Waardering Security Risico’s: maken we wel rationele keuzes?maken we wel rationele keuzes?Spreker: Johan de Wit, p ,TU Delft, Safety & Security Science Group

Field of interest: effectiveness of security barrierssecurity barriers

Defence in Depthp

? ? ? ?

Reference:Layer of Protection analysis,Layer of Protection analysis, American Institute of Chemical Engineers, CCPS, 2001

Johan de WitPhD Candidate / ResearcherPhD Candidate / ResearcherSafety and Security Science Group

j.j.dewit@tudelft.nlM +31 (0)6 55 76 60 29

Building 31Jaffalaan 52628 BX DelftThe Netherlands

Faculty of Technology, Policyand Management

Johan de Wit MSSM

Siemens Nederland N.V.Building Technologies Division

Prinses Beatrixlaan 800, Den HaagPostbus 160682500 BB Den Haag Nederland

Solution Manager Enterprise Security

2500 BB Den Haag, Nederland

Mobiel: +31 6 55 76 60 29johan.de.wit@siemens.com

Security Risky

Risk = Probability x Impact

Threat x Vulnerabilityy

Nationale veiligheid“Vitale processen en systemen raken steeds meer

verknoopt zowel onderling als met niet vitale processen en

g

verknoopt, zowel onderling als met niet-vitale processen en systemen. De systeemsamenhang wordt complex. Eén

kleine verstoring kan verstrekkende – van te voren b k d ti h bb di i l donbekende – consequenties hebben, die in vele andere

systemen doorwerken.”

Reference:RIVM, Technologie verkenningRIVM, Technologie verkenning nationale veiligheid 2014

Handbook of Risk Theoryy“In many cases our knowledge is so incomplete that no

meaningful probability estimates are obtainable ”meaningful probability estimates are obtainable.“..in particular to risks that depend on complex interactions

between independent agents.”“This applies not in the least to malevolent action… Such

agents try to take their adversaries with surprise.”“It is practically impossible to make probability estimates ofIt is practically impossible to make probability estimates of

their actions” Reference:Handbook of Risk theory,Handbook of Risk theory, A panorama of the Philiosophy of Risk,Sven Ove Hansson

Security Risky

Risk = Probability x Impact Subjective probabilityBelief Desire

Reference:Handbook of Risk theory,Handbook of Risk theory, A rational approach to risk? Claus Beisbart

Riskmanagementg

Decide what is in scopeDecide what is in scope

Decide which risks to take into account

Decide about value of probability & impact

Decide what is acceptable

Decide what measuresto take

Surveyy

Certainty effecty

Optie A: Optie B:80% kans om Ontvang € 3000,= € 4000 = te€ 4000, te ontvangen

Reflection effect

Optie A: Optie B:80% kans om Verlies € 3000,= € 4000 = te met zekerheid€ 4000, te met zekerheidverliezen

Certainty/Reflection effectyOptie A: Optie B:22% 78%80% kans om Ontvang € 3000,= € 4000,= te ontvangen

Optie A: Optie B:87% 13%80% kans om Verlies € 3000,= € 4000,= te verliezen met zekerheid

Value FunctionImplementeer Security maatregelen die:

Optie A: Optie B:Een kans van 45% geven Een kans van 95% geven om het aantal security om het aantal securityincidenten met 95% te incidenten met 45% te reduceren reduceren

Value FunctionImplementeer Security maatregelen die:

Optie A: Optie B:Een kans van 1% geven Een kans van 2% geven om het aantal security om het aantal securityincidenten met 95% te incidenten met 45% te reduceren reduceren

Value FunctionOptie A: Optie B:Een kans van 45% geven Een kans van 95% geven

27% 73%Een kans van 45% geven Een kans van 95% geven om het aantal security om het aantal securityincidenten met 95% te incidenten met 45% te reduceren reduceren

Optie A: Optie B:75% 25%Een kans van 1% geven Een kans van 2% geven om het aantal security om het aantal securityincidenten met 95% te incidenten met 45% te

75% 25%

incidenten met 95% te incidenten met 45% te reduceren reduceren

Certainty/Reflection effecty

Winst Verlies

Risicomijdend RisicozoekendGrote kans jkans

Risicozoekend RisicomijdendKleine kans

Decision weightsg

Probability (%): 0 1 2 5 10 20 50 80 90 95 98 99 1000 5,5 8,1 13,2 18,6 26,1 42,1 60,1 71,2 79,3 87,1 91,2 100

Decision weight (%):

Reference:Thinking, Fast and Slow,Thinking, Fast and Slow, Daniel Kahneman

Consequentiesq

Reference:Judged frequency of lethal events, Sarah Lichtenstein et al.

Interessant…..

• Leeftijd• Ervaring• OpleidingsniveauOpleidingsniveau• Specifieke opleidingen

O i ti• Omvang organisatie

Conclusies

• Perceptie kans is subjectief• Vatbaar voor biases• Minder effectieve besluitvormingMinder effectieve besluitvorming• Minder effectieve inzet van resources

To be continued……..