İçeriğe atla

Gordon–Loeb modeli

Gordon – Loeb modeli, bilgi güvenliğindeki optimum yatırım düzeyini analiz eden matematiksel bir ekonomik modeldir.

Şirket verilerini korumak için yatırım yapmak, diğer yatırımlardan farklı olarak genellikle kar sağlamayan bir maliyet içerir. Bununla birlikte, ek maliyetleri önlemeye hizmet eder. Bu nedenle, belirli bir veri kümesini korumanın ne kadar pahalı olduğunu, söz konusu verilerin çalınması, kaybolması, hasar görmesi veya bozulması durumunda olası kayıpla karşılaştırmak önemlidir. Bu modelin taslağını oluşturmak için şirketin üç parametre bilgisine sahip olması gerekir:

  1. verinin değeri ne kadar;
  2. verilerin ne kadar risk altında olduğu;
  3. verilere yönelik bir saldırının başarılı olma olasılığı.

Bu son parametre, Gordon ve Loeb tarafından güvenlik açığı olarak tanımlandı.

Bu üç parametre, hiçbir güvenlik yatırımı olmaksızın medyan para kaybını sağlamak için birlikte çarpılır.[1]

Azalan artan getiriler göz önüne alındığında, şirket bilgisayar güvenliğine ideal yatırım seviyesi

Modelden, bir şirketin bilgileri korumak için harcadığı para miktarının, çoğu durumda tahmin edilen kaybın (örneğin, bir güvenlik ihlalini takiben beklenen kayıp değeri) yalnızca küçük bir kısmı olması gerektiğini anlayabiliriz. Özel olarak model, tahmin edilen kaybın %37'sinden daha yüksek miktarlar için bilişim güvenliğine (siber güvenlik veya bilgisayar güvenliğiyle ilgili faaliyetler dahil) yatırım yapmanın genellikle uygun olmadığını göstermektedir. Gordon–Loeb modeli ayrıca, belirli bir potansiyel kayıp seviyesi için, bir bilgi setini korumak adına yatırım yapılacak kaynak miktarının, söz konusu setin savunmasızlığının artmasıyla her zaman artmadığını göstermektedir. Böylelikle şirketler, orta düzeyde bir güvenlik açığı ile veri setlerinin güvenliğini artırmaya yönelik siber / bilgi güvenliği faaliyetlerine yatırım yaparak daha fazla ekonomik getiri elde edebilir. Başka bir deyişle, bir şirketin verilerini korumaya yapılan yatırım, artan getirileri azaltarak kırılganlığı azaltır.

Gordon-Loeb Modeli ilk olarak Lawrence A. Gordon ve Martin P. Loeb tarafından 2002 tarihli "Bilgi Güvenliği Yatırım Ekonomisi" başlıklı ACM İşlemleri Bilgi ve Sistem Güvenliği adlı makalesinde yayınlandı.[2] Makale, 2004 Bilgi Güvenliği Ekonomisi kitabı.[3] Gordon ve Loeb, Maryland Üniversitesi Robert H. Smith İşletme Fakültesi'nde profesördür.

Gordon – Loeb Modeli, siber güvenlik ekonomisi için en çok kabul gören analitik modellerden biridir. Model, akademik ve uygulayıcı literatüründe yaygın olarak referans alınmıştır.[4][5][6][7][8][9][10][11][12] Model ayrıca birkaç farklı ortamda deneysel olarak test edilmiştir. Matematikçiler Marc Lelarge[13] ve Yuliy Baryshnikov[14] tarafından yapılan araştırmalar Gordon-Loeb Modelinin sonuçlarını genelleştirmiştir.

Gordon–Loeb modeli, The Wall Street Journal[15] ve The Financial Times gibi popüler basında yer almıştır.[16]

