Bine ați venit la Scribd!

Lecture 3

Încărcat de

0% au considerat acest document util (0 voturi)

23 vizualizări7 pagini

This document summarizes key points from a lecture on security as risk management. It discusses how perfect security is not possible, so the focus should be on managing risk. It outlines a risk management framework involving assessing assets, threats, vulnerabilities, and risks. It also discusses different approaches to coping with risk like risk acceptance, avoidance, mitigation, and transfer. An example of an annualized loss expectancy calculation is provided to demonstrate how to prioritize security spending. Limitations of this model are noted around how two scenarios can have the same expected value but different risks. The main lessons are that managing risk is key given imperfect security and that risk assessment is important but difficult.

Descriere originală:

Titlu original

lecture3

Drepturi de autor

Formate disponibile

PDF, TXT sau citiți online pe Scribd

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Raportați acest document

Drepturi de autor:

Formate disponibile

Descărcați ca PDF, TXT sau citiți online pe Scribd

Indicator pentru conținut neadecvat

0% au considerat acest document util (0 voturi)

23 vizualizări7 pagini

Lecture 3

Încărcat de

xssd

Drepturi de autor:

Formate disponibile

Descărcați ca PDF, TXT sau citiți online pe Scribd

Indicator pentru conținut neadecvat

Salt la pagina

Sunteți pe pagina 1din 7

Căutați în document

Foundations of Computer Security

Lecture 3: Security as Risk Management

Dr. Bill Young

Department of Computer Sciences
University of Texas at Austin

Lecture 3: 1 Security as Risk Management

Security as Risk Management

If perfect security is not possible, what can be done.

Viega and McGraw (Building Secure Software) assert that software

and system security really is “all about managing risk.”
Risk is the possibility that a particular threat will adversely impact
an information system by exploiting a particular vulnerability.

The assessment of risk must take into account the consequences of

an exploit.

Lecture 3: 2 Security as Risk Management

Risk Management Framework

Risk management is a process for an organization to identify and

address the risks in their environment.

One particular risk management procedure (from Viega and

McGraw) consists of six steps:
1 Assess assets
2 Assess threats
3 Assess vulnerabilities
4 Assess risks
5 Prioritize countermeasure options
6 Make risk management decisions

Lecture 3: 3 Security as Risk Management

Coping with Risk

Once the risk has been identified and assessed, managing the risk
may involve:
Risk acceptance: risks are tolerated by the organization. e.g.
sometimes the cost of insurance is greater than the
potential loss.
Risk avoidance: not performing an activity that would incur risk.
e.g. disallow remote login.
Risk mitigation: taking actions to reduce the losses due to a risk;
most technical countermeasures fall into this
category.
Risk transfer: shift the risk to someone else. e.g. most insurance
contracts, home security systems.

Lecture 3: 4 Security as Risk Management

Annualized Loss Expectancy

One common tool for risk assessment is annualized loss expectancy

(ALE), which is a table of possible losses, their likelihood, and
potential cost for an average year.

Example: consider a bank with the following ALE. Where should

the bank spend scarce security dollars?

Loss type Amount Incidence ALE

SWIFT* fraud $50,000,000 .005 $250,000
ATM fraud (large) $250,000 .2 $50,000
ATM fraud (small) $20,000 .5 $10,000
Teller theft $3,240 200 $648,000

* large scale transfer of funds.

Lecture 3: 5 Security as Risk Management

Is ALE the Right Model?

Annualized Loss Expectancy effectively computes the “expected

value” of any security expenditure.

Consider the following two scenarios:

1 I give you a dollar.
2 We flip a coin. Heads: I give you $1000. Tails: you give me
$998.
Note that the expected values are the same in both cases ($1), but
the risks seem quite different.

Lecture 3: 6 Security as Risk Management

Lessons

Because perfect security is impossible, realistic security is

really about managing risk.
Systematic techniques are available for assessing risk.
Assessing risk is important, but difficult and depends on a
number of factors (technical, economic, psychological, etc.)

