Economic efficiency in information systems security risk analysis

• Authors: Artur Rot

Title variants

PL

Efektywność ekonomiczna w analizie ryzyka na potrzeby bezpieczeństwa systemów informatycznych

• Languages of publication: PL EN

Abstracts

EN

IS/IT Risk management is the process of risk reduction through the appropriate security measures. Effective risk management in an organization requires a composite approach to risk analysis. Based on the risk analysis results, the author selected the safeguards which should be cost-effective and take into account law requirements, business needs and requirements resulting from the risk analysis. Economic efficiency, in this case, can be described as an attempt to minimize the total cost of the information system security risks management. The paper presents selected models, methods and indicators that can be used in achieving the effectiveness of investment in information systems security.

Keywords

EN

IS/IT security; risk analysis; IT/IS risk management; economic efficiency

• Publisher: Wydawnictwo Uniwersytetu Ekonomicznego we Wrocławiu
• Journal: Informatyka Ekonomiczna
• Year: 2013
• Issue: 4(30)
• Pages: 240-252

Contributors

author

Artur Rot

• Uniwersytet Ekonomiczny we Wrocławiu

References

• Biała Księga, tytuł oryginału: Livre Blanc sur la sécurité des systèmesd’information des établissements de credit, kierownik publikacji, J-LButsch, Sekretariat Generalny Komisji Bankowej (Secrètariatgènèral de la Commissionbancaire), 1995, za: F. Wołowski, Zarządzanie ryzykiem związanym z systemami informacyjnymi, „Problemy Jakości”, październik 2004, s. 28.
• Białas A., Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie, Wydawnictwa Naukowo-Techniczne, Warszawa 2006.
• Cremonini M., Martini P., Evaluating Information Security Investments from Attackers Perspective: The Return-On-Attack (ROA), Proceedings of Fourth Workshop on the Economics of Information Security, University of Cambridge, 2005, http://infosecon.net/workshop/pdf/23.pdf [dostęp: 27.03.2012].
• Davis A., Return on security investment – proving it’s worth it, “Network Security” 2006, no. 11.
• Dudycz H., Dyczkowski M., Efektywność przedsięwzięć informatycznych. Podstawy metodyczne pomiaru i przykłady zastosowań, Wydawnictwo Akademii Ekonomicznej we Wrocławiu, Wroclaw 2007, s. 91.
• Dynes S., Brechbühl H., Johnson M.E., Information Security in the Extended Enterprise: Some Initial Results From A Field Study of an Industrial Firm, Glassmeyer/McNamee Center for Digital Strategies Tuck School of Business at Dartmout, 13.04.2005, http://www.tuck.dartmouth.edu/digital/assets/images/InfoSecurity%20(1).pdf [dostęp: 29.03.2012].
• Flasiński M., Zarządzanie projektami informatycznymi, Wydawnictwo Naukowe PWN, Warszawa 2007, s. 146.
• Gordon L.A., Loeb M.P., Return on information security investments: Myths vs. realities, “Strategic Finance” 2002, 84(5), s. 26-3.
• Huang C.D., Optimal Investment in Information Security: A Business Value Approach, Proceedings of Pacific-Asia Conference on Information Systems, 2008, http://www.pacis-net.org/file/2010/S11-01.pdf [dostęp: 04.02.2012].
• Huang C.D., Hu Q., Behara R.S., Economics of information security investment in the case of simultaneous attacks, “International Journal of Production Economics” 2008, 114 (2), s. 793-80.
• ISACA – Standard 050.050.030 – IS Auditing Guideline – Use of Risk Assessment in Audit Planning, ISACA, 2000
• ISO/IEC TR 13335-1 Information Technology - Security Techniques - Guidelines for the management of IT Security − Part 1: Concepts and models of IT Security.
• IT Grundschutzhandbuch (IT Baseline Protection Manual), Bundesamt für Sicherheit in der Informationstechnik, Bonn, DIN-Berlin, 2000-2003.
• Kabay M.E., Information Security on a Budget: Where to Invest First, Lecture delivered via Vermont Interactive Television to the Network World Deutschland Security Conference – 9 April 2003, http://www.mekabay.com/infosecmgmt/security_budget.pdf [dostęp: 23.03.2012].
• Liderman K., Analiza ryzyka dla potrzeb bezpieczeństwa teleinformatycznego, „Biuletyn Instytutu Automatyki i Robotyki WAT” 2001, nr 16.
• Liderman K., Analiza ryzyka i ochrona informacji w systemach komputerowych, Wydawnictwo Naukowe PWN SA, Warszawa 2008.
• Mizzi A., Return on Information Security Investment. Are You Spending Enough? Are You Spending Too Much?, www.infosecwriters.com/text.../pdf/ROISI.pdf [dostęp: 8.12.2011].
• Partida A., Andina D., IT Security Management: IT Securiteers – Setting up an IT Security Function, Springer, 2010, s. 18.
• Scott C., Applying the Pareto Principle to Information Security Management, SANS Institute, 18.03.2010, http://www.sans.edu/research/leadership-laboratory/article/mgt421-scott-pareto [dostęp: 26.03.2012].
• Sonnenreich W., Return on Security Investment (ROSI): A Practical Quantitative Model, A Summary Of Research And Development Conducted at SageSecure, 2002.
• Szczepankiewicz P., Analiza ryzyka w środowisku informatycznym do celów zarządzania ryzykiem operacyjnym.
• Część 1. Wybór podejścia do analizy, „Monitor Rachunkowości i Finansów” 2006, nr 6.
• Wawrzyniak D., Zarządzanie ryzykiem informatycznym – wybrane aspekty ekonomiczne, [w:] Wybrane problemy budowy aplikacji dla gospodarki elektronicznej, red. M. Niedźwiedziński, K. Lange-Sadzińska, Wydawnictwo Marian Niedźwiedziński – CONSULTING, Łódź 2009, s. 107.
• Wawrzyniak D., Gospodarowicz A., Ryzyko informatyczne jako ważny element ryzyka operacyjnego w banku – wybrane zagadnienia finansowania zarządzania ryzykiem informatycznym, [w:] Komputerowe systemy zarządzania, red. W. Chmielarz, J. Turyna, Wydawnictwo Naukowe Wydziału Zarządzania Uniwersytetu Warszawskiego, Warszawa 2009.
• Wei H., Frinke D., Carter O., Ritter C., Cost-Benefit Analysis for Network Intrusion Detection Systems, Proceedings of the 28-th Annual Computer Security Conference, Cupertino 2001.