计算机安全经济学课件.pptVIP

9.3.2 决策制定的模型(续) 群体行为 用行为科学研究经济行为时，他们会质疑只有理性的选择(在很多计算机安全的经济学模型中被假设)是否足以建模。这些研究显示的不仅是人们做出的不理智的选择，还包括用不同但类似的方式提出相同的问题，导致人们做出重大的不同选择。这些研究结果，便于更好地理解人类如何使用启发性方法来解决问题和做出决策。 决策的制定者不是一个人，而是一个团队、组织或商业部门。大量研究表明在决策制定方面，团队与个人存在重大区别。群体的身份导致了团队的判断。 精品 9.3.2 决策制定的模型(续) 群体行为 每个团队的成员都认为其他人也包括自己，这种意识会影响做出的选择。通过一个或多个给定的行为所得到的尊重，是与环境相关的，它的价值依赖该行为在相似的环境中如何与别人的行为相比较。 精品 9.3.2 决策制定的模型(续) 行话也与规范期待有关。共享的含义、特殊的术语和团队讨论中辅助的假设，能导致团体成员间的相互熟悉和信任。行话能否帮助或损害决策的制定，取决于如何表达一个问题。 最有优势的参与者首先发言并成为台上的主角，而团队的其他成员由于得不到上台机会而“远离了”团队的想法——一种称为生产线阻塞的现象。 群体行为影响客户、同事甚至竞争者。这些人中的每一个都会影响决策的制定者，就像消费者在判断一种商品或一项服务价值时，可能依赖于其他使用者。 精品 9.3.2 决策制定的模型(续) 可信度和信任 人们之间意外相遇的次数和性质也会影响一个决策。如果相遇次数很少，那么每次相遇就会带来“显著的影响”。 精品 9.3.3 企业文化的角色 构建文化实施的三个特征是：符号、英雄和仪式 。 (1) 符号是一群人用以交流的、含有特殊意义的字母、手势、图片和物体。 (2) 一个文化中的英雄是表现出众且可以作为团队中其他人楷模的那些人。 (3) 仪式是团队所有成员参与的活动，它是社会必须的，但对商业却不是必须的。 关键是构建一种计算机安全文化——包括能够增加开发人员安全意识的措施和能够使产品更加安全的举措。 精品 9.3.3 企业文化的角色(续) 图9.1 文化的展现 精品 第9章 计算机安全经济学 精品 本章要点 安全方面的经济学案例 测定和量化经济学价值 计算机安全的经济学建模 精品 这一章，我们将关注涉及计算机安全中稀有经济资源分配方面的决策。也就是说，作为一个从业者，基于投资的需求、开支以及与其它投资(也许与安全无关)的平衡等诸多方面的考虑，必须决定对哪些类型的安全控制进行投资。我们将从一个商业案例开始，描述一个用于表示关于“为什么我们认为一个特别的安全投资是必要的”的信息框架。接着，为了给安全投资一个有说服力的支持，我们将概述对安全专家有帮助的数据收集种类。一旦有了好的数据，就能建模并做出预测。我们还将研究对计算机安全投资影响进行建模的许多方式。 精品 9.1 商业案例 公司怎样决定在计算机安全上的投资金额和投资方式？典型的方法是，使用一些基准值，也就是参考其他相似的公司。这种方法只是对开支的合适水平方面的决策有帮助。然后，应制定关于特定开支的细节决策，如需要哪些能力，哪些产品应该被购买和支持，哪些培训是有帮助的，等等。这些投资决策并不是凭空决定的，因为计算机安全资源的要求通常不得不与其他要求竞争，最终决策的制定是基于哪些要求对商业经营最有利。一个给定开支的商业案例是一个方案，证明资源使用的正当性。包括以下部分： 精品 9.1 商业案例(续) (1) 问题或开支需求的描述。 (2) 可能的解决方法列表。 (3) 解决问题的限制。 (4) 潜在的假设列表。 (5) 分析每一个选择，包括风险、花费和收益。 (6) 投资建议对公司有利的一个理由总结。 精品 9.1 商业案例(续) 关于技术投资，任何对现有或建议的技术投资的评估，应一次用多种形式汇报以构成一个“平衡的记分牌”： (1) 从客户的角度，提出诸如顾客满意度的问题。 (2) 从运转角度，考察一个公司的核心竞争力。 (3) 从经济角度，考虑诸如投资回报或分享价格的措施。 (4) 从改进角度，评估投资怎样影响市场领导能力和增加的价值。 精品 确定经济价值 经济价值可以作为一个统一的法则来考察任何商业机会。也就是说，我们可以根据它的潜在经济价值来研究每一个投资选择。从一个高水平的公司角度，管理层必须决定如何将一个建议性的技术投资与简单地把钱存入银行获得利息相比较。公司应把注意力转到通过优化他们的信息安全投资水平，来选择利润目标。 9.1 商业案例(续) 精品 确定经济价值(续) 纯的当前价值(NPV) 当建议一项技术时，