Ознакомительная версия. Доступно 19 страниц из 92
Market Reactions for Breached Firms and Internet Security Developers,” International Journal of Electronic Commerce 9, no. 1 (2004): 70–104.
10. Trefis Team, “Home Depot: Will the Impact of the Data Breach Be Significant?” March 27, 2015, www.trefis.com/stock/hd/articles/286689/home-depot-will-the-impact-of-the-data-breach-be-significant/2015-03-27.
11. Wallis Consulting Group, Community Attitudes to Privacy 2007, prepared for the Office of the Privacy Commissioner, Australia, August 2007, www.privacy.gov.au/materials/types/download/8820/6616.
12. Trefis Team, “Data Breach Repercussions and Falling Traffic to Subdue Target’s Results,” August 18, 2014, www.trefis.com/stock/tgt/articles/251553/aug-20data-breach-repercussions-and-falling-traffic-tosupdue-targets-results/2014-08-18.
13. Trefis Team, “Home Depot: Will the Impact of the Data Breach Be Significant?” March 27, 2015, www.trefis.com/stock/hd/articles/286689/home-depot-will-the-impact-of-the-data-breach-be-significant/2015-03-27.
14. Ryan Singel, “Data Breach Will Cost TJX 1.7B, Security Firm Estimates,” Wired, March 30, 2007, www.wired.com/2007/03/data_breach_wil/.
Глава 7. Калиброванные оценки: что вам известно уже сейчас?
Самые важные вопросы в жизни по большей части являются лишь задачами вероятности.
Пьер-Симон Лаплас (1746–1827), французский математик, один из создателей теории вероятностей1
Описанный ранее метод требует субъективной оценки количественных вероятностей. Например, эксперту в области кибербезопасности надо оценить вероятность наступления события или размер убытков в случае его наступления. И здесь приходится столкнуться с определенным сопротивлением. Некоторые эксперты по кибербезопасности, которых, похоже, не смущает оценка вероятности как «средняя» или «2», часто недоумевают, как можно субъективно оценивать количественную вероятность события.
Безусловно, вопрос о достоверности субъективных вероятностей вполне правомерен. К счастью, как упоминалось в главе 5, уже проведено немало исследований на данную тему, и очевидны два вывода: 1) большинство людей плохо умеют распределять вероятности, но 2) их можно научить делать это очень хорошо.
Поэтому, да, достоверность субъективных оценок вероятности объективно измерима, и ее уже измеряли (как ни парадоксально). Отрицать это – значит отвергать научно подтвержденные факты. Эксперт в области кибербезопасности способен научиться выражать свою неуверенность с помощью субъективного и одновременно количественного показателя неопределенности. В этой главе вы познакомитесь с азами использования субъективных оценок вероятностей, а также способами измерения навыков такой оценки и улучшения их с практикой.
Данная глава во многом дублирует главу о калибровке из первой книги «Как измерить все, что угодно. Оценка стоимости нематериального в бизнесе». Если читатель уже знаком с обсуждением калиброванных оценок вероятности из той книги, эту главу можно пропустить или бегло просмотреть.
Введение в субъективную вероятность
В самом простом методе, описанном ранее, имеются два типа распределения вероятностей. Один применяется к дискретным событиям типа «или-или», например произойдет ли крупная утечка данных платежных карт клиентов компании розничной торговли. Другой применяется к диапазонам значений, скажем, какова будет величина убытков в секторе продаж в случае крупной утечки данных платежных карт клиентов. Суть двух типов распределения вероятностей кратко представлена в табл. 7.1.
В главе 3 оба метода применялись для выражения неопределенности относительно наступления события, касающегося кибербезопасности. К типу дискретного события относилось определение самого факта наступления события. Нами присваивалась вероятность (1 %, 15 % и т. д.), что событие произойдет в течение определенного периода времени. А его финансовое воздействие выражалось уже в виде диапазона.
Конечно, из этих двух форм распределений можно создать множество комбинаций. Могут быть дискретные события с более чем двумя исходами или сочетания дискретных и непрерывных распределений. Из нескольких бинарных распределений можно даже построить непрерывное распределение. На практике, однако, такое разграничение полезно.
Таблица 7.1. Два типа субъективных оценок вероятности, используемых в простой модели замены «один на один» (из главы 3)
Выразить неопределенность относительно непрерывных величин можно через представление их в виде диапазона вероятных значений. Как отмечалось в главе 3, диапазон, с определенной вероятностью содержащий правильный ответ, называется в статистике доверительным интервалом[7]. 90 %-ный ДИ – диапазон, который с вероятностью 90 % может содержать правильный ответ (существует некоторая полемика по поводу использования термина и субъективных вероятностей в целом, о чем мы поговорим далее в этой главе). Напомним, что в главе 3 нам нужен был диапазон для обозначения неопределенности убытков в результате взлома или других нарушений кибербезопасности. Эти значения можно рассчитать с помощью всевозможных сложных методов статистического анализа или же задать, основываясь лишь на собственном опыте. В любом случае значения отражают вашу неуверенность в отношении данной величины.
Кроме того, вероятности позволяют описать неопределенность в отношении конкретного будущего события, например будет ли украдена информация о платежных картах клиентов, персональные медицинские или иные данные в результате взлома какой-либо системы. Скажем, можно предположить, что в ближайшие 12 месяцев существует 2 %-ная вероятность утечки данных, достаточно крупной, чтобы потребовалось публичное объявление (обратите внимание, что при определении вероятностей будущих событий всегда следует указывать период времени, иначе вероятность теряет смысл).
А если событие не произойдет, как узнать, была ли вероятность «верной»? Очевидно, что при вероятности намного меньше 50 % вряд ли кто-то всерьез ожидает наступления события. Однако единичное событие в любом случае не определяет, была ли заявленная вероятность верной или нет, а поэтому имеет смысл рассматривать ряд точек данных. Мы можем спросить: «Из большого числа событий, которым присвоили 5 %-ную вероятность наступления в течение года, действительно произошли около 5 %?» Аналогичным образом, если мы считали, что вероятность события составляет 20 или 1 % в тот же период времени, происходили ли события в 20 или 1 % случаев соответственно?
К сожалению, как вы можете помнить из главы 4, обширные исследования показали, что очень немногие люди от природы являются калиброванными оценщиками. В психологии принятия решений калиброванные оценки вероятности изучались с 1970-х и 1980-х годов вплоть до самого недавнего времени. Как уже отмечалось, ведущими исследователями в этой области стали Даниэль Канеман и его коллега Амос Тверски2. Психология принятия решений изучает, как люди на самом деле принимают решения, какими бы иррациональными они ни были. Этим она отличается
Ознакомительная версия. Доступно 19 страниц из 92
