Проблематика определения инвестиций в информационную безопасность на основе экономико-стоимостных моделей

Для вибору моделі визначення оптимальних інвестицій в інформаційну безпеку компанії автори приводять аналіз двох економіко-вартісних моделей. Не зважаючи на абсолютно різні підходи, на яких базуються ці моделі, вони дають доволі близькі результати, але мають ключові відмінності. Автори проводять порівняльний аналіз популярної для визначення інвестицій в інформаційну безпеку моделі американських дослідників Гордона і Лоеба, а також економіко-вартісну модель, яка набула широкого застосування для визначення комплексної оцінки загального стану захищеності інформаційної безпеки компанії. Результат аналізу двох моделей на однаковій вибірці даних прозоро показує, як на практиці застосовується американська модель з формальним характером та явно вираженим наголосом на економіці та економіко-вартісна модель, яка ґрунтується на результатах аналізу реальних показників рівня захищеності інформаційної системи організації, потреб інформаційної безпеки, що вимагають використання реальних механізмів управління інформаційними ризиками, з урахування економічних тенденцій. Використовуючи обидві моделі можна отримати об’єктивні результати; але слід зауважити, що, як показує практичне застосування моделей, досягнення більш об’єктивних результатів при проведенні оцінки оптимального обсягу інвестицій в систему захисту інформації дають ті моделі, в яких максимально враховані показники рівня захищеності, що впливають на стан безпеки підприємства.Authors analyze two economic-cost models for determine optimal investment in information security of the company. Despite the very different approaches, which these models are based on, they both give quite similar results, but with key differences. The analysis of two models on the same sample data transparently shows how in practice the american model with formal and explicit focus on the economy and economic-cost model, which is based on an analysis of actual indicators of information security system, information security needs that require the usage of information risk management mechanisms with taking into account economic trends, are used. Objective results are achieved using both models in research, but it should be noted that as the practical usage of models to achieve a more objective results of the evaluation of optimal investments in information security is preferred the model, which takes into account most indicators which affects information security.Для выбора модели определения оптимальных инвестиций в информационную безопасность компании авторы приводят анализ двух экономико-стоимостных моделей. Несмотря на совершенно разные подходы, на которых базируются эти модели, они обе дают довольно близкие результаты, но имеют ключевые отличия. Авторы проводят сравнительный анализ популярной для определения инвестиций в информационную безопасность модели американских исследователей Гордона и Лоэба, а также экономико-стоимостную модель, которая получила широкое применение для определения комплексной оценки общего состояния защищенности информационной безопасности компании. Результат анализа двух моделей на одинаковой выборке данных прозрачно показывает, как на практике применяется американская модель с формальным характером и явно выраженным акцентом на экономике и экономико-стоимостная модель, которая основывается на результатах анализа реальных показателей уровня защищенности информационной системы организации, потребностей информационной безопасности, требующих использования реальных механизмов управления информационными рисками, с учетом экономических тенденций. Используя обе модели можно получить объективные результаты; но следует заметить, что, как показывает практическое применение моделей, достижения более объективных результатов при проведении оценки оптимального объема инвестиций в систему защиты информации дают те модели, в которых максимально учтены показатели уровня защищенности, влияющие на состояние безопасности предприятия

ЗАСТОСУВАННЯ ЕКОНОМІКО- ВАРТІСНИХ МОДЕЛЕЙ ІНФОРМАЦІЙНИХ РИЗИКІВ ДЛЯ ОЦІНЮВАННЯ ГРАНИЧНОГО ОБСЯГУ ІНВЕСТИЦІЙ В БЕЗПЕКУ ІНФОРМАЦІЇ

