Inloopsessie - Waardering Security risico’s: maken we wel rationele keuzes?
-
Upload
platformsecuritymanagement -
Category
Business
-
view
141 -
download
2
Transcript of Inloopsessie - Waardering Security risico’s: maken we wel rationele keuzes?
Waardering Security Risico’s: maken we wel rationele keuzes?maken we wel rationele keuzes?Spreker: Johan de Wit, p ,TU Delft, Safety & Security Science Group
Field of interest: effectiveness of security barrierssecurity barriers
Defence in Depthp
? ? ? ?
Reference:Layer of Protection analysis,Layer of Protection analysis, American Institute of Chemical Engineers, CCPS, 2001
Johan de WitPhD Candidate / ResearcherPhD Candidate / ResearcherSafety and Security Science Group
[email protected] +31 (0)6 55 76 60 29
Building 31Jaffalaan 52628 BX DelftThe Netherlands
Faculty of Technology, Policyand Management
Johan de Wit MSSM
Siemens Nederland N.V.Building Technologies Division
Prinses Beatrixlaan 800, Den HaagPostbus 160682500 BB Den Haag Nederland
Solution Manager Enterprise Security
2500 BB Den Haag, Nederland
Mobiel: +31 6 55 76 60 [email protected]
Security Risky
Risk = Probability x Impact
Threat x Vulnerabilityy
Nationale veiligheid“Vitale processen en systemen raken steeds meer
verknoopt zowel onderling als met niet vitale processen en
g
verknoopt, zowel onderling als met niet-vitale processen en systemen. De systeemsamenhang wordt complex. Eén
kleine verstoring kan verstrekkende – van te voren b k d ti h bb di i l donbekende – consequenties hebben, die in vele andere
systemen doorwerken.”
Reference:RIVM, Technologie verkenningRIVM, Technologie verkenning nationale veiligheid 2014
Handbook of Risk Theoryy“In many cases our knowledge is so incomplete that no
meaningful probability estimates are obtainable ”meaningful probability estimates are obtainable.“..in particular to risks that depend on complex interactions
between independent agents.”“This applies not in the least to malevolent action… Such
agents try to take their adversaries with surprise.”“It is practically impossible to make probability estimates ofIt is practically impossible to make probability estimates of
their actions” Reference:Handbook of Risk theory,Handbook of Risk theory, A panorama of the Philiosophy of Risk,Sven Ove Hansson
Security Risky
Risk = Probability x Impact Subjective probabilityBelief Desire
Reference:Handbook of Risk theory,Handbook of Risk theory, A rational approach to risk? Claus Beisbart
Riskmanagementg
Decide what is in scopeDecide what is in scope
Decide which risks to take into account
Decide about value of probability & impact
Decide what is acceptable
Decide what measuresto take
Surveyy
Certainty effecty
Optie A: Optie B:80% kans om Ontvang € 3000,= € 4000 = te€ 4000, te ontvangen
Reflection effect
Optie A: Optie B:80% kans om Verlies € 3000,= € 4000 = te met zekerheid€ 4000, te met zekerheidverliezen
Certainty/Reflection effectyOptie A: Optie B:22% 78%80% kans om Ontvang € 3000,= € 4000,= te ontvangen
Optie A: Optie B:87% 13%80% kans om Verlies € 3000,= € 4000,= te verliezen met zekerheid
Value FunctionImplementeer Security maatregelen die:
Optie A: Optie B:Een kans van 45% geven Een kans van 95% geven om het aantal security om het aantal securityincidenten met 95% te incidenten met 45% te reduceren reduceren
Value FunctionImplementeer Security maatregelen die:
Optie A: Optie B:Een kans van 1% geven Een kans van 2% geven om het aantal security om het aantal securityincidenten met 95% te incidenten met 45% te reduceren reduceren
Value FunctionOptie A: Optie B:Een kans van 45% geven Een kans van 95% geven
27% 73%Een kans van 45% geven Een kans van 95% geven om het aantal security om het aantal securityincidenten met 95% te incidenten met 45% te reduceren reduceren
Optie A: Optie B:75% 25%Een kans van 1% geven Een kans van 2% geven om het aantal security om het aantal securityincidenten met 95% te incidenten met 45% te
75% 25%
incidenten met 95% te incidenten met 45% te reduceren reduceren
Certainty/Reflection effecty
Winst Verlies
Risicomijdend RisicozoekendGrote kans jkans
Risicozoekend RisicomijdendKleine kans
Decision weightsg
Probability (%): 0 1 2 5 10 20 50 80 90 95 98 99 1000 5,5 8,1 13,2 18,6 26,1 42,1 60,1 71,2 79,3 87,1 91,2 100
Decision weight (%):
Reference:Thinking, Fast and Slow,Thinking, Fast and Slow, Daniel Kahneman
Consequentiesq
Reference:Judged frequency of lethal events, Sarah Lichtenstein et al.
Interessant…..
• Leeftijd• Ervaring• OpleidingsniveauOpleidingsniveau• Specifieke opleidingen
O i ti• Omvang organisatie
Conclusies
• Perceptie kans is subjectief• Vatbaar voor biases• Minder effectieve besluitvormingMinder effectieve besluitvorming• Minder effectieve inzet van resources
To be continued……..