Når risiko er uviss Nytten av å uttrykke og kommunisere grader av uvisshet i risikoanalyse. Audun Jøsang



Like dokumenter
Modelldrevet risikoanalyse med CORAS

Kundetilfredshetsundersøkelse FHI/SMAP

Risikofokus - også på de områdene du er ekspert

En praktisk anvendelse av ITIL rammeverket

Public roadmap for information management, governance and exchange SINTEF

Hvordan ledere bør tenke når det gjelder risiko, risikoanalyse og risikostyring. Terje Aven Universitetet i Stavanger

5 E Lesson: Solving Monohybrid Punnett Squares with Coding

Unit Relational Algebra 1 1. Relational Algebra 1. Unit 3.3

Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring

Andrew Gendreau, Olga Rosenbaum, Anthony Taylor, Kenneth Wong, Karl Dusen

Cyberspace og implikasjoner for sikkerhet

ROS analyse for samfunnskritiske IKT systemer. Utfordringer og muligheter 24/11-05

Exercise 1: Phase Splitter DC Operation

Hvor mye praktisk kunnskap har du tilegnet deg på dette emnet? (1 = ingen, 5 = mye)

Risikostyring i et samfunnssikkerhetsperspektiv. Terje Aven Universitetet i Stavanger

ISO 41001:2018 «Den nye læreboka for FM» Pro-FM. Norsk tittel: Fasilitetsstyring (FM) - Ledelsessystemer - Krav og brukerveiledning

STILLAS - STANDARD FORSLAG FRA SEF TIL NY STILLAS - STANDARD

Fakultet for informasjonsteknologi, Institutt for datateknikk og informasjonsvitenskap AVSLUTTENDE EKSAMEN I. TDT42378 Programvaresikkerhet

ISO 9001:2015 Endringer i ledelsesstandarder

Når beste praksis rammeverk bidrar til bedre governance. Ingar Brauti, RC Fornebu Consulting AS

Kost-nytte innen sikkerhet: Hva er prisen, hva er verdien, og hvordan prioritere blant tiltak?

OM KJØNN OG SAMFUNNSPLANLEGGING. Case: Bidrar nasjonal og lokal veiplanlegging til en strukturell diskriminering av kvinner?

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Cloud Inspiration Day, UBC

Bruk av ALARP analyse for beslutningstaking på behovet for sikkerhetssystemer / barrierer

SIKKERHET SOM INVESTERING HVORDAN KONTROLLER SIKKERHETSKOSTNADENE?

Endelig ikke-røyker for Kvinner! (Norwegian Edition)

UNIVERSITETET I OSLO

HONSEL process monitoring

Den europeiske byggenæringen blir digital. hva skjer i Europa? Steen Sunesen Oslo,

Improving Customer Relationships

Slope-Intercept Formula

Building conservation in practice

Capturing the value of new technology How technology Qualification supports innovation

EN Skriving for kommunikasjon og tenkning

- En essensiell katalysator i næringsklyngene? Forskningsrådets miniseminar 12. april Mer bioteknologi i næringslivet hvordan?

Climate change and adaptation: Linking. stakeholder engagement- a case study from

Neural Network. Sensors Sorter

Dean Zollman, Kansas State University Mojgan Matloob-Haghanikar, Winona State University Sytil Murphy, Shepherd University

Hvordan føre reiseregninger i Unit4 Business World Forfatter:

UNIVERSITETET I OSLO ØKONOMISK INSTITUTT

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo

Den som gjør godt, er av Gud (Multilingual Edition)

RISIKOVILLIG, ELLER? mnemonic Risk Services Frokostseminar,

Dynamic Programming Longest Common Subsequence. Class 27

Security events in Norway

Gaute Langeland September 2016

Sannsynlighet, frekvens, usikkerhet hvordan forstå og formidle risiko?