The article analyzes the problem of determination of themaximum amount of investment in information security. Itis studied the approach of Gordon-Loeb, which justifiedthe limit investment in information security. It is analyzedthe publications containing materials related to the exposureand the development of this approach. It is shownthat this approach does not ensure univocal answer. Thereason for this is a subjective formal-approximation way ofdefining of a model, which is basis for the solution. Thisway gives multiplicity of possible models and, as the resulting,multiplicity of solutions. It is offered an approach tosolving the problem of determining the amount of investmentin the system of protection of information, which isbased on study of the model of information risks. Formationof its structure and parameters are based on the useof information about the actual mechanisms of the developmentand implementation of information threats. It isapplied economic-cost model, which is used to estimate theprobability of successful implementation of the attack ofinformation system vulnerability. The paper proposes theestimation of the maximum amount of investment in informationsecurity. This investment amounts to 25% of thevalue of the protected information resource (or losses arising from the implementation of the threat to this resource).It is noted that the in the case of application of highperformancetechnology/decisions in the system of informationsecurity level of investment may be reduced to 11-13%. It is considered the prospects of application of modelsbased on motivational and resource relations which arecharacteristic to of the situation "attack-defense" in theinformation sphere.Рассмотривается проблема определения максимального размера инвестиций в систему защиты информации. Осуществлен анализ публикаций, содержащих материалы, связанные с исследованием и развитием подхода Гордона-Лоеба, в котором обосновывается предельный объем инвестиций в безопасность информации. Показано, что данный подход не позволяет получить однозначный ответ: субъективный формально-аппроксимативных способ задания моде-ли, на которой базируется получаемое решение, порождает множественность возможных моделей и, как следствие, множественность решений. Предложен подход к решению задачи определения объема инвестиций в систему защитыинформации, основанный на исследовании модели информационных рисков. Формирование ее структуры и парамет-ров базируется на использовании сведений о реальных механизмах развития и реализации информационных угроз, вчастности, на экономико-стоимостной модели, используемой для оценивания вероятности успешной реализации атакуязвимостей информационной системы. По результатам исследования получена оценка максимального объема инвестиций в систему защиты информации, составляющая 25% стоимости защищаемого информационного ресурса (или потерь, обусловленных реализацией угрозы относительно этого ресурса). Отмечено, что при применении в системезащиты информации высокоэффективных решений уровень инвестирования может быть уменьшен до 11-13%. Рас-смотрены перспективы применения в исследованиях моделей, основывающихся на мотивационных и ресурсных отношениях, характерных для ситуации «атака-защита» в информационной сфере.Розглядаеться проблема визначення максимального розміру інвестицій в систему захисту інформації.Здійснено аналіз публікацій, що містять матеріали,пов'язані з дослідженням та розвитком підходу Гордона-Лоеба, в якому обґрунтовується граничний обсягінвестицій у безпеку інформації. Показано, що даний підхід не дозволяє отримати однозначну відповідь:суб'єктивний формально-апроксимативних спосіб завдання моделі, на якій базується одержуване рішення, породжує множинність можливих моделей і, як наслідок, - множинність рішень. Запропоновано підхід до вирішення завдання визначення обсягу інвестицій в систему захисту інформації, заснований на дослідженні моделі інформаційних ризиків. Формуванняїї структури і параметрів базується на використаннівідомостей про реальні механізми розвитку та реалізації інформаційних загроз, зокрема, на економіко-вартісній моделі, що використовується для оцінюван-ня ймовірності успішної реалізації атак вразливостей інформаційної системи. За результатами дослідженняотримана оцінка максимального обсягу інвестицій всистему захисту інформації, яка дорівнює 25% вартості інформаційного ресурсу, який підлягає захисту (абовтрат, зумовлених реалізацією загрози щодо цьогоресурсу). Відзначено, що при застосуванні в системі захисту інформації високоефективних рішень рівень інвестування може бути зменшений до 11-13%. Розглянуто перспективи застосування в дослідженнях моделей, які грунтуються на мотиваційних та ресурсних відносинах, характерних для ситуації «атака-захист» вінформаційній сфері

