Ποσοτικοποίηση των κινδύνων παραβιάσεων ασφαλείας πληροφοριακών συστημάτων

Abstract

Η παρούσα διδακτορική διατριβή αφορά την ανάλυση των κινδύνων που προέρχονται από παραβιάσεις ασφαλείας Πληροφοριακών Συστημάτων. Δημιουργήθηκε ένα μεθοδολογικό πλαίσιο απόδοσης ποσοτικών και αντικειμενικών αποτελεσμάτων με κύριο στόχο την δυνατότητα χρήσης του από το σύνολο της διοικητικής δομής ενός οργανισμού για την λήψη αποφάσεων. Προτάθηκε ένα θεωρητικό πλαίσιο για τις παραβιάσεις ασφαλείας με βάση την συσχέτιση τους με το σύνολο των εταιρικών κινδύνων. Το επίπεδο των επιπτώσεων που επιφέρουν οι παραβιάσεις ασφαλείας προσεγγίστηκε αναλύοντας συνδυαστικά μελέτες επαγγελματικών οργανισμών, της ακαδημαϊκής κοινότητας και τα αποτελέσματα εμπειρική μελέτης, που πραγματοποιήθηκε στα πλαίσια της παρούσας. Οι επιπτώσεις εκτιμήθηκαν σε επίπεδο περιστατικού και σε επίπεδο εκτιθέμενης εγγραφής πληροφόρησης αναφορικά με το άμεσο και έμμεσο κόστος. Η μοντελοποίηση της πιθανότητας παραβιάσεων ασφαλείας βασίστηκε σε δύο ερευνητικές περιοχές: Την ποσοτικοποίηση του επιπέδου ασφαλείας το οποίο επιτεύχθηκε με αντικειμενικότητα κάνοντας χρήση στοχαστικών μεθόδων και την κατάλληλη εφαρμογή του μεθοδολογικού πλαισίου που προέρχεται από το μοντέλο των Gordon- Loeb. Ο συνδυασμός των παραπάνω ερευνητικών αποτελεσμάτων οδήγησε στην σύνθεση ενός μοντέλου μέσω του οποίου μπορεί να εκτιμηθεί το επίπεδο των κινδύνων παραβιάσεων ασφαλείας για έναν οργανισμό εκφρασμένο σε νομισματικούς όρους. Τέλος, ερευνήθηκε ο τρόπος εφαρμογής της μεθοδολογίας VaR στους κινδύνους παραβιάσεων ασφαλείας με βάση το προτεινόμενο μοντέλο.