Title (deu): Return on security investments

Author: Keck, F. (Florian)

Description (deu): Masterarbeit, Fachhochschule St. Pölten, Studiengang Information Security, 2017

Description (deu): Diese Arbeit beschäftigt sich mit den Problemen der Berechnung eines Returns on Investment für sicherheitsrelevante Systeme und Informationen. Während die Anwendung dieser Methode in der Logistik keinesfalls neu ist, treten einige Probleme auf, wenn sie für die Informationssicherheit angepasst werden sollen. Ein kurzer Einblick in die Abläufe und Annahmen ohne Fokus auf sicherheitsrelevante Technologien ist notwendig, um ein besseres Verständnis für die Schwierigkeiten des Forschungsthemas zu schaffen. Return on Investment wird verwendet, um die ökonomische Effizienz von Waren und Dienstleistungen anhand ihres Geldwertes für Unternehmen zu berechnen. Darüber hinaus wird die derzeitige Situation im Hinblick auf den Wert der Informationssicherheit innerhalb von Organisationen genau betrachtet, um einen gewissen Einblick in das Denken von kleinen bis zu international agierenden Unternehmen zu schaffen. Es gibt keine einfache Möglichkeit, die investierte Menge Geld für einen Vermögenswert zu identifizieren, der in eine Gleichung gebracht werden kann, die dann direkt den Return on Investment ausgibt. Tritt zum Beispiel der Fall ein, dass kein Sicherheitsvorfall mehr passiert, ist es schwer, den Wert der Investition festzumachen. Auch wenn nach dem Kauf einer neuen Software oder Hardware kein sicherheitsrelevanter Vorfall mehr auftritt, kann dies entweder an der Investition liegen oder auch daran, dass kein Angriff auf das nun gut geschützte System mehr stattgefunden hat. Angreifer neigen nämlich dazu, den einfachsten Weg zu wählen und wenn dieser nun besser beschützt wird, versucht der Angreifer, einen neuen Weg zu finden. Um einen Überblick über die bereits bestehenden Methoden und ihre Vor- und Nachteile zu erhalten, wurde zunächst eine Literaturrecherche durchgeführt. Die Erkenntnisse waren durchaus interessant, da verschiedene Autoren unterschiedliche Ansätze zu diesem scheinbar schwierigen Thema ausarbeiteten. Letztlich wurde ein abgeleiteter Ansatz entwickelt, um es Informations- und Vermögenswerteigentümern zu ermöglichen, einen ungefähren Return on Security Investment zu berechnen. Die abgeleitete Methode kann in fünf Teilschritte zusammengefasst werden. Der erste Schritt ist, den Wert aller Informations- und Vermögenswerte innerhalb des Unternehmens zu bewerten, um zu wissen, welche die wertvollsten sind. Danach muss sichergestellt werden, dass alle Angriffsvektoren und mögliche Bedrohungen bekannt, dokumentiert und ausgewertet sind. Es ist wichtig zu erheben, welche Auswirkungen auf die Wirtschaftlichkeit der Organisation entstehen, sollte eine Information beschädigt werden oder verloren gehen - dies zu definieren ist Ziel des zweiten Schritts. Anschließend müssen die gesammelten Informationen der ersten beiden Schritte kombiniert werden, um eine Matrix zu befüllen, die die Schwachstellenbewertung, aufgeteilt in drei Kategorien von niedrig bis hoch, darstellt. Jetzt ist es möglich, den Return-on-Security-Investment-Wert zu berechnen, indem alle benötigten Informationen vorhanden sind und bestehende Gleichungen verwendet werden. Als letzten Schritt muss das Ergebnis der Berechnung analysiert werden, wie sich dies auf eine Information oder Vermögenswert auswirkt und welche die nächsten Schritte, die eine Organisation ergreifen muss sind, um ihre Verteidigung gegen Cyber-Attacken zu stärken.

Description (eng): This thesis addresses the problems of calculating a return of investment for security-relevant systems and information. Whilst this method is not new to the field of logistics, problems arise when it is adapted for information security. A brief explanation of the main equations and assumptions regarding return on investment without a focus on security-related technologies is required to better understand the difficulties of the research topic. These methodologies are used to calculate the economic efficiency of tools, goods and services by evaluating their monetary value for a company or organization. Additionally, the current situation regarding the value of information security within organizations is examined to give insight into the reasoning of a variety of companies, from small to international. There is no way to determine the amount of money invested in an asset that can be put into an equation and result in a return of the investment. Problems such as not knowing the actual return value (because there might be a case in which no security incident occurs) are the challenges that we face when trying to calculate a return of security investment. Even if no incident occurs following the purchase of security technology, it is unclear whether this lack of incident is due to the newly-bought software or hardware or simply because of the absence of an actual attack against that system. Attackers tend to take the easiest possible way to break into a system, and when the seemingly easiest asset to attack is protected, the attacker will try to find a new way to break into the organization. To obtain an overview of the methods already in use as well as their advantages and disadvantages, a literature review was conducted. The review obtained some interesting results regarding the different approaches taken by various authors on this seemingly difficult topic. These and other considerations were factored into the conducted research, and ultimately a method derived from these considerations has been developed to allow information and asset owners to calculate an estimated amount of return on security investment. This method can be summarized in five steps. The first step assesses the value of all information and assets within the company in order to determine which hold the most value. After that, all attack vectors and possible threats must be identified, documented and evaluated. It is important to determine the effects that damaged or lost information may have on the organization’s economy, which is the aim of the second step. Subsequently, the third and fourth step, the information gathered in the first two steps must be combined and filled into a matrix to calculate the vulnerability score. This score will be clustered in three categories ranging from low to high. With all the required information in place, it becomes possible to calculate the return on security investment by using already-existing equations. The final step analyses the outcome of the calculations in terms of the effect the outcome has on assets or information, along with the steps a company or organization must take to strengthen their defences against cyber security attacks.

Object languages: English

Date: 2017

Rights: © All rights reserved

Classification: Return on Investment ; Rendite ; Berechnung ; Sicherheitsmaßnahme

Permanent Identifier