Kaynakça

  1. ^ Big Data e Privacy by design [Big Data and Privacy by Design] (İtalyanca). Giappichelli. 2017. ISBN 978-88-921-6264-8. 
  2. ^ Gordon (Kasım 2002). "The Economics of Information Security Investment". ACM Transactions on Information and System Security. 5 (4): 438-457. doi:10.1145/581271.581274. 12 Nisan 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 29 Kasım 2020. 
  3. ^ Economics of Information Security. Boston: Kluwer Academic Publishers. 2004. ISBN 978-1-4020-8089-0. 13 Ağustos 2014 tarihinde kaynağından arşivlendi. Erişim tarihi: 29 Kasım 2020. 
  4. ^ "Productivity Space of Information Security in an Extension of the Gordon-Loeb's Investment Model" (PDF). 23 Nisan 2008. 8 Eylül 2008 tarihinde kaynağından (PDF) arşivlendi. Erişim tarihi: 30 Ekim 2014. 
  5. ^ "On the Gordon & Loeb Model for Information Security Investment". 
  6. ^ "Extending the Gordon and Loeb Model for Information Security Investment". Extending the Gordon-Loeb Model for Information Security Investment. ieeexplore.ieee.org. 2010. ss. 258-261. doi:10.1109/ARES.2010.37. ISBN 978-1-4244-5879-0. 
  7. ^ Managing Information Risk and the Economics of Security. Springer-Verlag. 2009. s. 99. ISBN 9780387097626. Erişim tarihi: 30 Ekim 2014. 
  8. ^ "The Gordon-Loeb Investment Model Generalized: Time Dependent Multiple Threats and Breach Losses over an Investment Period". BibSonomy. 17 Mayıs 2014 tarihinde kaynağından arşivlendi. Erişim tarihi: 30 Ekim 2014. 
  9. ^ "An Overview of Economic Approaches to Information Security Management" (PDF). 15 Haziran 2006. 17 Mayıs 2014 tarihinde kaynağından (PDF) arşivlendi. Erişim tarihi: 30 Ekim 2014. 
  10. ^ "Security Metrics and Security Investment Models" (PDF). International Computer Science Institute, Berkeley, California. 29 Ağustos 2010. 17 Mayıs 2014 tarihinde kaynağından (PDF) arşivlendi. Erişim tarihi: 30 Ekim 2014. 
  11. ^ "An economic model of investment in information security". repository.ust.hk. HKUST Institutional Repository. 2014. 17 Mayıs 2014 tarihinde kaynağından arşivlendi. Erişim tarihi: 30 Ekim 2014. 
  12. ^ [Secure System Design Based on Optimal Investment Model and Case Study] |çeviri-başlık= kullanmak için |başlık= gerekiyor (yardım). ci.nii.ac.jp (Japonca). CiNii. ISSN 0913-5685 https://web.archive.org/web/20140517114454/http://ci.nii.ac.jp/naid/110003298595 |arşivurl= eksik başlık (yardım). 17 Mayıs 2014 tarihinde kaynağından arşivlendi. Erişim tarihi: 30 Ekim 2014. 
  13. ^ Lelarge (Aralık 2012). "Coordination in Network Security Games: A Monotone Comparative Statics Approach". IEEE Journal on Selected Areas in Communications. 30 (11): 2210-2219. doi:10.1109/jsac.2012.121213. 14 Mayıs 2014 tarihinde kaynağından arşivlendi. Erişim tarihi: 13 Mayıs 2014. 
  14. ^ "IT Security Investment and Gordon-Loeb's 1e Rule" (PDF). 24 Şubat 2012. 17 Mayıs 2014 tarihinde kaynağından (PDF) arşivlendi. Erişim tarihi: 30 Ekim 2014. 
  15. ^ Gordon (26 Eylül 2011). "You May Be Fighting the Wrong Security Battles". The Wall Street Journal. 11 Mart 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 9 Mayıs 2014. 
  16. ^ Palin (30 Mayıs 2013). "Maryland professors weigh up cyber risks". Financial Times. 3 Kasım 2014 tarihinde kaynağından arşivlendi. Erişim tarihi: 9 Mayıs 2014. 

İlgili Araştırma Makaleleri

<span class="mw-page-title-main">Ekonomi (bilim dalı)</span> İktisat bilimi

Ekonomi veya İktisat, mal ve hizmetlerin üretim, dağıtım ve tüketimini inceleyen sosyal bilimdir. Ekonomi, ekonomik aktörlerin davranış ve etkileşimlerine ve ekonomilerin nasıl işlediğine odaklanır. Mikroekonomi, bireysel ajanlar ve piyasalar, bunların etkileşimleri ve etkileşimlerin sonuçları da dahil olmak üzere ekonomideki temel unsurlar olarak görülen şeyleri analiz eden bir alandır. Bireysel aracılar arasında örneğin hane halkı, firmalar, alıcılar ve satıcılar yer alabilir. Makroekonomi, üretim, tüketim, tasarruf ve yatırımın etkileşim içinde olduğu bir sistem olarak ekonomi ve emek, sermaye ve toprak kaynaklarının istihdamı, para birimi enflasyonu, ekonomik büyüme ve bu unsurlara etkisi olan kamu politikaları gibi ekonomiyi etkileyen faktörleri analiz eder.

Avusturya Okulu sosyal olguların yalnızca bireylerin motivasyonlarından ve eylemlerinden kaynaklandığı kavramı olan metodolojik bireyciliğe sıkı sıkıya bağlı kalmayı savunan heterodoks bir ekonomik düşünce okuludur. Avusturya Okulu teorisyenleri, ekonomik teorinin yalnızca insan eyleminin temel ilkelerinden türetilmesi gerektiğini savunmaktadır.