Next lecture: Aspects of Security

Lecture 3: 7 Security as Risk Management

S-ar putea să vă placă și

Security Economics
De la Everand
Security Economics
Emmanuel Joseph
Încă nu există evaluări
Risk & Return: Chapte R
Document52 pagini
Risk & Return: Chapte R
Mohammad Salim Hossain
Încă nu există evaluări
Study Notes The Building Blocks of Risk Management
Document19 pagini
Study Notes The Building Blocks of Risk Management
alok kundalia
Încă nu există evaluări
Aswath Damodaran - Risk Management - A Corporate Governance Manual
Document113 pagini
Aswath Damodaran - Risk Management - A Corporate Governance Manual
rgribarra
Încă nu există evaluări
Cyber Combat: Learn to Defend Against Cyber Attacks and Corporate Spying
De la Everand
Cyber Combat: Learn to Defend Against Cyber Attacks and Corporate Spying
Zeph Reese
Încă nu există evaluări
Risk Management Concepts1
Document5 pagini
Risk Management Concepts1
upadhyay kulbhushan
Încă nu există evaluări
Risk Management: For Non-Business Risks, See Risk or The Disambiguation Page Risk Analysis
Document6 pagini
Risk Management: For Non-Business Risks, See Risk or The Disambiguation Page Risk Analysis
✬ SHANZA MALIK ✬
Încă nu există evaluări
BBMF2083 - Chap 2 - 6.22
Document40 pagini
BBMF2083 - Chap 2 - 6.22
Elizabeth
Încă nu există evaluări
Risk Managemennt Chapter 2 - AAU - 2020
Document31 pagini
Risk Managemennt Chapter 2 - AAU - 2020
Eden
Încă nu există evaluări
2 Unit 5 - Security - Risk Management
Document16 pagini
2 Unit 5 - Security - Risk Management
Gayathri Dhana
Încă nu există evaluări
Chapter 03 RMI
Document9 pagini
Chapter 03 RMI
Sudipta Barua
Încă nu există evaluări
Lea 3 - Chapter 8-10
Document11 pagini
Lea 3 - Chapter 8-10
rachelydavez50
Încă nu există evaluări
101-Introduction To Derivatives Trading and Settlement
Document25 pagini
101-Introduction To Derivatives Trading and Settlement
Amruta Peri
Încă nu există evaluări
What Is Risk Exposure in Business
Document3 pagini
What Is Risk Exposure in Business
Javeed A. Khan
Încă nu există evaluări
T1-FRM-1-Ch1-Risk-Mgmt-v3.3 - Study Notes
Document21 pagini
T1-FRM-1-Ch1-Risk-Mgmt-v3.3 - Study Notes
cristiano
Încă nu există evaluări
Chapter-3 Risk Management Through Insurance: Certificate in Insurance Concepts
Document23 pagini
Chapter-3 Risk Management Through Insurance: Certificate in Insurance Concepts
Praveen
60% (5)
Security Leader Insights for Risk Management: Lessons and Strategies from Leading Security Professionals
De la Everand
Security Leader Insights for Risk Management: Lessons and Strategies from Leading Security Professionals
Richard Chase
Încă nu există evaluări
Managing Risk: Risk Management For Enterprises and Individuals
Document33 pagini
Managing Risk: Risk Management For Enterprises and Individuals
Ahmad Raza
Încă nu există evaluări
P1.T1. Foundations of Risk Chapter 1. The Building Blocks of Risk Management Bionic Turtle FRM Study Notes
Document21 pagini
P1.T1. Foundations of Risk Chapter 1. The Building Blocks of Risk Management Bionic Turtle FRM Study Notes
Christian Rey Magtibay
Încă nu există evaluări
Module 5 Ims Lea 3
Document16 pagini
Module 5 Ims Lea 3
Joe Bert Butlig
Încă nu există evaluări
Risk Management
Document21 pagini
Risk Management
AndreeaEne
100% (2)
CISSP Note
Document62 pagini
CISSP Note
Le An
75% (4)
Risk Management and Insurance
Document38 pagini
Risk Management and Insurance
Nepali Bikrant Shrestha Rai
Încă nu există evaluări
IT Risk Management Paper
Document9 pagini
IT Risk Management Paper
Oxford Assignment
Încă nu există evaluări
Chapters of Risk Management Summary
Document8 pagini
Chapters of Risk Management Summary
Mohamed Abdirashid
Încă nu există evaluări
CISSP - 1 Information Security & Risk Management
Document60 pagini
CISSP - 1 Information Security & Risk Management
jonty509
Încă nu există evaluări
مبادئ التأمين شعبة لغة
Document210 pagini
مبادئ التأمين شعبة لغة
ISLAM KHALED ZSC
Încă nu există evaluări
Blue Team Operations: Operatonal Security, Incident Response & Digital Forensics
De la Everand
Blue Team Operations: Operatonal Security, Incident Response & Digital Forensics
