SUMMARY
Current
challenges in information security risk management
The definition
of a generic methodology which represents major information security risk management
methodologies allows us to align the problem and solution identification to its generic phases
and ensures that the research results can be applied to a broad range of existing
information security risk management methodologies. There is a trend to simplify the
assessment of risks, using simple risk models and discrete values for threat frequency
and impact among the information security approaches. Simple risk models allow easy and fast risk
assessment, even to
unexperienced personnel, but with simplicity there is also inaccuracy.
Modeling real world
events with discrete, predefined value sets allow flaws by design from the
start. Another
similarity among the methods is their generic nature. These approaches focus on technical
threats and vulnerabilities of the IT sector, while risk management actually originated
in the financial sector. Still, due to the fact that IT is covering more and more areas and
thus cannot be regarded as being isolated, the information security risk management
approaches cannot respond to
special requirements of certain sub-sectors.
We have
described research approaches which address the challenges in parts, but were not able to find
solutions which fully cover the identified problems on a satisfying level. The reviewed risk
management approaches do provide only limited mechanisms to support decision makers in making an
appropriate risk versus cost trade-offs on their own, but we identified academic
approaches which fulfill this need. However, the generation of appropriate models and
input data, such as effectiveness values, weights, or dependencies, is still a major
challenge. In the
first step, prepare for assessment, the context for the risk assessment is established, taking
input from risk framing. The key tasks of preparing for a risk assessment includes
the identification of the purpose of the assessment, the scope of the assessment, the
assumptions and constraints associated with the assessment, the sources of
information to be used as inputs to the assessment and the risk model and analytic approaches
to be employed during the assessment. In
the second step, the actual assessment is conducted. The outcome of this
step is a list of security risks
determined by the corresponding threats, vulnerabilities, impacts and likelihood, as well
as the uncertainty associated with the assessment process to inform risk
response decision makers.
The purpose of this paper is to give an overview of current risk management
approaches and outline
their commonalities and differences, evaluate current risk management
approaches regarding
their capability of supporting cost-efficient decisions without unnecessary
security trade-offs,
outline current fundamental problems in risk management based on industrial
feedback and academic
literature and provide potential solutions and research directions to address
the identified
problems.
RINGKASAN
Tantangan terkini pada resiko pengelolaan keamanan informasi
Definisi
metodologi generik yang mewakili keamanan informasi utama metodologi manajemen resiko
memungkinkan kita untuk menyelaraskan masalah dan solusi identifikasi untuk fase generik dan
memastikan bahwa hasil penelitian dapat diterapkan
untuk berbagai metodologi manajemen resiko keamanan informasi yang ada. Ada kecenderungan untuk menyederhanakan penilaian resiko, menggunakan model resiko sederhana dan nilai diskrit untuk frekuensi ancaman dan dampak antara pendekatan keamanan informasi. Model resiko sederhana memungkinkan penilaian resiko mudah dan cepat, bahkan untuk personil amatir, tapi dengan kesederhanaan akan menimbulkan ketidaktepatan. Pemodelan nyata peristiwa dunia dengan diskrit, nilai standar memungkinkan kekurangan pada desain awal. Kesamaan lain antara metode adalah sifat generik mereka. Pendekatan ini fokus pada ancaman teknis dan kerentanan sektor TI, sedangkan manajemen resiko sebenarnya berasal di sektor keuangan. Namun, karena fakta bahwa TI mencakup lebih dan lebih daerah dan dengan demikian tidak dapat dianggap sebagai hal yang kecil, pendekatan keamanan informasi manajemen resiko tidak dapat merespon kebutuhan khusus tertentu sub-sektor.
untuk berbagai metodologi manajemen resiko keamanan informasi yang ada. Ada kecenderungan untuk menyederhanakan penilaian resiko, menggunakan model resiko sederhana dan nilai diskrit untuk frekuensi ancaman dan dampak antara pendekatan keamanan informasi. Model resiko sederhana memungkinkan penilaian resiko mudah dan cepat, bahkan untuk personil amatir, tapi dengan kesederhanaan akan menimbulkan ketidaktepatan. Pemodelan nyata peristiwa dunia dengan diskrit, nilai standar memungkinkan kekurangan pada desain awal. Kesamaan lain antara metode adalah sifat generik mereka. Pendekatan ini fokus pada ancaman teknis dan kerentanan sektor TI, sedangkan manajemen resiko sebenarnya berasal di sektor keuangan. Namun, karena fakta bahwa TI mencakup lebih dan lebih daerah dan dengan demikian tidak dapat dianggap sebagai hal yang kecil, pendekatan keamanan informasi manajemen resiko tidak dapat merespon kebutuhan khusus tertentu sub-sektor.
Kami telah
dijelaskan pendekatan penelitian yang mengatasi tantangan di tiap bagian, tetapi tidak
dapat menemukan solusi yang sepenuhnya menutupi masalah yang diidentifikasi
pada tingkat yang memuaskan.
Ulasan pendekatan
manajemen risiko jangan hanya menyediakan mekanisme sebatas pendukung pengambil keputusan dalam membuat sebuah resiko
yang tepat biaya pada
mereka sendiri,
tapi kami mengidentifikasi
pendekatan akademik yang memenuhi kebutuhan ini. Namun, generasi model yang tepat dan input
data, seperti nilai-nilai efektivitas, bobot, atau dependensi, masih merupakan
tantangan besar. Pada
langkah pertama, mempersiapkan diri untuk penilaian, konteks untuk penilaian
risiko harus didirikan,
mengambil masukan dari sebuah risiko. Tugas utama adalah mempersiapkan risiko penilaian meliputi identifikasi tujuan
penilaian, ruang lingkup
penilaian, asumsi dan kendala yang terkait dengan penilaian, sumber informasi
yang akan
digunakan sebagai masukan untuk penilaian dan model risiko dan pendekatan analitik
untuk dipekerjakan selama pengkajian. Pada langkah kedua, penilaian yang sebenarnya dilakukan. Hasil dari
langkah ini adalah daftar
risiko keamanan
ditentukan oleh yang sesuai ancaman,kerentanan,dampak dan kemungkinan,serta ketidakpastian
terkait dengan proses penilaian untuk menginformasikan pembuat keputusan respon resiko. Tujuan dari makalah
ini adalah untuk memberikan gambaran tentang pendekatan manajemen risiko saat
ini dan garis
persamaan dan perbedaan mereka, mengevaluasi pendekatan manajemen risiko saat ini mengenai kemampuan
mereka mendukung keputusan hemat biaya tanpa keamanan yang tidak perlu trade-off,
menguraikan masalah mendasar saat ini dalam manajemen resiko berdasarkan umpan
balik industri dan literatur akademik
dan memberikan solusi potensial dan arah penelitian untuk mengatasi diidentifikasi masalah.
