2009
Achtergrond
Achtergrond
Bezuinigen op beveiliging: vloek of zegen?
pptPlex Section Divider Economisch model Economisch model
Praktijkverkenning Praktijkverkenning
Vooruitblik, en advies
The slides after this divider will be grouped into a section and given the label you type above. Feel free to move this slide to any position in the deck.
Vooruitblik, en advies
Beatrix over IT beveiliging “De regering zal het komende halfjaar fundamentele heroverwegingen voorbereiden op een twintigtal brede terreinen in de collectieve sector.”
IT beveiliging als kostenpost
Obama over IT-beveiliging “[…] it's now clear this cyber threat is one of the most serious economic and national security challenges we face as a nation.” “America's economic prosperity in the 21st century will depend on cybersecurity.” IT beveiliging als investeringsmogelijkheid
Vandaag Bezuinigen of investeren op beveiliging: • Wat leert de bedrijfseconomie? • Wat leert de praktijk? • Wat kunnen we daarvan leren? • Hoe overtuigen we onze klanten / onze board / ons kabinet?
Fox-IT “Making technical and innovative contributions for a more secure society” - high security audits & consultancy - oplossingen voor de beveiliging van staatsgeheimen - digitaal forensisch onderzoek - specialistische monitoring / anti-fraude services Ton Wallast - natuurkundige - bedrijfseconoom - (financieel) directeur Fox-IT
1
9-10-2009
Bedrijfseconomie
Economisch model
Winst-enverliesrekening
Investeringsbeslissingen
“Opportunity cost”
pptPlex Section Divider The slides after this divider will be grouped into a section and given the label you type above. Feel free to move this slide to any position in the deck.
De winst-en-verliesrekening
• IT beveiliging = benzine
Investeringen Netto contante waarde: N
• ALE = ARO × SLE ALE: Annual Loss Expectancy ARO: Annualized Rate of Occurance SLE: Single Loss Expectancy
NetValue = ∑i =1
CFn (1 + r ) n
• Cashflows • Tijd • Onzekerheid • Opbrengsten / lagere kosten
Investeringsbeslissingen • Netto contante waarde • Rendementseisen (IRR, ROI, ROSI) • Terugverdientijd
Opportunity cost Opportunity cost: the value of the next best alternative forgone as the result of making a decision (Wikipedia)
ROSI =
( RiskExp × PercRiskMit ) − SolutionCost SolutionCost
2
9-10-2009
Bedrijfseconomie • Begrippen: - winst-en-verliesrekening - netto contante waarde - opportunity cost • Type incidenten: - directe schade - indirecte schade - “buitencategorie”: einde oefening
Economic concepts we didn’t discuss.. • Marginal costs per bit information • The opportunity cost of protecting information, i.e. the benefit of sharing information • …
Cost: USD 460 www.openthegovernment.org
Praktijkverkenning
Praktijkverkenning
Twee voorbeelden: • een willekeurig “top-500 bedrijf” • retailer TJX en WEP encryptie
pptPlex Section Divider The slides after this divider will be grouped into a section and given the label you type above. Feel free to move this slide to any position in the deck.
“Willekeurige top 500 organisatie” • Problemen: - verschillende systemen; - naleving beleid; - (scope) interne audits; • Gevolgen: - besmette systemen (performance) - “jaarlijkse ‘outbreak”
Economisch model • Kosten oplossing: - m.n. beheerskosten - beetje software - beetje awareness • Goed te berekenen! Wat is je productie waard?
• Is dit informatiebeveiliging? • Zijn dit alle kosten? Is dit alle schade?
3
9-10-2009
TJX
Cost 2005
2005-2007, digitale diefstal van: - 45 miljoen credit card gegevens; - 450.000 sofi-, rijbewijs-, en soldaatnummers
Cost 2006
Indirect cost 2007 2007:
• Direct cost: USD 5M (per share USD .01)
Indirect cost 2008 2008:
Economisch model Oplossing: Goede wifi, geen WEP encryptie, misschien USD 100.000-200.000
X
V
?
Estimate: 150 million, 25% adjustments
4
9-10-2009
Some quotes
TJX, on opportunity cost Jaarrekening 2008, key figures:
TJX, on opportunity cost
Imago?
N.B.: income/sales = ca. 4,5%!
Heeft TJX begrijpelijk gehandeld?
Heeft TJX gelijk gekregen? Bedrijfseconomie op een bierfiltje:
• Low cost strategy • Ze waren “industry-standard” • USD 100.000 was genoeg geweest…
2005: 100.000 bespaard! 2006: niets aan de hand 2007: 5M schade ? 2008: 150M schade? 2015: Buitencategorie?
V
V
5
9-10-2009
Hoe voorkom je dit? Board Awareness - Niet dankzij het bedrijfseconomische model; - Maar door de scenario’s te schetsen (dat eindigt niet bij “malwarebesmetting” en “imago”). En TJX tenslotte (mijn mening): is ermee weggekomen, omdat: - Cybercrime nog in de kinderschoenen stond; - Maatregelen nog maar beperkt van de industrie werden verwacht; - Ze geen interessante bedrijfsgeheimen hebben(?)
Wat betekent dit voor ons? 1. We moeten “geloven”, dat het erger wordt: - toenemend belang privacy - groeiende Cybercrime - realiteit van bedrijfsspionage 2. We moeten “de fruitautomaat vullen” 3. We moeten ons richten op de echte bedreigingen: de “buitencategorie”
Daar bestrijd je cybercrime niet mee
Vooruitblik, en advies
pptPlex Section Divider The slides after this divider will be grouped into a section and given the label you type above. Feel free to move this slide to any position in the deck.
Er is nog een lange weg te gaan.. Ernst & Young, ICT barometer 2009 – ICT beveiliging en cybercrime Top 4 belangrijke maatregelen: 1. Antivirus/antiworm software 2. Filtersystemen voor externe communicatie 3. Anti-spyware software 4. Beveiligingsbewust maken medewerkers
Daar houd je geen targeted attacks mee tegen
• Steeds professionelere bedrijfstak • Exploits worden commercieel uitgebaat: “cybercrime as a service”
6
9-10-2009
Wat dan wel? Investeer!
We already live in the 21st century “Our economic prosperity in the 21st century will depend on cybersecurity”
Top 3 belangrijke maatregelen: 1. “High Command Awareness”: what’s worth protecting 2. Detectie i.p.v. preventie 3. Ethical hacking
7