Social Media Insight

buildingsmart Norge seminar Gardermoen 2. september 2010 IFD sett i sammenheng med BIM og varedata

Trust in the Personal Data Economy. Nina Chung Mathiesen Digital Consulting

Sorte svaner. Terje Aven Universitetet i Stavanger. Brann og eksplosjonssikring i petroleumsindustrien 2014, Haugesund 6-7 Mai Tekna

Vekstkonferansen: Vekst gjennom verdibaserte investeringer. Thina Margrethe Saltvedt, 09 April 2019

Compello Fakturagodkjenning Versjon 10 Software as a service. Tilgang til ny modulen Regnskapsføring

What is is expertise expertise? Individual Individual differ diff ences ences (three (thr ee cent cen r t a r l a lones): easy eas to to test

Confidence-based Data Management for Personal Area Sensor Nets

Compello Fakturagodkjenning Versjon 10.5 As a Service. Tilgang til Compello Desktop - Regnskapsføring og Dokument import

Internationalization in Praxis INTERPRAX

Hvor finner vi flått på vårbeiter? - og betydning av gjengroing for flåttangrep på lam på vårbeite

Passasjerer med psykiske lidelser Hvem kan fly? Grunnprinsipper ved behandling av flyfobi

European Crime Prevention Network (EUCPN)

THE MONTH THE DISCIPLINE OF PRESSING

Contingent Liabilities in Norwegian Local Government Accounting. Redress Programs Relating to Institutional Child Abuse

Forecast Methodology September LightCounting Market Research Notes

Det handler om å vite Christopher Kiønig KAM (ISO27001 LI)

Emneevaluering GEOV272 V17

Innovasjonsvennlig anskaffelse

Ole Isak Eira Masters student Arctic agriculture and environmental management. University of Tromsø Sami University College

Brukbar branding Veslemøy Holt Tord F Paulsen

Hvordan vurdere/revidere overordnet styring og kontroll

Hvordan jobber reiselivsgründere med sine etableringer? Sølvi Solvoll Klyngesamling, Bodø

Utvikling av skills for å møte fremtidens behov. Janicke Rasmussen, PhD Dean Master Tel

PATIENCE TÅLMODIGHET. Is the ability to wait for something. Det trenger vi når vi må vente på noe

Hvor mye teoretisk kunnskap har du tilegnet deg på dette emnet? (1 = ingen, 5 = mye)

Hotte samhandlingsverktøy

PRINCE2. Projects In Controlled Environments v2

KROPPEN LEDER STRØM. Sett en finger på hvert av kontaktpunktene på modellen. Da får du et lydsignal.

Kurskategori 2: Læring og undervisning i et IKT-miljø. vår

Tema. Informasjonsarkitektur Brukervennlighet/Usability Kommunikasjon som treffer målrettet kommunikasjon

Technology Ventures: From Idea to Opportunity

UNIVERSITETET I OSLO ØKONOMISK INSTITUTT

ISO-standarderfor informasjonssikkerhet

SOCIAL SCIENCE AND FOOD SAFETY GOVERNANCE: RISK- ANALYSIS AND DECISION-MAKING FRAMEWORKS. Lampros Lamprinakis

Managing Risk in Critical Railway Applications

Building trust in online grocery shopping. Aria Nejad og Kristoffer Holm Veileder: Amela Karahasanovic

KUNNSKAPSBYGGING, ERFARINGSOVERFØRING OG LÆRING. NÆRING FOR LÆRING 27. November 2013 Bodil Sophia Krohn

Metodisk kvalitetsvurdering av systematisk oversikt. Rigmor C Berg Kurs H, mars 2019

Rutiner for samhandling mellom Mattilsynet og VKM vedlegg I sist revidert

Samarbeidsbasert forskning er det mulig også i arbeidet med systematiske kunnskapsoversikter?