Risk Mitigating Strategies in the Food Supply Chain

Food safety events in the recent past have generated significant media attention and resulted in increased concerns over the food on the plate. A recent study (Degeneffe et al., 2007) on consumer perceptions of bio-terrorism and food safety risks shows increasing concern over food safety and corresponding decreasing confidence in security of the U.S. food supply. While there are some mandated safety and security practices for the firms in the food supply chain the economic incentives for the firms to actively address food safety throughout the supply chain are less clear. Security practices often require significant investments in both within the firm and across the supply chain but do not show tangible returns. Also, higher investments in securing the firms’ processes and products do not necessarily make the food products more safe if the supply chain partners exhibit higher risks. However, a risk that is realized can potentially bankrupt the firm. Some high-profile cases of food safety outbreaks have had substantial economic consequences such as, lost sales, recall and compensation costs, damaged goodwill and hence impact on future markets. Such incidents can lead the firms out of business and the impact is not contained just at the firm level but also felt throughout the food supply chain. The issues of economic incentives and disincentives for risk mitigation strategies and investments, in a highly vulnerable area such as food sector, are an emerging area of concern both in private and public sector management as well as academic research. The research questions of interest that this paper addresses are: How much should the firm invest to address the security and safety risks that it faces? The optimum investment levels, among other things, are a function of the probabilities of contamination levels exceeding the maximum acceptable standards set. We consider a specification for the contamination levels follow gamma distribution as it exhibits the fat tail property which suggests that extreme events are more likely than predicted by the normal Gaussian form. Previous work by Mohtadi and Murshid(2007) has highlighted the fat-tail nature of extreme events for chemical, biological and radionuclear (CBRn) attacks, which are of intentional nature. However, for food safety risks of unintentional nature the fat-tail nature of the distribution though suggested, is not yet established in literature. The present model leaves less scope for analytical solutions but lends itself to numerical methods, which we employ to examine the firm strategies. Our preliminary model and its analysis suggest that infact for very low levels of risk exposure no investment in security is required! However, as the standards loosen and risk increases the optimum amount of investments also increase. Though the result here are intuitively consistent, they are largely dependent on the parametric specification of the model and their sensitivity to the parameter values is yet to be tested.Agribusiness, Risk and Uncertainty, L100, L800,

Information security economics: an analysis for the impact of unsecure information in the enterprises

Διπλωματική εργασία--Πανεπιστήμιο Μακεδονίας, Θεσσαλονίκη, 2011.Μια ανάλυση του περιβάλλοντος στον τομέα των οικονομικών της ασφάλειας πληροφοριών με έμφαση κυρίως στην ανάλυση του outsourcing και τις επιπτώσεις που υπάρχουν λόγω αυτού στις επιχειρήσεις