<span class="mw-page-title-main">Theodore Schultz</span> Amerikalı ekonomist (1902 – 1998)

Theodore William Schultz, Amerikalı iktisatçı. 1979'da Sir Arthur Lewis ile birlikte Nobel Ekonomi Ödülü'nü kazanmıştır.

<span class="mw-page-title-main">William Forsyth Sharpe</span> Amerikalı ekonomist

William Forsyth Sharpe Amerikalı ekonomist. 1990 yılında, Harry Markowitz ve Merton Miller ile birlikte, Nobel Ekonomi Ödülü'nü kazanmıştır.

<span class="mw-page-title-main">JEL sınıflandırma kodları</span>

Ekonomi alanındaki başlıklar Journal of Economic Literature (JEL) denilen bir makale sınıflandırma sistemiyle sınıflandırılırlar. On dokuz ana kategori bulunmaktadır ve her biri alt kategorilerine ayrılmıştır.

<span class="mw-page-title-main">Saint Kitts ve Nevis pasaportu</span>

Saint Kitts ve Nevis pasaportu Uluslararası seyahat için Saint Kitts ve Nevis vatandaşlarına verilir.

<span class="mw-page-title-main">Siber İstihbarat Paylaşımı ve Koruması Yasası</span>

Siber İstihbarat Paylaşımı ve Koruması Yasası, 11 Kasım 2011 tarihinde Michael Rogers ve 111 destekçisi tarafından Beyaz Saray'a sunulmuş yasa tasarısıdır. Yasa tasarısı İnternet üzerindeki veri akışı bilgisinin ABD hükûmeti ve teknoloji şirketleri arasında paylaşımını sağlar. Yasa tasarısının amacı ABD hükûmetine siber tehditleri araştırmada yardımcı olmak ve ağın siber tehditlere karşı güvenli olduğuna emin olmaktır.

<span class="mw-page-title-main">Ulusal Güvenlik Ajansı</span> Ajansın logosu diğer amerika merkezli teşkilatların logolarıyla aynı kartal figürünü kullanıyor

Ulusal Güvenlik Dairesi, kısaca NSA, ABD'nin en çok istihbarat toplayan teşkilatı olduğu tahmin edilmektedir. Kriptoloji üzerine uzman olan bir teşkilattır. 4 Kasım 1952 tarihinde resmi olarak kurulmuştur. Yabancı ülkelerin iletişimlerini dinleyerek bilgi toplarlar. Ayrıca Amerikan hükûmetinin iletişimini yabancı teşkilatlardan korumak da onların görevidir.

<span class="mw-page-title-main">Siber savaş</span>

Siber savaş, bir devletin, başka bir devletin bilgisayar sistemlerine veya ağlarına hasar vermek ya da kesinti yaratmak üzere gerçekleştirilen sızma faaliyetleridir.

<span class="mw-page-title-main">Sosyal mühendislik</span>

Bilgi güvenliği bağlamında sosyal mühendislik, eylemleri gerçekleştirmeye veya gizli bilgileri ifşa etmeye yönelik olarak insanların psikolojik manipülasyonudur. Bu, gizli bilgilerin ifşa edilmesiyle ilgili olmayan sosyal bilimlerdeki toplum mühendisliğinden farklıdır. Bilgi toplama, dolandırıcılık veya sistem erişimi amaçlı bir tür güven hilesi, genellikle daha karmaşık bir dolandırıcılık planındaki birçok adımdan biri olması nedeniyle geleneksel bir hileden farklıdır.

Ağ istihbaratı (Aİ) kavramı ve derin paket kontrolü (DPI), paket yakalama ve iş zekası (BI) teknikleri üzerine inşa edilmiş bir teknolojidir. Gerçek zamanlı olarak inceleyen, protokolleri kullanılan tanımlama ve veri ilişkileri ve iletişim kalıplarının hızlı çözümlenmesi için paket içeriği ve meta ayıklanması yoluyla iletişim ağları çapraz IP veri paketlerini gerektirir. Ayrıca, bazen ağ hızlandırma veya korsanlık olarak anılacaktır.

Comodo Group, Inc., Amerika Birleşik Devletleri Clifton, New Jersey merkezli bilgisayar yazılımı ve SSL sayısal sertifikalar sağlayan özel bir şirket. İngiltere, Türkiye, Ukrayna, Romanya, Çin, Hindistan ve ABD'de yerleşkeleri bulunmaktadır.