Dagens tema: Eksempel Klisjéer (mønstre) Tommelfingerregler

NO X -chemistry modeling for coal/biomass CFD

Morgenrapport Norge: Teknologihandelskrig

Trusler og mottiltak Mike Andersen Dell SecureWorks

Bedriftenes møteplass. Thina Margrethe Saltvedt, 02 April 2019

Samfunnsøkonomisk lønnsomhet og trafikkulykker

Nyttestyring og viktigheten av den gode kunde

Medisinsk statistikk, KLH3004 Dmf, NTNU Styrke- og utvalgsberegning

Kartleggingsskjema / Survey

Morgenrapport Norge: Trump og Kina avgjør om det blir en stille uke

Hvorfor hente kapital nå? En forklaring. Oslo 25. mai 2010

Miljøpåvirkning og legemiddelgodkjenning Hva sier regelverket? Steinar Madsen Statens legemiddelverk

Transkript:

Når risiko er uviss Nytten av å uttrykke og kommunisere grader av uvisshet i risikoanalyse Audun Jøsang SINTEF, mars 2014

God og dårlig oversettelse Engelsk Norsk Security Safety Certainty Sikkerhet Trygghet Visshet Bra Security Safety Certainty Sikkerhet Ikke bra A.Jøsang, mars 2014 Når risiko er uviss 2

Certainty & Safety Sikkerhet Sikkerhet, trygghet og visshet har relatert semantikk Likeledes for usikker, utrygg og uviss. Likevel, forskjellen er essensiell Å bruke sikkerhet i betydning trygghet and visshet visker ut denne forskjellen Likeledes for bruk av usikker i betydning utrygg and uviss Forvirrende setninger: Sikkerheten i organisasjonen er usikker Usikkerheten er sikker Vi er usikre på om vi er sikre Vi er sikre på at vi er usikre A.Jøsang, mars 2014 Når risiko er uviss 3

Hvor ble det av Trygg? Fra Trygg Trafikks nettside: Slik lykkes din kommune med trafikksikkerhet For å lykkes med kommunalt trafikksikkerhetsarbeid må arbeidet skje i flere av kommunens etater, som må være bevisste på sitt ansvar. I tillegg må trafikksikkerhetsarbeidet forankres i den politiske og administrative ledelsen. Trygg er blitt til et mykt begrep Trygge barn Trygghetsalarm for eldre Sikker gir et mer seriøst og troverdig inntrykk Trafikksikkerhet Flysikkerhet Sikkerhet i Nordsjøen A.Jøsang, mars 2014 Når risiko er uviss 4

Hvor ble det av Uviss? Fra Justervesenets nettside: I kalibreringsbeviset angis alltid en måleusikkerhet tilknyttet måleresultatet. Oftest oppgis måleusikkerheten som et symmetrisk intervall rundt måleresultatet, slik: Måleresultat ± måleusikkerhet. Hva når målingen er utrygg, eller usikker? Viss og uviss er blitt gammeldags Hva betyr visselig? Hvor viss er du? Jeg er helt uviss! Er det en meningsforskjell? Usikker sikkerhet Uviss sikkerhet Usikker måling Uviss måling Usikker risiko Uviss risiko A.Jøsang, mars 2014 Når risiko er uviss 5

Threat agent - Motivation - Capacity Vulnerability What is risk? Likelihood of threat / incident Impact on asset of threat / incident Assets Risk Risk Threats Vulnerabilities A.Jøsang, mars 2014 Når risiko er uviss 6

What is risk? The effect of uncertainty on objectives ISO27000 Overview and Vocabulary: 2014 Note to definition: Uncertainty is the state, even partial, of deficiency of information related to, understanding or knowledge of, an event, its consequence, or likelihood. Prøv å oversette denne definisjonen til norsk! The likelihood of a threat agent taking advantage of a vulnerability and the resulting business impact. Harris, CISSP All-in-One Exam Guide, definitions. The net mission impact considering (1) the probability that a particular threat-source will exercise (accidentally trigger or intentionally exploit) a particular vulnerability and (2) the resulting impact if this should occur NIST SP800-30: Risk Management Guide for IT Systems A.Jøsang, mars 2014 Når risiko er uviss 7

