Gordon–Loeb modeli

Gordon – Loeb modeli, bilgi güvenliğindeki optimum yatırım düzeyini analiz eden matematiksel bir ekonomik modeldir.

Şirket verilerini korumak için yatırım yapmak, diğer yatırımlardan farklı olarak genellikle kar sağlamayan bir maliyet içerir. Bununla birlikte, ek maliyetleri önlemeye hizmet eder. Bu nedenle, belirli bir veri kümesini korumanın ne kadar pahalı olduğunu, söz konusu verilerin çalınması, kaybolması, hasar görmesi veya bozulması durumunda olası kayıpla karşılaştırmak önemlidir. Bu modelin taslağını oluşturmak için şirketin üç parametre bilgisine sahip olması gerekir:

1. verinin değeri ne kadar;
2. verilerin ne kadar risk altında olduğu;
3. verilere yönelik bir saldırının başarılı olma olasılığı.

Bu son parametre, Gordon ve Loeb tarafından güvenlik açığı olarak tanımlandı.

Bu üç parametre, hiçbir güvenlik yatırımı olmaksızın medyan para kaybını sağlamak için birlikte çarpılır.^[1]

Azalan artan getiriler göz önüne alındığında, şirket bilgisayar güvenliğine ideal yatırım seviyesi

Modelden, bir şirketin bilgileri korumak için harcadığı para miktarının, çoğu durumda tahmin edilen kaybın (örneğin, bir güvenlik ihlalini takiben beklenen kayıp değeri) yalnızca küçük bir kısmı olması gerektiğini anlayabiliriz. Özel olarak model, tahmin edilen kaybın %37'sinden daha yüksek miktarlar için bilişim güvenliğine (siber güvenlik veya bilgisayar güvenliğiyle ilgili faaliyetler dahil) yatırım yapmanın genellikle uygun olmadığını göstermektedir. Gordon–Loeb modeli ayrıca, belirli bir potansiyel kayıp seviyesi için, bir bilgi setini korumak adına yatırım yapılacak kaynak miktarının, söz konusu setin savunmasızlığının artmasıyla her zaman artmadığını göstermektedir. Böylelikle şirketler, orta düzeyde bir güvenlik açığı ile veri setlerinin güvenliğini artırmaya yönelik siber / bilgi güvenliği faaliyetlerine yatırım yaparak daha fazla ekonomik getiri elde edebilir. Başka bir deyişle, bir şirketin verilerini korumaya yapılan yatırım, artan getirileri azaltarak kırılganlığı azaltır.

Gordon-Loeb Modeli ilk olarak Lawrence A. Gordon ve Martin P. Loeb tarafından 2002 tarihli "Bilgi Güvenliği Yatırım Ekonomisi" başlıklı ACM İşlemleri Bilgi ve Sistem Güvenliği adlı makalesinde yayınlandı.^[2] Makale, 2004 Bilgi Güvenliği Ekonomisi kitabı.^[3] Gordon ve Loeb, Maryland Üniversitesi Robert H. Smith İşletme Fakültesi'nde profesördür.

Gordon – Loeb Modeli, siber güvenlik ekonomisi için en çok kabul gören analitik modellerden biridir. Model, akademik ve uygulayıcı literatüründe yaygın olarak referans alınmıştır.^{[4][5][6][7][8][9][10][11][12]} Model ayrıca birkaç farklı ortamda deneysel olarak test edilmiştir. Matematikçiler Marc Lelarge^[13] ve Yuliy Baryshnikov^[14] tarafından yapılan araştırmalar Gordon-Loeb Modelinin sonuçlarını genelleştirmiştir.