Rob Botwright
Încă nu există evaluări
FIN222 Chapter 1 Tutorial 2
Document11 pagini
FIN222 Chapter 1 Tutorial 2
Ahmed KHALIL
Încă nu există evaluări
Financial Derivatives & Risk Management
Document24 pagini
Financial Derivatives & Risk Management
Gaurav Kumar
0% (1)
Introduction To Risk & Risk Management-1
Document28 pagini
Introduction To Risk & Risk Management-1
Mehul Bharwad
Încă nu există evaluări
An Overview of Risk Management in Banking PDF
Document77 pagini
An Overview of Risk Management in Banking PDF
Sweta Kanguri Sonulkar
Încă nu există evaluări
1 CH3 Formulating Risk Exposure CLO3 STD
Document33 pagini
1 CH3 Formulating Risk Exposure CLO3 STD
Ben John
Încă nu există evaluări
Insurance Course Full
Document24 pagini
Insurance Course Full
Maxime Arnold
Încă nu există evaluări
Chapter-II Risk Management Process
Document44 pagini
Chapter-II Risk Management Process
Canaan
Încă nu există evaluări
64e6cf57382c8f244341c424-1692848038-1st Exam - FINANCIAL RISK MANAGEMENT
Document51 pagini
64e6cf57382c8f244341c424-1692848038-1st Exam - FINANCIAL RISK MANAGEMENT
Jill morie
Încă nu există evaluări
Operations
Document20 pagini
Operations
tommy909
Încă nu există evaluări
Webinar 1 RISK IDENTIFICATION AND FRAMEWORKS
Document17 pagini
Webinar 1 RISK IDENTIFICATION AND FRAMEWORKS
bcbberenger2
Încă nu există evaluări
Managing Liability and Property Risk: Group: 3
Document32 pagini
Managing Liability and Property Risk: Group: 3
Nguyễn Huỳnh Minh Ánh
Încă nu există evaluări
Risk Management: Prof Mahesh Kumar Amity Business School
Document41 pagini
Risk Management: Prof Mahesh Kumar Amity Business School
asifanis
Încă nu există evaluări
Risk and Risk Measurement
Document18 pagini
Risk and Risk Measurement
Ezekiel Ogaga Ovbioghor
Încă nu există evaluări
Lecture 1 Insurance Risk
Document43 pagini
Lecture 1 Insurance Risk
Kazi Saiful
Încă nu există evaluări
Safety Risk Management: Sms For Aviation-A Practical Guide
Document28 pagini
Safety Risk Management: Sms For Aviation-A Practical Guide
Ricky
Încă nu există evaluări
Safety Risk Management: Sms For Aviation-A Practical Guide
Document28 pagini
Safety Risk Management: Sms For Aviation-A Practical Guide
asddfasd
Încă nu există evaluări
IT Governance Critical Issues Series: Cyber Security
De la Everand
IT Governance Critical Issues Series: Cyber Security
Alan Calder
Încă nu există evaluări
Risk Management v0.3
Document47 pagini
Risk Management v0.3
Ashwini Bala
Încă nu există evaluări
Risk Management
Document40 pagini
Risk Management
saif khan
Încă nu există evaluări
Infosec Risks
Document15 pagini
Infosec Risks
JOE
Încă nu există evaluări
Risk and Risk Management: Presented by
Document18 pagini
Risk and Risk Management: Presented by
Kaushar Alam
Încă nu există evaluări
2.3 What Is Risk
Document14 pagini
2.3 What Is Risk
Hasan Wajid Kidwai
Încă nu există evaluări
Visualising Your Risks Making Sense of Risks by Le
Document5 pagini
Visualising Your Risks Making Sense of Risks by Le
Victor Vargas
Încă nu există evaluări
RISKMGT
Document94 pagini
RISKMGT
Rajat Behera
Încă nu există evaluări
Crim 3
Document50 pagini
Crim 3
saisai fudolig
Încă nu există evaluări
Cyber Security for Beginners: How to Protect Your Devices from Malicious Attacks Using Risk Management, Social Engineering, and Information Security (2022 Guide for Newbies)
De la Everand
Cyber Security for Beginners: How to Protect Your Devices from Malicious Attacks Using Risk Management, Social Engineering, and Information Security (2022 Guide for Newbies)
Adrian Gildon
Încă nu există evaluări
The Business Owner's Guide to Cybersecurity: Protecting Your Company from Online Threats
De la Everand
The Business Owner's Guide to Cybersecurity: Protecting Your Company from Online Threats
Neil King
Încă nu există evaluări
Risk Management
Document7 pagini
Risk Management
bharti gupta
Încă nu există evaluări
Advanced Persistent Security: A Cyberwarfare Approach to Implementing Adaptive Enterprise Protection, Detection, and Reaction Strategies
De la Everand