Розробка моделі поведінки антагоністичних агентів в умовах кіберконфлікта

The results of the development of the model of the antagonistic agents behavior in a cyber conflict are presented. It is shown that the resulting model can be used to analyze investment processes in security systems, taking into account the assumption that investment processes are significantly influenced by the behavior of parties involved in a cyber conflict.General approaches to model development are presented. First of all, the system of concepts, assumptions and limitations is formed, within the framework of which a mathematical model of behavior must be developed. Taking this into account, the mathematical model of the conflicting agents behavior, presented in the form of algebraic and differential equations, is developed. The developed model presents both the technical characteristics of the security system and the psychological characteristics of the participants in the cyber conflict, which affect the financial characteristics of the investment processes in cybersecurity systems. A distinctive feature of the proposed model is the simultaneous consideration of the behavior of the parties to a cyber conflict not as independent parties, but as agents mutually interacting with each other. The model also makes it possible to simulate the destabilizing effect of the confrontation environment disturbances on the behavior of the conflicting parties, changing the degree of vulnerability of the cybersecurity system along various attack vectors and the level of their success.Using the developed model, simulation modeling of the interacting agents behavior in a cyber conflict is performed. The simulation results showed that even the simplest behavior strategies of the attacking side (“the weakest link”) and the defense side (“wait and see”) make it possible to ensure information security of the business process loop.The developed model of interaction between the attacker and the defender can be considered as a tool for modeling the processes of the conflicting parties behavior when implementing various investment scenarios. The simulation results enable decision-makers to receive support regarding the direction of investment in the security of the business process loop.Представлены результаты разработки модели поведения антагонистических агентов в условиях киберконфликта. Показано, что полученная модель может использоваться для анализа процессов инвестирования в системах безопасности с учетом предположения, что на инвестиционные процессы значительное влияние оказывает поведение участвующих в киберконфликте сторон.Представлены общие подходы к разработке модели. Прежде всего, сформирована система понятий, допущений и ограничений, в рамках которых и должна быть разработана математическая модель поведения. С учетом этого разработана математическая модель поведения конфликтующих агентов, представленная в виде алгебраических и дифференциальных уравнений. В разработанной модели представлены как технические характеристики системы безопасности, так и психологические особенности участников киберконфликта, которые влияют на финансовые характеристики процессов инвестирования систем кибербезопасности. Отличительной особенностью предлагаемой модели является одновременное рассмотрение поведения сторон киберконфликта не как независимых сторон, а как взаимовляющих друг на друга агентов. Модель также позволяет имитировать дестабилизирующее влияние на поведение конфликтующих сторон возмущений со стороны среды противостояния, изменяя степень уязвимости системы кибербезопасности по различным векторам атак и уровень успешности их проведения.С использованием разработанной модели выполнено имитационное моделирование поведения взаимодействующих агентов в условиях киберконфликта. Результаты моделирования показали, что даже простейшие стратегии поведения атакующей стороны («самое слабое звено») и стороны защиты («жди и смотри») позволяют обеспечить информационную безопасность контура бизнес-процессов.Разработанную модель взаимодействия атакующего и защитника можно рассматривать как инструмент моделирования процессов поведения конфликтующих сторон при реализации различных сценариев инвестирования. Результаты моделирования дают возможность лицам, принимающим решения, получать поддержку относительно направления инвестирования в безупосность контура бизнес-процессовНаведені результати розробки моделі поведінки антагоністичних агентів в умовах кіберконфлікта. Показано, що отримана модель може використовуватися для аналізу процесів інвестування в системах безпеки з урахуванням припущення, що на інвестиційні процеси значною мірою впливає поведінка агентів, що беруть участь в кіберконфлікті.Представлено загальні підходи до розробки моделі. Перш за все, сформована система понять, припущень і обмежень, в рамках яких і повинна бути розроблена математична модель поведінки. З урахуванням цього розроблено математичну модель поведінки конфліктуючих агентів, яка представлена у вигляді алгебраїчних і диференціальних рівнянь. У розробленій моделі відображено як технічні характеристики системи безпеки, так і психологічні особливості учасників кіберконфлікта, які впливають на фінансові характеристики процесів інвестування систем кібербезпеки. Відмінною особливістю пропонованої моделі є одночасний розгляд поведінки сторін кіберконфлікта не як незалежних сторін, а як взаїмовпливающих один на одного агентів. Модель також дозволяє імітувати дестабілізуючий вплив на поведінку конфліктуючих сторін збурень з боку середовища протистояння, змінюючи ступінь уразливості системи кібербезпеки різних векторах атак і рівень успішності їх проведення.З використанням розробленої моделі виконано імітаційне моделювання поведінки взаємодіючих агентів в умовах кіберконфлікта. Результати моделювання показали, що навіть найпростіші стратегії поведінки атакуючої сторони («найслабша ланка») і сторони захисту («чекай і дивись») дозволяють забезпечити інформаційну безпеку контуру бізнес-процесівРозроблену модель взаємодії атакуючого і захисника можна розглядати як інструмент моделювання процесів поведінки конфліктуючих сторін при реалізації різних сценаріїв інвестування. Результати моделювання дають можливість особам, які приймають рішення, отримувати підтримку щодо напрямів інвестування в безпеку контуру бізнес-процесі

