Игровой подход к инвестициям в информационную безопасность

Abstract

В статье проведен анализ основных подходов к определению оптимальных объемов инвестиций, необходимых для обеспечения информационной безопасности. Рассмотрены экономическая модель, определяющая оптимальный объем инвестиций в информационную безопасность для защиты заданного информационного ресурса Гордона-Лоеба и модель взаимосвязанных рисков для двух идентичных организаций Вухен Шима, выявлены их основные слабые стороны, которые не позволяют учитывать динамические аспекты а именно эффект инвестиций. Предложена модель оценки эффективности инвестиций в информационную безопасность, основанная на теории игр.

статті проведено аналіз основних підходів до визначення оптимальних обсягів інвестицій, необхідних для забезпечення інформаційної безпеки. Розглянуто економічна модель, яка визначає оптимальний обсяг інвестицій в інформаційну безпеку для захисту заданого інформаційного ресурсу Гордона - Лоеба і модель взаємозалежних ризиків для двох ідентичних організацій Вухен Шима, виявлено їх основні слабкі сторони, які не дозволяють враховувати динамічні аспекти а саме ефект інвестицій. Запропоновано модель оцінки ефективності інвестицій в інформаційну безпеку, заснована на теорії ігор.

Game theory is used to analyze problems in which the payoffs to players depend on the interaction between players’ strategies. For example, in the IT security investment problem, the firm and the hackers are players. The firm’s payoff from security investment depends on the extent of hacking it is subjected to. The hacker’s payoff from hacking depends on the likelihood he or she will be caught. Thus, the likelihood of the firm getting hacked depends on the likelihood the hacker will be caught, which, in turn, depends on the level of investment the firm makes in IT security. The first step in using game theory to analyze such strategic interactions among players is to develop a game tree that depicts the strategies of players. Based on Bayes' rule, we expect the strategy of players: firm and hacker. The solution to the game involves maximization of a polynomial function. This is done by equating the first derivative of the function with respect to each decision variable to zero. At this point, firm knows how much manual monitoring it should implement in order to minimize the total cost of security. IT security management is a demanding task. Assessing the value of security technologies is essential to manage IT security effectively. However, the lack of a comprehensive model that incorporates the specific features of IT security technologies has prevented firms from applying rigorous quantitative techniques to make security investment decisions. The current set of tools such as risk analysis and cost effectiveness analysis work with very high-level aggregate data, so these tools are of limited value in an IT security setting. We have proposed a comprehensive model to analyze IT security investment problems that overcome some of these limitations. We used this model to derive insights into the value of technologies.