Advanced Persistent Security: A Cyberwarfare Approach to Implementing Adaptive Enterprise Protection, Detection, and Reaction Strategies
Ira Winkler
Evaluare: 4 din 5 stele
4/5 (1)
Visualising
Document4 pagini
Visualising
Ossiamoro
Încă nu există evaluări
CompTIA CySA+ Certification The Ultimate Study Guide to Practice Questions With Answers and Master the Cybersecurity Analyst Exam
De la Everand
CompTIA CySA+ Certification The Ultimate Study Guide to Practice Questions With Answers and Master the Cybersecurity Analyst Exam
Jake T Mills
Încă nu există evaluări
Presented by B.Sai Kiran (12NA1E0036)
Document15 pagini
Presented by B.Sai Kiran (12NA1E0036)
Belkacem Achour
Încă nu există evaluări
Self Measures For Self-Esteem STATE SELF-ESTEEM
Document4 pagini
Self Measures For Self-Esteem STATE SELF-ESTEEM
Alina
100% (1)
Creating The Fusion Economy
Document15 pagini
Creating The Fusion Economy
rocket_science3.0
Încă nu există evaluări
2017 WikiVisual Illustration Style Guide
Document29 pagini
2017 WikiVisual Illustration Style Guide
Peter Slattery
100% (3)
Chap05 JOHN W. CRESWELL
Document27 pagini
Chap05 JOHN W. CRESWELL
Muhammad Bilal
100% (2)
Viltam User Manual en
Document13 pagini
Viltam User Manual en
szol888
Încă nu există evaluări
McPherson Charles Case Study - Debrief
Document10 pagini
McPherson Charles Case Study - Debrief
Sri Narendiran
Încă nu există evaluări
Part 1 Hydraulic Design Calculation 473
Document13 pagini
Part 1 Hydraulic Design Calculation 473
shashi rajhans
Încă nu există evaluări
Elements of Short Story WORKBOOK
Document26 pagini
Elements of Short Story WORKBOOK
David Velez Gonzalez
100% (2)
Hvyyjbb
Document128 pagini
Hvyyjbb
Ayashkanta Rout
Încă nu există evaluări
IBM Global Human Capital Study
Document72 pagini
IBM Global Human Capital Study
praneeth.patlola
100% (9)
8102 Lifespan Project
Document8 pagini
8102 Lifespan Project
api-346419959
Încă nu există evaluări
Information On Resource Allocation Within Netbackup
Document17 pagini
Information On Resource Allocation Within Netbackup
Abhishek Pondicherry
Încă nu există evaluări
Blessings in Disguise
Document238 pagini
Blessings in Disguise
AJ Hassan
Încă nu există evaluări
Simulation of IEEE 802.15
Document8 pagini
Simulation of IEEE 802.15
herieds
Încă nu există evaluări
Mechanistic-Empirical Pavement Design Guide
Document3 pagini
Mechanistic-Empirical Pavement Design Guide
lelu8210
Încă nu există evaluări
Accessing I/O Devices
Document33 pagini
Accessing I/O Devices
Kishore SK
Încă nu există evaluări
Stress in Compounds
Document3 pagini
Stress in Compounds
Emma Peel
Încă nu există evaluări
Gui 0001 Eng
Document102 pagini
Gui 0001 Eng
Balaji Mysore
Încă nu există evaluări
Nursing Research Lec 09
Document116 pagini
Nursing Research Lec 09
malyn1218
100% (2)
ESE 18 Cut Offs English PDF
Document1 pagină
ESE 18 Cut Offs English PDF
kishan singh
Încă nu există evaluări
Control System QB
Document29 pagini
Control System QB
Prabhavathi Aadhi
Încă nu există evaluări
Data Gathering Advantage and Disadvantage
Document4 pagini
Data Gathering Advantage and Disadvantage
Juan Veron
Încă nu există evaluări
The Science of Bonding From First To Sixth Generation
Document6 pagini
The Science of Bonding From First To Sixth Generation
Rolzilah Rohani
Încă nu există evaluări
Vxworks Kernel Programmers Guide 6.8
Document802 pagini
Vxworks Kernel Programmers Guide 6.8
hisahin
Încă nu există evaluări
ESP Design Calculation PDF
Document17 pagini
ESP Design Calculation PDF
Mohammed Abdul Moied
100% (1)
Quiz Unit 2 B3
Document9 pagini
Quiz Unit 2 B3
Nicolás Felipe Moreno Páez
Încă nu există evaluări
A Project Report ON: Admerit IIT & ME, Patna LC Code:-01780
Document74 pagini
A Project Report ON: Admerit IIT & ME, Patna LC Code:-01780
Santosh Fran
Încă nu există evaluări
4.NBT.1 Task 2
Document2 pagini
4.NBT.1 Task 2
Nur Nadzirah
Încă nu există evaluări
Photo-Realistic 3D Model Extraction From Camera Array Capture
Document11 pagini
Photo-Realistic 3D Model Extraction From Camera Array Capture
John Naylor
Încă nu există evaluări
Habitat Lesson Plan
Document2 pagini
Habitat Lesson Plan
api-177886209
Încă nu există evaluări