Modello di Gordon-Loeb

Da Wikipedia, l'enciclopedia libera.
Vai alla navigazione Vai alla ricerca

Il modello di Gordon–Loeb /ˈgȯr-dən ˈlōb/ è un modello economico-matematico che analizza il livello ottimale di investimento nella Sicurezza informatica.

Investire per proteggere i dati aziendali comporta un costo che, a differenza dei normali investimenti, non genera profitto ma serve solo per prevenire eventuali costi aggiuntivi. Bisogna quindi saper confrontare quanto costa investire in protezione dei dati con quanto ci costerebbe se i dati venissero carpiti, persi o deteriorati. Per stilare il modello, l'azienda deve essere a conoscenza del valore approssimativo di tre parametri : quanto valgono i dati da proteggere, quanto i suoi dati sono a rischio e quanto alta è la probabilità che un attacco ad essi abbia successo. Quest'ultimo parametro, viene definito da Gordon e Loeb vulnerabilità. Il prodotto dei tre parametri sopracitati fornisce l'ammontare della perdita media se non si investe in sicurezza.[1]

Livello ideale di investimento nella sicurezza informatica aziendale dati i ritorni incrementali decrescenti.

Dal modello si può dedurre che l'ammontare di denaro che un'azienda spende per proteggere l'informazione dovrebbe essere, in generale, solo una piccola frazione della perdita prevista (per esempio, il valore atteso della perdita come conseguenza ad un'eventuale breccia nella sicurezza informatica dell'azienda). Più specificatamente, il modello mostra che è generalmente non conveniente investire in attività di sicurezza informatica (incluse attività legate a cybersecurity o computer security) per più del 37 percento della perdita stimata nel caso di un'eventuale breccia nella sicurezza. Il modello di Gordon-Loeb mostra anche che, per uno specifico livello di perdita potenziale, la quantità di risorse da spendere per proteggere un set di informazioni non aumenta sempre in contemporanea con l'aumento delle vulnerabilità di quel set. Le aziende quindi possono avere un maggior ritorno economico sulle loro attività di sicurezza investendo in attività di cyber/information security il cui scopo è migliorare la sicurezza di insiemi di informazioni con un livello medio di vulnerabilità. In altre parole, l'investimento nella sicurezza dei propri dati aziendali riduce la vulnerabilità con ritorni incrementali decrescenti.

Esempio: supponendo che il valore stimato dei dati dell’azienda sia di 1.000.000 di euro, che la probabilità che questa subisca un attacco informatico sia del 15% e che, nell’eventualità di un attacco, questo vada a buon fine con una probabilità dell’80%, la perdita potenziale media è data dal prodotto 1.000.000 euro x 0.15 x 0.8 = 120.000 euro. In base a quanto affermato da Gordon e Loeb, l’azienda dovrà investire per la sicurezza dei suoi dati un importo non superiore a 120.000 euro x 0.37 = 44.400 euro.

Il modello di Gordon-Loeb è stato pubblicato per la prima volta da Lawrence A. Gordon e Martin P. Loeb nel loro saggio del 2002, in ACM Transactions on Information and System Security, intitolato "The Economics of Information Security Investment.[2]". Tale saggio è stato poi ristampato nel libro Economics of Information Security. Gordon e Loeb sono entrambi professori alla Robert H. Smith School of Business dell'Università del Maryland.

Il modello di Gordon-Loeb è uno dei modelli analitici maggiormente ritenuti validi nella letteratura nel settore di "economia nella cyber/information security". Il modello è stato ampiamente referenziato anche nella letteratura accademica e professionale.[3][4][5][6][7][8][9][10][11] Il modello è stato anche testato in maniera empirica in molti scenari differenti. Le ricerche condotte dai matematici Marc Lelarge[12] e Yuliy Baryshnikov[13] hanno poi generalizzato i risultati del modello di Gordon-Loeb.

Il modello di Gordon-Loeb è stato in primo piano nella stampa popolare comparendo in giornali quali The Wall Street Journal[14] e The Financial Times.[15][16]

  1. ^ Giuseppe D'Acquisto, Maurizio Naldi, Big Data e Privacy by design, G.Giappichelli Editore, ISBN 978-88-921-0629-1.
  2. ^ Lawrence Gordon e Martin Loeb, The Economics of Information Security Investment, in ACM Transactions on Information and System Security, vol. 5, n. 4, November 2002, pp. 438–457, DOI:10.1145/581271.581274.
  3. ^ Kanta Matsuura, Productivity Space of Information Security in an Extension of the Gordon-Loeb's Investment Model (PDF), su weis2008.econinfosec.org, 23 aprile 2008. URL consultato il 30 ottobre 2014 (archiviato dall'url originale l'8 settembre 2008).
  4. ^ CiteSeerX — On the Gordon&Loeb Model for Information Security Investment, su citeseerx.ist.psu.edu. URL consultato il 30 ottobre 2014.
  5. ^ IEEE Xplore Abstract - Extending the Gordon and Loeb Model for Information Security Investment, su ieeexplore.ieee.org. URL consultato il 30 ottobre 2014.
  6. ^ Johnson, E., Managing Information Risk and the Economics of Security, Springer-Verlag, 2009, p. 99, ISBN 978-0-387-09762-6. URL consultato il 30 ottobre 2014.
  7. ^ BibSonomy  :: publication :: The Gordon-Loeb Investment Model Generalized: Time Dependent Multiple Threats and Breach Losses over an Investment Period., su bibsonomy.org. URL consultato il 30 ottobre 2014 (archiviato dall'url originale il 17 maggio 2014).
  8. ^ Xiaomeng Su, An Overview of Economic Approaches to Information Security Management (PDF), su eprints.eemcs.utwente.nl, 15 giugno 2006. URL consultato il 30 ottobre 2014.
  9. ^ Rainer Böhme, Security Metrics and Security Investment Models (PDF), su wi1.uni-muenster.de, International Computer Science Institute, Berkeley, California, 29 agosto 2010. URL consultato il 30 ottobre 2014 (archiviato dall'url originale il 17 maggio 2014).
  10. ^ An economic model of investment in information security - HKUST Institutional Repository, su repository.ust.hk. URL consultato il 30 ottobre 2014 (archiviato dall'url originale il 17 maggio 2014).
  11. ^ CiNii 論文 - 最適投資モデルに基づくセキュアシステム設計と事例研究, su ci.nii.ac.jp. URL consultato il 30 ottobre 2014.
  12. ^ Marc Lelarge, Coordination in Network Security Games: A Monotone Comparative Statics Approach, in IEEE Journal on Selected Areas in Communications, vol. 30, n. 11, December 2012, pp. 2210–2219, DOI:10.1109/jsac.2012.121213. URL consultato il 13 maggio 2014 (archiviato dall'url originale il 14 maggio 2014).
  13. ^ YULIY BARYSHNIKOV, IT SECURITY INVESTMENT AND GORDON-LOEB’S 1/e RULE (PDF), su weis2012.econinfosec.org, 24 febbraio 2012. URL consultato il 30 ottobre 2014 (archiviato dall'url originale il 17 maggio 2014).
  14. ^ Lawrence Gordon e Martin Loeb, You May Be Fighting the Wrong Security Battles, in the Wall Street Journal, 26 settembre 2011. URL consultato il 9 maggio 2014.
  15. ^ Adam Palin, Maryland professors weigh up cyber risks, in Financial Times, 30 maggio 2013. URL consultato il 9 maggio 2014.
  16. ^ For a 3-minute video that provides a non-mathematical overview of the Model, go to: https://www.youtube.com/watch?v=cd8dT0FuqQ4.