A procedure model for evaluating IT-security investments

Abstract

The security of information systems is a vital factor for companies nowadays. In order to achieve an adequate level of security, a variety of distinct measures is available, ranging from technical meas-ures to organizational measures. In near past suitable methods for decision support especially for the assessment of the profitability of IT-security investments have been developed. But integrated procedure models for a complete it-security controlling can neither be found in literature nor in practice. With this article, we propose a method framework that enables the analysis of the results of alternative security investments from a process-oriented perspective. As a basis, we have conducted an in-deep analysis of the state-of-the-art in the fields of IT-Business-Alignment and IT-security management in order to identify suitable concepts for the framework. A special focus lies on the requirements of IT-security controlling of critical business processes.

Безпека інформаційних систем у теперішній час є життєво важливим фактором для компаній. Багато різних вимірів, від технічних до організаційних, є доступними для досягнення прийнятного рівня безпеки. У недалекому минулому було розроблено методи підтримки прийняття рішень при оцінюванні прибутковості інвестицій у IT-безпеку. Проте інтегральні процедурні моделі для повного управління IT-безпекою до цього часу не знайдені – ані у літературі, ані на практиці. У цієї статті ми пропонуємо середовище, яке дає можливість аналізувати результати альтернативних інвестицій у безпеку з точки зору, орієнтованої на процеси. Ми здійснили поглиблений аналіз сучасного стану справ у галузях синхронізації IT та бізнесу та управління IT-безпекою з метою ідентифікувати прийнятні концепції для цього середовища. Спеціальну увагу приділено вимогам до IT-безпеки критичних бізнес-процесів.