Розробка моделі поведінки антагоністичних агентів в умовах кіберконфлікта

The results of the development of the model of the antagonistic agents behavior in a cyber conflict are presented. It is shown that the resulting model can be used to analyze investment processes in security systems, taking into account the assumption that investment processes are significantly influenced by the behavior of parties involved in a cyber conflict.General approaches to model development are presented. First of all, the system of concepts, assumptions and limitations is formed, within the framework of which a mathematical model of behavior must be developed. Taking this into account, the mathematical model of the conflicting agents behavior, presented in the form of algebraic and differential equations, is developed. The developed model presents both the technical characteristics of the security system and the psychological characteristics of the participants in the cyber conflict, which affect the financial characteristics of the investment processes in cybersecurity systems. A distinctive feature of the proposed model is the simultaneous consideration of the behavior of the parties to a cyber conflict not as independent parties, but as agents mutually interacting with each other. The model also makes it possible to simulate the destabilizing effect of the confrontation environment disturbances on the behavior of the conflicting parties, changing the degree of vulnerability of the cybersecurity system along various attack vectors and the level of their success.Using the developed model, simulation modeling of the interacting agents behavior in a cyber conflict is performed. The simulation results showed that even the simplest behavior strategies of the attacking side (“the weakest link”) and the defense side (“wait and see”) make it possible to ensure information security of the business process loop.The developed model of interaction between the attacker and the defender can be considered as a tool for modeling the processes of the conflicting parties behavior when implementing various investment scenarios. The simulation results enable decision-makers to receive support regarding the direction of investment in the security of the business process loop.Представлены результаты разработки модели поведения антагонистических агентов в условиях киберконфликта. Показано, что полученная модель может использоваться для анализа процессов инвестирования в системах безопасности с учетом предположения, что на инвестиционные процессы значительное влияние оказывает поведение участвующих в киберконфликте сторон.Представлены общие подходы к разработке модели. Прежде всего, сформирована система понятий, допущений и ограничений, в рамках которых и должна быть разработана математическая модель поведения. С учетом этого разработана математическая модель поведения конфликтующих агентов, представленная в виде алгебраических и дифференциальных уравнений. В разработанной модели представлены как технические характеристики системы безопасности, так и психологические особенности участников киберконфликта, которые влияют на финансовые характеристики процессов инвестирования систем кибербезопасности. Отличительной особенностью предлагаемой модели является одновременное рассмотрение поведения сторон киберконфликта не как независимых сторон, а как взаимовляющих друг на друга агентов. Модель также позволяет имитировать дестабилизирующее влияние на поведение конфликтующих сторон возмущений со стороны среды противостояния, изменяя степень уязвимости системы кибербезопасности по различным векторам атак и уровень успешности их проведения.С использованием разработанной модели выполнено имитационное моделирование поведения взаимодействующих агентов в условиях киберконфликта. Результаты моделирования показали, что даже простейшие стратегии поведения атакующей стороны («самое слабое звено») и стороны защиты («жди и смотри») позволяют обеспечить информационную безопасность контура бизнес-процессов.Разработанную модель взаимодействия атакующего и защитника можно рассматривать как инструмент моделирования процессов поведения конфликтующих сторон при реализации различных сценариев инвестирования. Результаты моделирования дают возможность лицам, принимающим решения, получать поддержку относительно направления инвестирования в безупосность контура бизнес-процессовНаведені результати розробки моделі поведінки антагоністичних агентів в умовах кіберконфлікта. Показано, що отримана модель може використовуватися для аналізу процесів інвестування в системах безпеки з урахуванням припущення, що на інвестиційні процеси значною мірою впливає поведінка агентів, що беруть участь в кіберконфлікті.Представлено загальні підходи до розробки моделі. Перш за все, сформована система понять, припущень і обмежень, в рамках яких і повинна бути розроблена математична модель поведінки. З урахуванням цього розроблено математичну модель поведінки конфліктуючих агентів, яка представлена у вигляді алгебраїчних і диференціальних рівнянь. У розробленій моделі відображено як технічні характеристики системи безпеки, так і психологічні особливості учасників кіберконфлікта, які впливають на фінансові характеристики процесів інвестування систем кібербезпеки. Відмінною особливістю пропонованої моделі є одночасний розгляд поведінки сторін кіберконфлікта не як незалежних сторін, а як взаїмовпливающих один на одного агентів. Модель також дозволяє імітувати дестабілізуючий вплив на поведінку конфліктуючих сторін збурень з боку середовища протистояння, змінюючи ступінь уразливості системи кібербезпеки різних векторах атак і рівень успішності їх проведення.З використанням розробленої моделі виконано імітаційне моделювання поведінки взаємодіючих агентів в умовах кіберконфлікта. Результати моделювання показали, що навіть найпростіші стратегії поведінки атакуючої сторони («найслабша ланка») і сторони захисту («чекай і дивись») дозволяють забезпечити інформаційну безпеку контуру бізнес-процесівРозроблену модель взаємодії атакуючого і захисника можна розглядати як інструмент моделювання процесів поведінки конфліктуючих сторін при реалізації різних сценаріїв інвестування. Результати моделювання дають можливість особам, які приймають рішення, отримувати підтримку щодо напрямів інвестування в безпеку контуру бізнес-процесі

Developing standard exercises and statistics to measure the impact of cyber defenses

CHDS State/LocalAs companies seek protection from cyber attacks, justifying proper levels of investment in cyber security is essential. Like all investments, cyber defense costs must be weighed against their expected benefits. While some cyber investment models exist that can relate costs and benefits, these models are largely untested with experimental data. This research develops an experimental framework and statistics for testing and measuring the efficacy of cyber mitigation methods, such that they can be integrated into existing cyber investment models. This work surveys cyber security investment models and frameworks. Using cyber exercises as a source of attack data, types of exercises and how information is recorded was studied. A proof of concept for an experimental framework able to record statistics on cyber exercise attacks and defenses was developed. The environment is intended to resemble that of an actual cyber attack, and to collect attack and defense data in a repeatable and technology-agnostic manner. Possible future work could illuminate mathematical relationships between threat and mitigation. Statistics and procedures are proposed that are applicable to the specific proposed and similar frameworks. Such statistics could be incorporated into cyber models, ultimately leading to a more rational understanding of cyber attack and defense.http://archive.org/details/developingstanda1094542581Civilian, Department Of Homeland Securit

Decision Problems in Information Security: Methodologies and Quantitative Models

In the present dissertation, decision problems in information security are covered and methodologies and quantitative models are developed to address open issues in academia and to provide insights for practitioners. Framed in an adaptation of the process theory of Soh and Markus (1995) - from a thematic point of view - the dissertation comprises papers that cover decision problems in each phase of the adapted theory. The structure of the thesis is as follows: Part I comprises a presentation of and introduction to the dissertation with the underlying theoretical framing. In Part II, metadata of the papers of which the dissertation is composed of, are presented. Part III lists additional papers that have been developed during the course of this dissertation. Part IV includes a discussion of the findings and concludes with an outline of future research

Planning and Evaluation of Information Security Investments

This thesis provides a theory-based understanding of information security investments within organizations concentrating on organizational planning and evaluation of information security investments. The underlying framework is the Cyber Security Investment Framework of Rowe and Gallaher (2006). This work is structured as follows: In Part I, the dissertation is motivated and the theory to frame this research is described in detail. Subsequently, in Part II, the publications which comprise this thesis are presented. Finally, in Part III, the fi�ndings of this dissertation are discussed

Economics of information security - Impact of government enforcement on hackers' behaviors - An event study analysis

Master'sMASTER OF SCIENC