Ποσοτικοποίηση των κινδύνων παραβιάσεων ασφάλειας πληροφοριακών συστημάτων

Abstract

This thesis deals with the analysis of risks emanating from security breaches of Information Systems. It proposes a new quantitative methodology that, returns objective security level measurement of an IS, which can be implemented by all management members of an organization. A new theoretical frame for handling security breaches was suggested, based on their correlation to the total amount of enterprise risks. The impact level, caused by security breaches, was studied by the combined analysis of studies stemming from professional organizations, the academic community and by the empirical study that was accomplished during this thesis. The impact was assessed at incident level as well at the affected records of data, with respect to direct and indirect costs. The modeling of security breaches probability was based on two research areas: The quantification of security level that was accomplished with objectivity utilizing stochastic methods and the proper application of the methodological frame that accrues from the Gordon-Loeb model. The combination of the aforementioned research results, led to the synthesis of a model from which the level of security breaches risks of an organization can by assessed in monetary terms. At the end, the application of the VaR methodology to the security breaches risks was researched based on the proposed model.

Η παρούσα διδακτορική διατριβή αφορά την ανάλυση των κινδύνων που προέρχονται από παραβιάσεις ασφαλείας Πληροφοριακών Συστημάτων. Δημιουργήθηκε ένα μεθοδολογικό πλαίσιο απόδοσης ποσοτικών και αντικειμενικών αποτελεσμάτων με κύριο στόχο την δυνατότητα χρήσης του από το σύνολο της διοικητικής δομής ενός οργανισμού για την λήψη αποφάσεων. Προτάθηκε ένα θεωρητικό πλαίσιο για τις παραβιάσεις ασφαλείας με βάση την συσχέτιση τους με το σύνολο των εταιρικών κινδύνων. Το επίπεδο των επιπτώσεων που επιφέρουν οι παραβιάσεις ασφαλείας προσεγγίστηκε αναλύοντας συνδυαστικά μελέτες επαγγελματικών οργανισμών, της ακαδημαϊκής κοινότητας και τα αποτελέσματα εμπειρικής μελέτης, που πραγματοποιήθηκε στα πλαίσια της παρούσας. Οι επιπτώσεις εκτιμήθηκαν σε επίπεδο περιστατικού και σε επίπεδο εκτιθέμενης εγγραφής πληροφόρησης αναφορικά με το άμεσο και έμμεσο κόστος. Η μοντελοποίηση της πιθανότητας παραβιάσεων ασφαλείας βασίστηκε σε δύο ερευνητικές περιοχές: Την ποσοτικοποίηση του επιπέδου ασφαλείας το οποίο επιτεύχθηκε με αντικειμενικότητα κάνοντας χρήση στοχαστικών μεθόδων και την κατάλληλη εφαρμογή του μεθοδολογικού πλαισίου που προέρχεται από το μοντέλο των Gordon-Loeb. Ο συνδυασμός των παραπάνω ερευνητικών αποτελεσμάτων οδήγησε στην σύνθεση ενός μοντέλου μέσω του οποίου μπορεί να εκτιμηθεί το επίπεδο των κινδύνων παραβιάσεων ασφαλείας για έναν οργανισμό εκφρασμένο σε νομισματικούς όρους. Τέλος, ερευνήθηκε ο τρόπος εφαρμογής της μεθοδολογίας VaR στους κινδύνους παραβιάσεων ασφαλείας με βάση το προτεινόμενο μοντέλο.