<span class="mw-page-title-main">Leonardo (şirket)</span>

Leonardo S.p.A., İtalya merkezli çok uluslu bir havacılık ve savunma şirketidir. Şirket 1948 yılında kurulmuş olup 2018 yılı itibarı ile dünyanın sekizinci büyük savunma müteahiddidir. Şirketin merkezi Roma'da yer almaktadır. Şirketin bir bölümü İtalyan hükûmetine aittir ve İtalya Ekonomi ve Maliye Bakanlığı %30,2 ile şirketin en büyük hissedarıdır.

Siber-fiziksel sistemler (SFS), fiziksel bir mekanizmanın bilgisayar tabanlı algoritmalar tarafından kontrol edildiği veya izlendiği sistemlerdir. Siber-fiziksel sistemlerde, fiziksel ve yazılım bileşenleri derinlemesine iç içe geçmiştir, farklı mekansal ve zamansal ölçeklerde çalışabilir, çoklu ve farklı davranışsal modaliteler sergileyebilir ve bağlamla değişen şekillerde birbirleriyle etkileşime girebilir. SFS örnekleri arasında akıllı şebeke, otonom otomobil sistemleri, tıbbi izleme, endüstriyel kontrol sistemleri, robotik sistemler ve otomatik pilot aviyonik projeleri sayılabilir.

<span class="mw-page-title-main">Birleşmiş Milletler Güvenlik Konseyi'nin daimi üyeleri</span> Birleşmiş Milletler Güvenlik Konseyinin daimi üyeleri, BM 1945 Sözleşmesinin BM Güvenlik Konseyinde kalıcı bir koltuk verdiği beş egemen devlettir

Birleşmiş Milletler Güvenlik Konseyi'nin daimi üyeleri, BM 1945 Sözleşmesinin BM Güvenlik Konseyi'nde kalıcı bir koltuk verdiği beş egemen devlettir: Çin Halk Cumhuriyeti, Fransa Cumhuriyeti, Rusya Federasyonu, Büyük Britanya ve Kuzey İrlanda Birleşik Krallığı ve Amerika Birleşik Devletleri.

Kurumsal Yatırım Planı , 1994 yılında İş Genişletme Planına bağlı olarak başlatılan bir dizi Birleşik Krallık vergi indirimi. Birleşik Krallık'ta nitelikli bir ticaret yapan küçük kaydı yapılmamış şirketlere yatırımları teşvik etmek için tasarlanmıştır.

<span class="mw-page-title-main">Susan Athey</span> Amerikalı ekonomist

Susan Carleton Athey Amerikalı bir mikroekonomist.

Ağ güvenliği, bilgisayar ağının ve ağdan erişilebilen kaynakların yetkisiz erişimini, kötüye kullanımını, değiştirilmesini veya reddedilmesini önlemek, tespit etmek ve izlemek için benimsenen politika, süreç ve uygulamalardan oluşur .Ağ güvenliği, ağ yöneticisi tarafından kontrol edilen bir ağdaki verilere erişim yetkisini içerir. Kullanıcılar atanmış bir ID ve şifre veya yetkileri dahilindeki bilgilere ve programlara erişmelerine izin veren diğer kimlik doğrulama bilgilerini seçer .Ağ güvenliği, günlük işlerde kullanılan hem genel hem de özel çeşitli bilgisayar ağlarını kapsar: işletmeler, devlet kurumları ve bireyler arasında işlem ve ilişki yürütmek. Ağ güvenliği bir şirket gibi özel veya genel erişime açık olabilir. Ağ güvenliği, kuruluşlarda, işletmelerde ve diğer kurum türlerinde yer alır. Bir ağ kaynağını korumanın en yaygın ve basit yolu, ona benzersiz bir ad ve buna karşılık gelen bir parola atamaktır.

<span class="mw-page-title-main">CiNii</span>

CiNii Japon kütüphanelerindeki Japonca eserleri ve Japonya'da yayımlanan İngilizce eserleri içeren bir bibliyografik veritabanıdır. Veritabanı Nisan 2005'te kurulmuştur ve Ulusal Bilişim Enstitüsü tarafından yönetilmektedir.

<span class="mw-page-title-main">Kamu Güvenliği İstihbarat Ajansı</span>

Kamu Güvenliği İstihbarat Ajansı (PSIA), Japonya'nın ulusal İstihbarat teşkilatıdır. 21 Temmuz 1952 tarihinde kurulmuş olup Adalet Bakanlığı'na bağlıdır ve Japon ulusal güvenliğine yönelik tehditlere karşı iç güvenlik ve casuslukla görevlendirilmiştir. Merkezi Tokyo'nun Chiyoda semtinde yer almaktadır.


Bu sayfa, bu Vikipedi makalesine dayanmaktadır.
Metin, CC BY-SA 4.0 lisansı altında mevcuttur; ek koşullar uygulanabilir.
Görseller, videolar ve sesler kendi lisansları altında mevcuttur.