| dbo:abstract
|
- The Gordon–Loeb model is a mathematical economic model analyzing the optimal investment level in information security. Investing to protect company data involves a cost that, unlike other investments, usually does not generate profit. It does, however, serve to prevent additional costs. Thus, it's important to compare how expensive it is to protect a specific set of data, with the potential loss in case said data is stolen, lost, damaged or corrupted. To draft this model, the company must possess knowledge of three parameters: 1.
* how much the data is worth; 2.
* how much the data is at risk; 3.
* the probability an attack on the data is going to be successful, or vulnerability. These three parameters are multiplied together to provide the median money loss with no security investment. From the model we can gather that the amount of money a company spends in protecting information should, in most cases, be only a small fraction of the predicted loss (for example, expected value of a loss following a security breach). Specifically, the model shows that it is generally inconvenient to invest in informatics security (including cybersecurity or computer security related activities) for amounts higher than 37% of the predicted loss. The Gordon–Loeb model also shows that, for a specific level of potential loss, the amount of resources to invest in order to protect an information set does not always increase with the increase in vulnerability of said set. Thus, companies can enjoy greater economic returns by investing in cyber/information security activities aimed to increase the security of data sets with a medium level of vulnerability. In other words, the investment in safeguarding a company's data reduces vulnerability with decreasing incremental returns. Example: Suppose an estimated data value of €1,000,000, with an attack probability of 15%, and an 80% chance that an attack would be successful. In this case, the potential loss is given by the product €1,000,000 × 0.15 × 0.8 = €120,000. According to Gordon and Loeb, the company's investment in security should not exceed €120,000 × 0.37 = €44,000. The Gordon–Loeb Model was first published by Lawrence A. Gordon and Martin P. Loeb in their 2002 paper, in ACM Transactions on Information and System Security, entitled "The Economics of Information Security Investment" The paper was reprinted in the 2004 book Economics of Information Security. Gordon and Loeb are both professors at the University of Maryland's Robert H. Smith School of Business. The Gordon–Loeb Model is one of the most well accepted analytical models for the economics of cyber security. The model has been widely referenced in the academic and practitioner literature. The model has also been empirically tested in several different settings. Research by mathematicians Marc Lelarge and Yuliy Baryshnikov generalized the results of the Gordon–Loeb Model. The Gordon–Loeb model has been featured in the popular press, such as The Wall Street Journal and The Financial Times. (en)
- Il modello di Gordon–Loeb /ˈgȯr-dən ˈlōb/ è un modello economico-matematico che analizza il livello ottimale di investimento nella Sicurezza informatica. Investire per proteggere i dati aziendali comporta un costo che, a differenza dei normali investimenti, non genera profitto ma serve solo per prevenire eventuali costi aggiuntivi. Bisogna quindi saper confrontare quanto costa investire in protezione dei dati con quanto ci costerebbe se i dati venissero carpiti, persi o deteriorati. Per stilare il modello, l'azienda deve essere a conoscenza del valore approssimativo di tre parametri : quanto valgono i dati da proteggere, quanto i suoi dati sono a rischio e quanto alta è la probabilità che un attacco ad essi abbia successo. Quest'ultimo parametro, viene definito da Gordon e Loeb vulnerabilità. Il prodotto dei tre parametri sopracitati fornisce l'ammontare della perdita media se non si investe in sicurezza. Livello ideale di investimento nella sicurezza informatica aziendale dati i ritorni incrementali decrescenti. Dal modello si può dedurre che l'ammontare di denaro che un'azienda spende per proteggere l'informazione dovrebbe essere, in generale, solo una piccola frazione della perdita prevista (per esempio, il valore atteso della perdita come conseguenza ad un'eventuale breccia nella sicurezza informatica dell'azienda).Più specificatamente, il modello mostra che è generalmente non conveniente investire in attività di sicurezza informatica (incluse attività legate a cybersecurity o computer security) per più del 37 percento della perdita stimata nel caso di un'eventuale breccia nella sicurezza. Il modello di Gordon-Loeb mostra anche che, per uno specifico livello di perdita potenziale, la quantità di risorse da spendere per