Risk Management standards ISO 27005 Information Security Risk Management ISO 31000 Risk Management NIST SP800-39 Managing Information Security Risk NIST SP800-30 Guide for Conducting Risk Assessment NS 5831 Samfunnssikkerhet Beskyttelse mot tilsiktede uønskede handlinger Risikohåndtering NS 5832 Samfunnssikkerhet Beskyttelse mot tilsiktede uønskede handlinger Risikoanalyse A.Jøsang, mars 2014 Når risiko er uviss 8

Characteristics of Uncertainty Uncertainty is unavoidable Uncertainty is chronically understated Satisfactory estimation with statistical analysis Uncertainty is information! Where to do further research Worst case scenarios A.Jøsang, mars 2014 Når risiko er uviss 9

Utrykk og visualisering av uvisshet Temperatur: 50% sannsynlighet 30% sannsynlighet Nedbør: 50% sannsynlighet 30% sannsynlighet A.Jøsang, mars 2014 Når risiko er uviss 10

Problems of measuring risk Businesses normally wish to measure risk in money, but almost impossible to do this Valuation of assets Value of data, hard to assess Value of goodwill and customer confidence, very vague Likelihood of threats Past events not always relevant for future probabilities The nature of future attacks is unpredictable The actions of future attackers are unpredictable Measurement of benefit from security control Problems with the difference of two approximate quantities Estimation of past and present risk A.Jøsang, mars 2014 Når risiko er uviss 11

Qualitative risk estimation, traditional approach Qualitative risk levels: Look-up matrix Principle: Add likelihood & impact levels Risk level Impact levels (0) Insignificant (1) Minor (2) Moderate (3) Major Likelihood (3) High (3) Moderate (4) High (5) Very High (6) Extreme (2) Medium (2) Low (3) Moderate (4) High (5) Very High (1) Low (1) Very Low (2) Low (3) Moderate (4) High (0) Unlikely (0) Negligible (1) Very Low (2) Low (3) Moderate How to handle degrees of uncertainty? A.Jøsang, mars 2014 12

Fuzzy verbal categories Likelihood Categories: Absolutely not Very unlikely Unlikely Somewhat unlikely Chances about even Somewhat likely Likely Very likely Absolutely Certainty Categories: 9 8 7 6 5 4 3 2 1 Completely uncertain E 9E 8E 7E 6E 5E 4E 3E 2E 1E Very uncertain D 9D 8D 7D 6D 5D 4D 3D 2D 1D Uncertain C 9C 8C 7C 6C 5C 4C 3C 2C 1C Slightly uncertain B 9B 8B 7B 6B 5B 4B 3B 2B 1B Completely certain A 9A 8A 7A 6A 5A 4A 3A 2A 1A A.Jøsang, mars 2014 Når risiko er uviss 13

Online demo http://folk.uio.no/josang/sl/ A.Jøsang, mars 2014 Når risiko er uviss 14

Fuzzy category to opinion mapping Depends on base rate Mapped to centre of corresponding field base rate a = 1/3 base rate a = 2/3 A.Jøsang, mars 2014 Når risiko er uviss 15

Uncertainty Analysis It should include quantitative measures of uncertainty It should include qualitative discussion of uncertainty Doing this well takes time and effort but is not always rewarded Research efforts in risk analysis should be viewed as tools for understanding uncertainties, not necessarily for reducing them. (Finkel, 1990) A.Jøsang, mars 2014 Når risiko er uviss 16

When is uncertainty analysis useful? It depends on the audience Sophisticated audiences can appreciate representation and analysis of uncertainty in risk assessment Better basis for decision making Non-expert audiences do not need uncertainty analysis Will not understand Not prepared to let uncertainty analysis influence decisions Wasted time and effort A.Jøsang, mars 2014 Når risiko er uviss 17

Takk for oppmerksomheten Spørsmål? A.Jøsang, mars 2014 Når risiko er uviss 18

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding