Hvordan lage og bruke policyer i tillitshåndtering

Like dokumenter
Analyse av tillit i elektronisk samvirke

SIKKERHET OG TILLIT FRA ET TVERRFAGLIG PERSPEKTIV

Hvordan håndheve sikkerhet med hensyn til endring

Trustworthy computing, hva har det med tillit å gjøre?

Hvordan predikere sikkerhet mht. endring

Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring

Modelldrevet risikoanalyse med CORAS

Tillit, risiko og personvern etiske spørsmål. Dag Elgesem Seksjon for humanistisk informatikk Universitetet i Bergen

Cyber-forsikring til hvilken pris?

Cyberspace og implikasjoner for sikkerhet

UiA employees Students. Frank!

Cyberforsikring for alle penga?

Når bør cyberrisiko forsikres?

Muliggjørende teknologier "Teknologibad" Manufacturing

Kan cyber-risiko forsikres?

Hvordan monitorere sikkerhet med hensyn til endring

Kost-nytte innen sikkerhet: Hva er prisen, hva er verdien, og hvordan prioritere blant tiltak?

Risikovurdering av cybersystemer

Spillbasert tillitsanalyse. Dag Elgesem Informasjons- og medievitenskap UiB

Universitetet i Agder: Utdanning innen ehelse Status og veien videre. HelsIT2013 sesjon 1D e-helsekompetanse det har vi vel?

Standarder med relevans til skytjenester

ISOs styringssystemstandarder et verktøy for forenkling

Building trust in online grocery shopping. Aria Nejad og Kristoffer Holm Veileder: Amela Karahasanovic

Timed STAIRS tid for å ta steget til 3-event meldinger

Med kvalitet menes: WIKIPEDIA. STORE NORSKE LEKSIKON

HMS og IKT-sikkerhet i integrerte operasjoner

Bibliotekundervisningens fremtid nytt fokus på metodikk og digitalisering

Risikokultur grunnmuren i risikostyring

Eksamensoppgave i POL1003 Miljøpolitikk, energipolitikk og ressursforvaltning

Digitalisering. Fra frykt til praksis. Research and Education Network seminar BI, Nydalen 15. februar Espen Andersen

RISIKOSTYRING SETT FRA NFKR s SYNSVINKEL

Erfaringer fra en Prosjektleder som fikk «overflow»

Security events in Norway

Komposisjon av risikomodeller:

Utvikling og strategi i internasjonalt samarbeid med vekt på den europeiske arenaen

Når Big Data blir Big Business. Foredrag ved Standard Morgen 11.Desember 2017 Arne Dulsrud Forskningssjef SIFO

Asset Management. Compliance og Operasjonell Risiko. Asle Bistrup Eide. Presentasjon i VFF den 28. november 2012

Akademisk frihet under press

Oversikt over metodar og teknikkar for å beskrive truslar. Mass Soldal Lund SINTEF IKT

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers Tlf.

Welcome to RiskNet open workshop

ETIKK INFORMATIKK INF1500

Noen tanker om brobygging mellom forskning og forvaltning eller hei der ute, hører dere oss?

What's in IT for me? Sted CAMPUS HELGELAND, MO I RANA Tid

INFORMASJONSSIKKERHET

Måling av informasjonssikkerhet ISO/IEC 27004:2016. Håkon Styri Seniorrådgiver Oslo,

Ny ISO 9001:2015. Disclaimer:

Hva er terminologi og fagspråk, og hva skal vi med det?

organisasjonsanalyse på tre nivåer

Måling av informasjonssikkerhet. Håkon Styri Seniorrådgiver Oslo,

Hvilken retning går Internett i?

Topplederens kunnskap og engasjement

Hva er tillitsbasert lederskap og hvorfor virker det?

Hvilke faktorer påvirker virksomhetenes tilnærming til risiko

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Numerical Simulation of Shock Waves and Nonlinear PDE

The Future of Academic Libraries the Road Ahead. Roy Gundersen

Bærekraft og velferd i Kina. Frokostseminar 19. juni 2014 Fafo

IT-nytten i en virksomhet Bruk av IKT i virksomheter - G

Vekst og digitalisering

Hva? Disposisjon. Digitalt førstevalg hva hvorfor hvordan?

Nyttestyring og viktigheten av den gode kunde

Hvordan kontrollere det ukontrollerte? Et ledelsesperspektiv. Geir Arild Engh-Hellesvik, Leder IPBR / KPMG Advisory 02.

November Internkontroll og styringssystem i praksis - Aleksander Hausmann

Dette kreves for å lykkes med it-prosjekter i det offentlige CIO Forum Prosjektstyring august

Social Project Management. CIO Konferansen Prosjektstyring 09. juni 2016

Prototyper og anbudsdokumentasjon. Jan Håvard Skjetne SINTEF / University of Melbourne Janhavard.skjetne@sintef.no

Hva er vitsen med sikkerhetspolicies?

Hva legges i begrepet Big Data Hvilke muligheter eller betydning vil dette ha for den enkelte virksomhet Bruksområder Oppsummering. Arild S.

Erfaringer fra utrustit

GeoForum sin visjon: «Veiviser til geomatikk» og virksomhetsideen er: «GeoForumer en uavhengig interesseorganisasjon for synliggjøring og utvikling

Måling av informasjonssikkerhet i norske virksomheter

Nyttestyring og viktigheten av den gode kunde. Magne Jørgensen

Håndtering av forurensede sedimenter fra tradisjonell risikoanalyse til LCA

Samarbeid mellom sikkerhetsforskning og sikkerhetspraksis

Utvikling av skills for å møte fremtidens behov. Janicke Rasmussen, PhD Dean Master Tel

Risikoanalysemetodikk

NTNU, TRONDHEIM Norges teknisk-naturvitenskapelige universitet Institutt for sosiologi og statsvitenskap

Trondheim, SEMINAR: TA GREP OM ENERGIEN MED NS-EN ISO 50001:2018

Utbytte av brukerdreven innovasjon

Evaluering av brukervennlighet for alle: Måler vi de riktige tingene? En evaluering med funksjonshemmede brukere

Public roadmap for information management, governance and exchange SINTEF

EHF Faktura 3.0 og nytt europeisk standardformat

En praktisk anvendelse av ITIL rammeverket

Evaluering av digitalisering i offentlig sektor Hvor gode er vi? Evaluerer vi det som er viktig? Trenger vi mer eller annen type evaluering?

Er norske virksomheter digitale sinker? Hva betyr det? Og hvorfor er de det?

KULTUR OG SYSTEM FOR LÆRING

Kan du skylde på andre? Hva med eget ansvar?

KUNNSKAPSBYGGING, ERFARINGSOVERFØRING OG LÆRING. NÆRING FOR LÆRING 27. November 2013 Bodil Sophia Krohn

IT-lederkonferansen (Hvorfor) er norske virksomheter digitale sinker? Invitasjon til diskusjon basert på en pågående undersøkelse

Endringer i ISO-standarder

Framdriftsrapport. Rapporteringsfrist: Mottatt: Side: Er det rapporteringspliktige avvik i de avtalte mål?

MARKETING AND BRAND MANAGEMENT (MBM) Profilkoordinator: Aksel I. Rokkan

Bruk av kunstig intelligens for å søke presist etter informasjon i pasientjournalen

Sertifisering og erfaringer med implementering. Anette Killingrød Kristiansen

SOS4011 Institusjonelle perspektiver og angrepsmåter

Muligheter for norske leverandører i ett digitalt europeisk marked. André Hoddevik Fagdirektør, Difi

Internasjonal standardisering. Erlend Øverby

NTNU Forskningsprogram for informasjonssikkerhet. Stig F. Mjølsnes

En riktig anskaffelsesprosess eller en riktig anskaffelse. Odd-Henrik Hansen, Salgsdirektør

Transkript:

Hvordan lage og bruke policyer i tillitshåndtering Bjørnar Solhaug Seminar: Håndtering av tillit i elektronisk samvirke SINTEF, 5. november 2009 ICT 1

Oversikt Policy-basert tillitshåndtering Tillit Tillit vs. risk og opportunity Spesifikasjon av tillitspolicy Oppsummering Referanser ICT 2

Policy-basert tillitshåndtering Elektronisk, nettbasert samvirke blir stadig viktigere Handel, private og offentlige tjenester, sosiale nettverk, forretningssamarbeid, medier, Elektronisk samvirke åpner for mange muligheter og potensielle gevinster for tilbydere og brukere, men Når kan vi ha tillit til aktører som vi avhenger av? Hva er den potensielle gevinsten? Hva er risikoen? Policy-basert tillitshåndtering Regler som styrer tillitsbaserte handlinger Sikre velfundert tillit Minimere risikoer Maksimere opportunity (mulighet for gevinst) ICT 3

Tillit Tillit er den subjektive sannsynligheten med hvilken en aktør A (the trustor) forventer at en aktør B (the trustee) utfører en handling, der denne handlingen påvirker velferden til A [1,3] Tillit er en tro (subjektivt) Tillit er en sannsynlighet mellom 0 (full mistillit) og 1 (full tillit) Trustee har alltid muligheten til både å oppfylle og å bryte forventingene Tillit er alltid knyttet til risk Tillit er alltid knyttet til opportunity (det duale til risk) ICT 4

Tillit vs. risk og opportunity 1/2 Britt ønsker å låne kr. 400,- av Anne Du får pengene tilbake neste uke. Jeg skal til og med spandere en drink på deg. Anne anslår at Britt vil oppfylle sine forpliktelser med sannsynligheten 0,9 Utsikten til et tap på kr. 400,- er 0,1 Utsikten til en gevinst på kr. 50,- (for en drink) er 0,9 Tillit: 0,9 Risk: 0,1 x 400 = 40 Opportunity: 0,9 x 50 = 45 ICT 5

Tillit vs. risk og opportunity 2/2 Risk For en tillitsrelasjon med tillit p, potensielt tap t og potensiell gevinst g får vi Risk = (1-p) x t Opportunity p x g Opportunity ICT 6

Sentrale definisjoner Tillit (trust) er den subjektive sannsynligheten med hvilken en aktør A (the trustor) forventer at en aktør B (the trustee) utfører en handling, der denne handlingen påvirker velferden til A [1,3] Tillitsverdighet (trustworthiness) er den objektive sannsynligheten for at en aktør B (the trustee) utfører en handling, der denne handlingen påvirker velferden til en aktør A (the trustor) [6] Risk er sannsynligheten for en uønsket hendelse sammen med dens konsekvens gitt som et tap [2] Opportunity er sannsynligheten for en ønsket hendelse sammen med dens konsekvens gitt som en gevinst [4] ICT 7

Eksempel: ebokhandel sd bokhandel Kunde Amazon Antikvariat Evaluering av tillit: Tidligere historikk Omdømme Anbefalinger Sikker kommunikasjon søk( bok ) søk( bok ) treff( bok,ny,$20) query( bok ) treff( bok,$10) query( bok ) Tillitsbasert beslutning: Hvor stor er tilliten? Hvor stor risiko? Hvor stor opportunity? treff( bok,brukt,$10) kjøp( bok,brukt) kjøp( bok,brukt) oppgi kredittkortdata kredittkortdata ICT 8

Tillitspolicy Må identifisere terskelverdier for tillit Skal akseptere samhandlinger som gir høyere opportunity enn risk Skal avvise samhandlinger som gir høyere risk enn opportunity ICT 9

Oppsummering Elektronisk, nettbasert samvirke blir stadig viktigere I økende grad flyttes dermed også sosiale mekanismer fra kjente ansikt-til-ansikt-situasjoner over til nettet Tillit er både en forutsetning og en katalysator, men Hvordan skal man evaluere tillit? Hvordan skal man bygge tillit og tillitsverdighet? Hvordan sikre at tillit er velfundert? Hva er risikoene og de potensielle gevinstene? Våre metoder for policy-basert tillitshåndtering adresserer nettopp disse relevante problemene ICT 10

Referanser 1. D. Gambetta. Can we trust trust? In Trust: Making and Breaking Cooperative Relations, chapter 13, pages 213-237, Department of Sociology, University of Oxford, 2000 (Electronic edition) 2. ISO/IEC 13335, Information technology Guidelines for management of IT security, 1996-2000 3. A. Jøsang, C. Keser and T. Dimitrakos. Can we manage trust? In itrust 2005, volume 3477 of LNCS, pages 93-107, Springer, 2005 4. A. Refsdal, B. Solhaug and K. Stølen. A UML-based method for the development of policies to support trust management. In Trust Management II Proceedings of the 2nd Joint itrust and PST Conference on Privacy, Trust Management and Security (IFIPTM 08), volume 263 of IFIP, pages 33-49, Springer, 2008 5. B. Solhaug. Policy Specification Using Sequence Diagrams: Applied to Trust Management. PhD thesis, Faculty of Social Sciences, University of Bergen, 2009 6. B. Solhaug, D. Elgesem and K. Stølen. Why trust is not proportional to risk. In Proceedings of the 2nd International Conference on Availability, Reliability and Security (ARES 07), pages 11-18, IEEE Computer Society, 2007 ICT 11

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding