Information Security: Is Scilence Golden?

Investments to protect against known vulnerabilities are necessary but not sufficient to assure a firm’s information security. New threats are continuously being designed and deployed to exploit vulnerabilities that defending firms have not yet discovered. Extant literature has identified the advantages for firms to share information about vulnerabilities, attacks and damages from breaches. Yet firms are hesitant to share information. I seek to understand that paradox. First I explicate the relationship between firm IT strategy and risk exposure. Next I delineate between known and unknown threats to explain organizational learning required to manage exposure. Finally I propose a relationship between risk exposure and security information exchange

Optimal Investment in Information Security: A Business Value Approach

With increasing level of security threats and constant budget limitations, it is critical for a company to know how much and where to invest in information security. To date, all of the studies—academia or practitioner—focus on risk reduction as the primary effect of security investments, assuming that they generate no direct business benefits. However, some potential business values such as brand reputation and data stability are not only real but also quite important. This study addresses related research questions and extends the existing model to take into account direct business benefits in optimizing security investments, filling a significant research gap. As such, this research makes contribution to both theory development in information security management and management implications in practice

Проблематика определения инвестиций в информационную безопасность на основе экономико-стоимостных моделей

Для вибору моделі визначення оптимальних інвестицій в інформаційну безпеку компанії автори приводять аналіз двох економіко-вартісних моделей. Не зважаючи на абсолютно різні підходи, на яких базуються ці моделі, вони дають доволі близькі результати, але мають ключові відмінності. Автори проводять порівняльний аналіз популярної для визначення інвестицій в інформаційну безпеку моделі американських дослідників Гордона і Лоеба, а також економіко-вартісну модель, яка набула широкого застосування для визначення комплексної оцінки загального стану захищеності інформаційної безпеки компанії. Результат аналізу двох моделей на однаковій вибірці даних прозоро показує, як на практиці застосовується американська модель з формальним характером та явно вираженим наголосом на економіці та економіко-вартісна модель, яка ґрунтується на результатах аналізу реальних показників рівня захищеності інформаційної системи організації, потреб інформаційної безпеки, що вимагають використання реальних механізмів управління інформаційними ризиками, з урахування економічних тенденцій. Використовуючи обидві моделі можна отримати об’єктивні результати; але слід зауважити, що, як показує практичне застосування моделей, досягнення більш об’єктивних результатів при проведенні оцінки оптимального обсягу інвестицій в систему захисту інформації дають ті моделі, в яких максимально враховані показники рівня захищеності, що впливають на стан безпеки підприємства.Authors analyze two economic-cost models for determine optimal investment in information security of the company. Despite the very different approaches, which these models are based on, they both give quite similar results, but with key differences. The analysis of two models on the same sample data transparently shows how in practice the american model with formal and explicit focus on the economy and economic-cost model, which is based on an analysis of actual indicators of information security system, information security needs that require the usage of information risk management mechanisms with taking into account economic trends, are used. Objective results are achieved using both models in research, but it should be noted that as the practical usage of models to achieve a more objective results of the evaluation of optimal investments in information security is preferred the model, which takes into account most indicators which affects information security.Для выбора модели определения оптимальных инвестиций в информационную безопасность компании авторы приводят анализ двух экономико-стоимостных моделей. Несмотря на совершенно разные подходы, на которых базируются эти модели, они обе дают довольно близкие результаты, но имеют ключевые отличия. Авторы проводят сравнительный анализ популярной для определения инвестиций в информационную безопасность модели американских исследователей Гордона и Лоэба, а также экономико-стоимостную модель, которая получила широкое применение для определения комплексной оценки общего состояния защищенности информационной безопасности компании. Результат анализа двух моделей на одинаковой выборке данных прозрачно показывает, как на практике применяется американская модель с формальным характером и явно выраженным акцентом на экономике и экономико-стоимостная модель, которая основывается на результатах анализа реальных показателей уровня защищенности информационной системы организации, потребностей информационной безопасности, требующих использования реальных механизмов управления информационными рисками, с учетом экономических тенденций. Используя обе модели можно получить объективные результаты; но следует заметить, что, как показывает практическое применение моделей, достижения более объективных результатов при проведении оценки оптимального объема инвестиций в систему защиты информации дают те модели, в которых максимально учтены показатели уровня защищенности, влияющие на состояние безопасности предприятия

Funding model for port information system cyber security facilities with incomplete Hacker information available

Article describes the model developed for the module of port information system cyber security facilities funding decision making support system. The model is based on multistage game theory toolkit. The solution offered allows an opportunity for managers of information safety systems, particularly port information systems and technologies, to carry out preliminary assessment of financial strategies for development of effective cyber safety systems. The distinctive feature of the model is the assumption that the defending party does not have full information on the financing strategies of the attacking party and on the state of its financial resources used to break cyber security barriers of the port information system. The solution employs mathematical apparatus of bilinear turn-based multistage quality game with several terminal surfaces. A multiple-option simulation experiment was carried out to ensure validity of the model. The results of the experiment will also be described herein. Thus, in the article at the first time, decision of the game was shown for all cases of the correlation of game parameters for the protection side of the port information system (PIS) and hackers seeking to overcome the boundaries of cybersecurity. The solution found in the article will be useful for the created decision support system, in particular, for the situation when the attacker uses a mixed financial strategy of hacking the information system

Information Security in the Cloud: Should We be Using a Different Approach?

Postprin

Economic Valuation for Information Security Investment: A Systematic Literature Review

Research on technological aspects of information security risk is a well-established area and familiar territory for most information security professionals. The same cannot be said about the economic value of information security investments in organisations. While there is an emerging research base investigating suitable approaches measuring the value of investments in information security, it remains difficult for practitioners to identify key approaches in current research. To address this issue, we conducted a systematic literature review on approaches used to evaluate investments in information security. Following a defined review protocol, we searched several databases for relevant primary studies and extracted key details from the identified studies to answer our research questions. The contributions of this work include: a comparison framework and a catalogue of existing approaches and trends that would help researchers and practitioners navigate existing work; categorisation and mapping of approaches according to their key elements and components; and a summary of key challenges and benefits of existing work, which should help focus future research efforts

Pricing cyber-insurance for systems via maturity models

Pricing insurance for risks associated with information technology systems presents a complex modelling challenge, combining the disciplines of operations management, security, and economics. This work proposes a socioeconomic model for cyber-insurance decisions compromised of entity relationship diagrams, security maturity models, and economic models, addressing a long-standing research challenge of capturing organizational structure in the design and pricing of cyber-insurance policies. Insurance pricing is usually informed by the long experience insurance companies have of the magnitude and frequency of losses that arise in organizations based on their size, industry sector, and location. Consequently, their calculations of premia will start from a baseline determined by these considerations. A unique challenge of cyber-insurance is that data history is limited and not necessarily informative of future loss risk meaning that established actuarial methodology for other lines of insurance may not be the optimal pricing strategy. The model proposed in this paper provides a vehicle for agreement between practitioners in the cyber-insurance ecosystem on cyber-security risks and allows for the users to choose their desired level of abstraction in the description of a system.Comment: 31 pages, 12 figures, 11 table

Расширение экономико-стоимостных моделей информационных рисков за счет использования социально- психологических типов злоумышленника

Розглядаються соціально-психологічні характеристики зловмисника та їх застосування з економіко-вартісними моделями з метою оцінювання інформаційних ризиків і оптимальних інвестицій в інформаційну безпеку. Для проведення адекватного оцінювання інформаційних ризиків та визначення оптимальних інвестицій у сферу захисту інформації існуючі економіко-вартісні моделі потребують розширення з урахуванням соціально-психологічних характеристик зловмисника, які істотно впливають на оцінювання ризиків. Сучасні методи оцінювання інформаційних ризиків, які спираються на існуючі нормативно-правові документи, не враховують соціально-психологічні характеристики зловмисників, що призводить до некоректного проведення оцінювання та зменшення точності отриманих оцінок. Запропоноване розширення економіко-вартісної моделі з урахуванням соціально-психологічних характеристик зловмисника дає можливість підвищити точність оцінок інформаційних ризиків та оптимізувати інвестиції в інформаційну безпеку. Запропоновано 10 соціально-психологічних типів зловмисника, використання яких дозволяє розширити застосування та підвищити точність оцінки економіко-вартісної моделі при проведенні оцінки інформаційних ризиків.In this article we study the socio-psychological characteristics of the attacker and their use with economic-cost model for assessing information risks and optimal investment in information security. An adequate assessment of information risk and determining the optimal investment by existing economic and cost models require expansion with the socio-psychological characteristics of the attacker, which significantly affect the assessment of the risks. Modern methods of estimation of information risks, which are based on existing legal documents doesn’t take into account the socio-psychological characteristics of the attackers, leading to incorrect assessment, reducing its accuracy. The proposed expansion of economic-cost model, taking into account the socio-psychological characteristics of the attacker, which increases the risk assessment of information and optimize investment in information security. We present 10 socio-psychological types of attacker for using with economic-cost modelswhich allows to expand the use and improve the accuracy of estimates of economic-cost model in the evaluation of information risks.Рассматриваются социально-психологические характеристики злоумышленника и их применение c экономико-стоимостными моделями для оценки информационных рисков и оптимальных инвестиций в информационную безопасность. Для проведения адекватной оценки информационных рисков и определения оптимальных инвестиций, существующие экономико-стоимостные модели требуют расширения с учетом социально-психологических характеристик злоумышленника, которые существенно влияют на оценку рисков. Современные методы оценки информационных рисков, которые опираются на существующие нормативно-правовые документы, не учитывают социально-психологические характеристики злоумышленников, приводит к некорректному проведению оценки, уменьшая ее точность. Предложенное расширение экономико-стоимостной модели с учетом социально-психологических характеристик злоумышленника позволяет повысить оценку информационных рисков и оптимизировать инвестиции в информационную безопасность. Предложено 10 социально-психологических типов злоумышленника, использование которых позволяет расширить применение и повысить точность оценки экономико-стоимостной модели при проведении оценки информационных рисков