Gordon–Loeb modeli, The Wall Street Journal^[15] ve The Financial Times gibi popüler basında yer almıştır.^[16]

Kaynakça

1. ^ Big Data e Privacy by design [Big Data and Privacy by Design] (İtalyanca). Giappichelli. 2017. ISBN 978-88-921-6264-8. 
2. ^ Gordon (Kasım 2002). "The Economics of Information Security Investment". ACM Transactions on Information and System Security. 5 (4): 438-457. doi:10.1145/581271.581274. 12 Nisan 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 29 Kasım 2020. 
3. ^ Economics of Information Security. Boston: Kluwer Academic Publishers. 2004. ISBN 978-1-4020-8089-0. 13 Ağustos 2014 tarihinde kaynağından arşivlendi. Erişim tarihi: 29 Kasım 2020. 
4. ^ "Productivity Space of Information Security in an Extension of the Gordon-Loeb's Investment Model" (PDF). 23 Nisan 2008. 8 Eylül 2008 tarihinde kaynağından (PDF) arşivlendi. Erişim tarihi: 30 Ekim 2014. 
5. ^ "On the Gordon & Loeb Model for Information Security Investment". 
6. ^ "Extending the Gordon and Loeb Model for Information Security Investment". Extending the Gordon-Loeb Model for Information Security Investment. ieeexplore.ieee.org. 2010. ss. 258-261. doi:10.1109/ARES.2010.37. ISBN 978-1-4244-5879-0. 
7. ^ Managing Information Risk and the Economics of Security. Springer-Verlag. 2009. s. 99. ISBN 9780387097626. Erişim tarihi: 30 Ekim 2014. 
8. ^ "The Gordon-Loeb Investment Model Generalized: Time Dependent Multiple Threats and Breach Losses over an Investment Period". BibSonomy. 17 Mayıs 2014 tarihinde kaynağından arşivlendi. Erişim tarihi: 30 Ekim 2014. 
9. ^ "An Overview of Economic Approaches to Information Security Management" (PDF). 15 Haziran 2006. 17 Mayıs 2014 tarihinde kaynağından (PDF) arşivlendi. Erişim tarihi: 30 Ekim 2014. 
10. ^ "Security Metrics and Security Investment Models" (PDF). International Computer Science Institute, Berkeley, California. 29 Ağustos 2010. 17 Mayıs 2014 tarihinde kaynağından (PDF) arşivlendi. Erişim tarihi: 30 Ekim 2014. 
11. ^ "An economic model of investment in information security". repository.ust.hk. HKUST Institutional Repository. 2014. 17 Mayıs 2014 tarihinde kaynağından arşivlendi. Erişim tarihi: 30 Ekim 2014. 
12. ^ [Secure System Design Based on Optimal Investment Model and Case Study] |çeviri-başlık= kullanmak için |başlık= gerekiyor (yardım). ci.nii.ac.jp (Japonca). CiNii. ISSN 0913-5685 https://web.archive.org/web/20140517114454/http://ci.nii.ac.jp/naid/110003298595 |arşivurl= eksik başlık (yardım). 17 Mayıs 2014 tarihinde kaynağından arşivlendi. Erişim tarihi: 30 Ekim 2014. 
13. ^ Lelarge (Aralık 2012). "Coordination in Network Security Games: A Monotone Comparative Statics Approach". IEEE Journal on Selected Areas in Communications. 30 (11): 2210-2219. doi:10.1109/jsac.2012.121213. 14 Mayıs 2014 tarihinde kaynağından arşivlendi. Erişim tarihi: 13 Mayıs 2014. 
14. ^ "IT Security Investment and Gordon-Loeb's ¹⁄_e Rule" (PDF). 24 Şubat 2012. 17 Mayıs 2014 tarihinde kaynağından (PDF) arşivlendi. Erişim tarihi: 30 Ekim 2014. 
15. ^ Gordon (26 Eylül 2011). "You May Be Fighting the Wrong Security Battles". The Wall Street Journal. 11 Mart 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 9 Mayıs 2014. 
16. ^ Palin (30 Mayıs 2013). "Maryland professors weigh up cyber risks". Financial Times. 3 Kasım 2014 tarihinde kaynağından arşivlendi. Erişim tarihi: 9 Mayıs 2014.