proteggere un set di informazioni non aumenta sempre in contemporanea con l'aumento delle vulnerabilità di quel set. Le aziende quindi possono avere un maggior ritorno economico sulle loro attività di sicurezza investendo in attività di cyber/information security il cui scopo è migliorare la sicurezza di insiemi di informazioni con un livello medio di vulnerabilità. In altre parole, l'investimento nella sicurezza dei propri dati aziendali riduce la vulnerabilità con ritorni incrementali decrescenti. Esempio: supponendo che il valore stimato dei dati dell’azienda sia di 1.000.000 di euro, che la probabilità che questa subisca un attacco informatico sia del 15% e che, nell’eventualità di un attacco, questo vada a buon fine con una probabilità dell’80%, la perdita potenziale media è data dal prodotto 1.000.000 euro x 0.15 x 0.8 = 120.000 euro. In base a quanto affermato da Gordon e Loeb, l’azienda dovrà investire per la sicurezza dei suoi dati un importo non superiore a 120.000 euro x 0.37 = 44.400 euro. Il modello di Gordon-Loeb è stato pubblicato per la prima volta da Lawrence A. Gordon e Martin P. Loeb nel loro saggio del 2002, in ACM Transactions on Information and System Security, intitolato "The Economics of Information Security Investment.". Tale saggio è stato poi ristampato nel libro Economics of Information Security. Gordon e Loeb sono entrambi professori alla dell'Università del Maryland. Il modello di Gordon-Loeb è uno dei modelli analitici maggiormente ritenuti validi nella letteratura nel settore di "economia nella cyber/information security". Il modello è stato ampiamente referenziato anche nella letteratura accademica e professionale. Il modello è stato anche testato in maniera empirica in molti scenari differenti. Le ricerche condotte dai matematici Marc Lelarge e Yuliy Baryshnikov hanno poi generalizzato i risultati del modello di Gordon-Loeb. Il modello di Gordon-Loeb è stato in primo piano nella stampa popolare comparendo in giornali quali The Wall Street Journal e The Financial Times. (it)
- 戈登-洛布模型(Gordon-Loeb Model)是分析最优信息安全投资水平的数理。模型指出在一般情况下,一个公司需要用于保护信息安全的花费仅应当是预期损失(信息安全漏洞所造成的损失的)的一小部分。 更为具体的说,多于信息安全漏洞预期损失百分之三十七的信息安全(包括网络安全)投资,通常是不经济的。同时,戈登-洛布模型指出,针对一定水平的潜在损失,用于保护一个信息集合的最优投资水平并不总随着信息集脆弱性的增强而增加。换言之,一个机构有可能从投资脆弱性为中等的信息集中获取更高的收益。 戈登-洛布模型最先由和马丁·洛布(Martin P. Loeb)发表于题为“信息安全投资经济学”(“The Economics of Information Security Investments”)的论文中。文章发表于2002年美国计算机学会的权威期刊—信息与系统安全会刊(ACM Transactions on Information and System Security (页面存档备份,存于互联网档案馆))。2004年,这篇论文又在《信息安全经济学》(Economics of Information Security (页面存档备份,存于互联网档案馆))中再版。劳伦斯·戈登博士和马丁·洛布博士均在美国马里兰大学的任教。 戈登-洛布模型(Gordon-Loeb Model)是信息安全经济学中被最广泛接受的一个理论模型。这个模型一再被学界和业界广泛引用,同时也被不同的框架下的实证研究所验证。值得一提的是,这一模型还被巴黎高师的马克·乐朗日(Marc Lelarge)和伊利诺伊大学—香槟分校的尤里·巴里史尼科夫(Yuliy Baryshnikov)从数学意义上进行了论证和推广。 此外,大众传媒华尔街日报和金融时报等也对戈登-洛布模型进行了专题报导。 (zh)
|
| rdfs:comment
|
- The Gordon–Loeb model is a mathematical economic model analyzing the optimal investment level in information security. Investing to protect company data involves a cost that, unlike other investments, usually does not generate profit. It does, however, serve to prevent additional costs. Thus, it's important to compare how expensive it is to protect a specific set of data, with the potential loss in case said data is stolen, lost, damaged or corrupted. To draft this model, the company must possess knowledge of three parameters: Example: (en)
- Il modello di Gordon–Loeb /ˈgȯr-dən ˈlōb/ è un modello economico-matematico che analizza il livello ottimale di investimento nella Sicurezza informatica. Investire per proteggere i dati aziendali comporta un costo che, a differenza dei normali investimenti, non genera profitto ma serve solo per prevenire eventuali costi aggiuntivi. Bisogna quindi saper confrontare quanto costa investire in protezione dei dati con quanto ci costerebbe se i dati venissero carpiti, persi o deteriorati. Per stilare il modello, l'azienda deve essere a conoscenza del valore approssimativo di tre parametri : quanto valgono i dati da proteggere, quanto i suoi dati sono a rischio e quanto alta è la probabilità che un attacco ad essi abbia successo. Quest'ultimo parametro, viene definito da Gordon e Loeb vulnerabili (it)
- 戈登-洛布模型(Gordon-Loeb Model)是分析最优信息安全投资水平的数理。模型指出在一般情况下,一个公司需要用于保护信息安全的花费仅应当是预期损失(信息安全漏洞所造成的损失的)的一小部分。 更为具体的说,多于信息安全漏洞预期损失百分之三十七的信息安全(包括网络安全)投资,通常是不经济的。同时,戈登-洛布模型指出,针对一定水平的潜在损失,用于保护一个信息集合的最优投资水平并不总随着信息集脆弱性的增强而增加。换言之,一个机构有可能从投资脆弱性为中等的信息集中获取更高的收益。 戈登-洛布模型最先由和马丁·洛布(Martin P. Loeb)发表于题为“信息安全投资经济学”(“The Economics of Information Security Investments”)的论文中。文章发表于2002年美国计算机学会的权威期刊—信息与系统安全会刊(ACM Transactions on Information and System Security (页面存档备份,存于互联网档案馆))。2004年,这篇论文又在《信息安全经济学》(Economics of Information Security (页面存档备份,存于互联网档案馆))中再版。劳伦斯·戈登博士和马丁·洛布博士均在美国马里兰大学的任教。 此外,大众传媒华尔街日报和金融时报等也对戈登-洛布模型进行了专题报导。 (zh)
|
