Model Gordona-Loeba
Gordona -Loeba to matematyczny model ekonomiczny analizujący optymalny poziom inwestycji w bezpieczeństwo informacji .
Inwestycja w ochronę danych firmowych wiąże się z kosztem, który w przeciwieństwie do innych inwestycji zazwyczaj nie przynosi zysku. Ma to jednak na celu uniknięcie dodatkowych kosztów. Dlatego ważne jest, aby porównać, jak kosztowna jest ochrona określonego zestawu danych, z potencjalną stratą w przypadku kradzieży, utraty, uszkodzenia lub uszkodzenia tych danych. Aby opracować ten model, firma musi posiadać wiedzę o trzech parametrach:
- ile są warte dane;
- w jakim stopniu dane są zagrożone;
- prawdopodobieństwo, że atak na dane zakończy się sukcesem lub podatność .
Te trzy parametry są mnożone razem, aby zapewnić medianę utraty pieniędzy bez inwestycji w zabezpieczenia.
Z modelu możemy wywnioskować, że kwota pieniędzy, jaką firma wydaje na ochronę informacji, powinna w większości przypadków stanowić tylko niewielki ułamek przewidywanej straty (na przykład oczekiwanej wartości straty w wyniku naruszenia bezpieczeństwa ) . W szczególności model pokazuje, że generalnie niewygodne jest inwestowanie w bezpieczeństwo informatyczne (w tym cyberbezpieczeństwo lub bezpieczeństwo komputerowe działalności związanej) na kwoty wyższe niż 37% przewidywanej straty. Model Gordona – Loeba pokazuje również, że dla określonego poziomu potencjalnej straty ilość zasobów do zainwestowania w celu ochrony zbioru informacji nie zawsze rośnie wraz ze wzrostem podatności tego zbioru. W ten sposób firmy mogą czerpać większe korzyści ekonomiczne, inwestując w działania związane z bezpieczeństwem cybernetycznym/informacyjnym, mające na celu zwiększenie bezpieczeństwa zbiorów danych o średnim poziomie podatności. Innymi słowy, inwestycja w ochronę danych firmy zmniejsza podatność na zagrożenia wraz ze zmniejszającymi się przyrostowymi zwrotami.
Przykład :
Załóżmy, że szacunkowa wartość danych wynosi 1 000 000 EUR , przy prawdopodobieństwie ataku równym 15% i 80% szansie, że atak się powiedzie.
W tym przypadku potencjalną stratę wyraża iloczyn 1 000 000 EUR × 0,15 × 0,8 = 120 000 EUR .
Według Gordona i Loeba inwestycja firmy w bezpieczeństwo nie powinna przekraczać 120 000 EUR × 0,37 = 44 000 EUR .
Model Gordona – Loeba został po raz pierwszy opublikowany przez Lawrence'a A. Gordona i Martina P. Loeba w ich artykule z 2002 roku w ACM Transactions on Information and System Security , zatytułowanym „The Economics of Information Security Investment”. Artykuł został przedrukowany w 2004 roku książka Economics Bezpieczeństwa Informacji . Gordon i Loeb są profesorami w Szkole Biznesu im. Roberta H. Smitha na Uniwersytecie Maryland .
Model Gordona-Loeba jest jednym z najlepiej akceptowanych modeli analitycznych w ekonomii cyberbezpieczeństwa. Model ten był szeroko cytowany w literaturze akademickiej i praktycznej. Model został również przetestowany empirycznie w kilku różnych ustawieniach. Badania przeprowadzone przez matematyków Marca Lelarge'a i Yuliya Barysznikowa uogólniły wyniki modelu Gordona-Loeba.
Model Gordona-Loeba został przedstawiony w popularnej prasie, takiej jak The Wall Street Journal i The Financial Times .