Lawrence A. Gordon, Ph.D.
Ernst & Young Alumni Professor of Managerial Accounting and
Information Assurance
Affiliate Professor in University of Maryland Institute for Advanced
Computer Studies
Robert H. Smith School of Business
University of Maryland
Phone: 301-405-2255 ~ Fax: 301-314-9414
E-mail: lgordon@rhsmith.umd.edu
-
Annotated Bibliography - Economic Aspects of Information Security
-
Cyber/Information and Cyber Security Expenditures and Investments
-
Contingency Theory and the Design of Accounting Information Systems
-
Forum on Financial Information Systems and Cybersecurity: A Public Policy Perspective
|
高登-洛伯模型 (Gordon-Loeb Model) 資訊安全投資之經濟分析
俗話說:「居安思危。」資訊安全已成為網路經濟時代企業必須面對的首要問題之一。 僅管目前對資訊安全問題的討論大多從技術面著手,企業普遍存在的迷思卻是究竟該投資多少資源於這些資訊安全技術上。 高登-洛伯模型(Gordon-Loeb Model) 即在運用經濟及數學模型解析此一問題。
企業到底該花多少錢來解決資訊安全問題呢? 如果你的預算是一百萬,又該如何分配到不同的資訊安全解決方案上呢? 是該多押寶在防毒軟體上,或是押寶在防火牆的建設上呢? 馬里蘭大學的高登(Gordon)及洛伯(Loeb)教授於2002年發表了一篇研究論文「資訊安全投資之經濟分析」(The Economics of Information Security Investment),主要就在探討上述普遍存在於企業內部的問題。此研究運用數學模型來分析各種不同資訊安全漏洞產生函數(Information Security Breach Function)時,企業應如何進行資訊安全投資。此項分析成果已被許多資訊安全領域的文獻正式稱為「高登-洛伯模型」(Gordon-Loeb Model)。
聽起來深奧難懂嗎? 因為看到「經濟」和「數學」二個詞而讓你忘之卻步嗎? 高登-洛伯模型分析所歸納出的二大最適投資法則可是讓你吃驚的簡單易行喔! l 法則一: 資訊安全投資的金額不應超過預期從資訊安全漏洞而來的損失的37%。舉例來說,如果你預期你的公司遭受駭客入侵時的損失大約一百萬的話,你的企業投資於防止駭客入侵就是不該超過37萬。 l 法則二: 不是愈容易產生漏洞的資訊就花愈多錢來保護這項資訊,有中等程度弱點的資訊才是該花大錢的地方。比方來說,你的公司如果有三套網路:一個是對外公開網際網路、一個是專門與供應商聯絡用、一個是專供企業內部用網路。一般來說你會認為它們的漏洞程度是由高至低,而且如果給你總金額一百萬來投資網路安全,你會分配最多的投資在對外公開的網際網路。然而高登-洛伯模型卻會奉勸你把一百萬的大部份投資在與供應商聯絡用的網路。
高登-洛伯模型化繁為簡,且背後有完整的數學經濟分析支持,所以目前不但被廣為引用,還有許多實證研究的結果直接告訴我們高登-洛伯模型並不是不切實際、高空樓閣的純理論。例如日本東京大學的塔拿卡(Tanaka)教授等人就利用日本地方政府E化(E-local Government)所產生的一些數據來證明以上法則二的存在。 如果你想親眼一窺高登-洛伯模型的究竟,請參考以下文章: 文章名稱: The Economics of Information Security Investment。作者: Gordon, L.A. and M.P. Loeb。期刊名稱: ACM Transactions on Information and System Security。刊登期數: 2002年11月。頁碼: 438-457。
不管你是想認真的進一步從事高登-洛伯模型相關的研究,亦或只是想閒聊一下這個模型相關的問題,都歡迎聯絡Larry Gordon,我的電子郵件是 lgordon@rhsmith.umd.edu.
Simple Chinese Translation (简体中文版翻译)
|