Jag accepterar att kakor lagras på min dator

Läs mer

Informationssäkerhet och ekonomi - ett skannande projekt.

Informationssäkerhet och ekonomi - ett skannande projekt. Beställ tryckt exemplar Lägg i kundvagnen Ladda ned som PDF
Författare: Jonas Hermelin, Henrik Karlzén, Peter Nilsson
Ort: Linköping
Sidor: 57
Utgivningsår: 2014
Publiceringsdatum: 2014-09-26
Rapportnummer: (FOI-R--3927--SE)
Nyckelord informationssäkerhet, ekonomi, säkerhetsinvestering, optimering, verksamhetsstyrning, riskhantering
Keywords Information security, economics, security investment, optimization, operations, management, risk management
Sammanfattning Att investera i informationssäkerhet är idag mer självklart än tidigare inom många verksamheter. Samtidigt som brister i informationssäkerheten kan medföra stora negativa effekter, både monetära och ickemonetära, kan även bibehållandet av höga säkerhetsnivåer vara en mycket kostnadsdrivande faktor. Skyddsåtgärder kan både vara dyrt att införa och negativt påverka verksamheten genom att försvåra flexibla och produktiva arbetssätt. Ett sätt att hantera avvägningen för vad som är en lämplig nivå av informationssäkerhet är att nyttja ekonomiska modeller och metoder för riskhantering. Dessa modeller och metoder kan bidra med ramverk för hantering och jämförelse av risker och kostnader. Syftet med denna rapport är att redovisa vad som är aktuell forskning inom gränslandet mellan informationssäkerhet och ekonomi. Litteraturöversikten visar på ett aktivt forskningsområde där det föreslagits en mångfald av metoder för beräkning av optimala investeringsnivåer. På grund av avsaknad av tillförlitlig indata till beräkningarna och att det saknas faktiska utvärderingar kvarstår dock många frågetecken gällande praktisk tillämpning av och nytta med dessa metoder, utöver att vara teoretiska ramverk. Förutom optimeringsberäkningar utforskar litteraturen även frågor rörande insamling och användning av mätdata och domänexperters bedömningar. Slutligen finns även en diskussion som rör hur och när beslut gällande investeringar tas och bör tas. Exempel på intressanta uppslag för framtida forskning är vidare studier gällande hur beslut och inriktning av informationssäkerhet faktiskt sker inom olika typer av verksamheter. Vilken utgångspunkt har organisationer vid beslut och avvägning mellan risker och vad påverkar dem? Vilka metoder används idag och hur förhåller de sig till den aktuella forskningen?
Abstract To balance the risk and cost of potential security breaches with the benefit and total cost of a security investment is a considerable undertaking. Vulnerabilities in information security of organizations can induce major expenses, both monetary and non-monetary. Tight security requirements might on the other hand be a wildly cost-driving factor, both directly as an investment cost and indirectly if they hinder more flexible and efficient work processes. One approach to face this challenge is to make use of methods from economics. The aim of this survey is to give an overview of current research topics bridging the domains of information security and economics. The crossover between information security and economics is an active research domain that covers several research topics. The research covers investment optimizing, investment strategies, the problems of collecting reliable data and how to handle low probability events. A common shortcoming shared by many of the optimizing methods described here is the presumption of precise data regarding threat frequencies, consequence costs and effectiveness of investments, data that is very scarce and perhaps impossible to fully obtain. These proposed methods are mainly theoretical constructs with uncertain practical use. This is underlined by the fact that no evaluations of the methods have been found. Given the theoretical methods proposed in literature it would be valid to investigate in which ways organizations actually plan their information security investments today. How do organizations approach this issue, which methods are in use and how are they used? What are the differences between actual practice and literature?

Kundvagn

Inga rapporter i kundvagnen

FOI, Totalförsvarets forskningsinstitut

FOI
Totalförsvarets forskningsinstitut
164 90 Stockholm

Tel: 08-555 030 00
Fax: 08-555 031 00

Orgnr: 202100-5182