Quantification of information systems security breaches risks

 
This item is provided by the institution :

Repository :
National Archive of PhD Theses
see the original item page
in the repository's web site and access all digital files if the item*
share



PhD thesis (EN)

2012 (EN)

Ποσοτικοποίηση των κινδύνων παραβιάσεων ασφάλειας πληροφοριακών συστημάτων
Quantification of information systems security breaches risks

Pirounias, Sotirios
Πηρούνιας, Σωτήριος

Η παρούσα διδακτορική διατριβή αφορά την ανάλυση των κινδύνων που προέρχονται από παραβιάσεις ασφαλείας Πληροφοριακών Συστημάτων. Δημιουργήθηκε ένα μεθοδολογικό πλαίσιο απόδοσης ποσοτικών και αντικειμενικών αποτελεσμάτων με κύριο στόχο την δυνατότητα χρήσης του από το σύνολο της διοικητικής δομής ενός οργανισμού για την λήψη αποφάσεων. Προτάθηκε ένα θεωρητικό πλαίσιο για τις παραβιάσεις ασφαλείας με βάση την συσχέτιση τους με το σύνολο των εταιρικών κινδύνων. Το επίπεδο των επιπτώσεων που επιφέρουν οι παραβιάσεις ασφαλείας προσεγγίστηκε αναλύοντας συνδυαστικά μελέτες επαγγελματικών οργανισμών, της ακαδημαϊκής κοινότητας και τα αποτελέσματα εμπειρικής μελέτης, που πραγματοποιήθηκε στα πλαίσια της παρούσας. Οι επιπτώσεις εκτιμήθηκαν σε επίπεδο περιστατικού και σε επίπεδο εκτιθέμενης εγγραφής πληροφόρησης αναφορικά με το άμεσο και έμμεσο κόστος. Η μοντελοποίηση της πιθανότητας παραβιάσεων ασφαλείας βασίστηκε σε δύο ερευνητικές περιοχές: Την ποσοτικοποίηση του επιπέδου ασφαλείας το οποίο επιτεύχθηκε με αντικειμενικότητα κάνοντας χρήση στοχαστικών μεθόδων και την κατάλληλη εφαρμογή του μεθοδολογικού πλαισίου που προέρχεται από το μοντέλο των Gordon-Loeb. Ο συνδυασμός των παραπάνω ερευνητικών αποτελεσμάτων οδήγησε στην σύνθεση ενός μοντέλου μέσω του οποίου μπορεί να εκτιμηθεί το επίπεδο των κινδύνων παραβιάσεων ασφαλείας για έναν οργανισμό εκφρασμένο σε νομισματικούς όρους. Τέλος, ερευνήθηκε ο τρόπος εφαρμογής της μεθοδολογίας VaR στους κινδύνους παραβιάσεων ασφαλείας με βάση το προτεινόμενο μοντέλο.
This thesis deals with the analysis of risks emanating from security breaches of Information Systems. It proposes a new quantitative methodology that, returns objective security level measurement of an IS, which can be implemented by all management members of an organization. A new theoretical frame for handling security breaches was suggested, based on their correlation to the total amount of enterprise risks. The impact level, caused by security breaches, was studied by the combined analysis of studies stemming from professional organizations, the academic community and by the empirical study that was accomplished during this thesis. The impact was assessed at incident level as well at the affected records of data, with respect to direct and indirect costs. The modeling of security breaches probability was based on two research areas: The quantification of security level that was accomplished with objectivity utilizing stochastic methods and the proper application of the methodological frame that accrues from the Gordon-Loeb model. The combination of the aforementioned research results, led to the synthesis of a model from which the level of security breaches risks of an organization can by assessed in monetary terms. At the end, the application of the VaR methodology to the security breaches risks was researched based on the proposed model.

PhD Thesis

Μέτρηση επιπέδου ασφαλείας
Ποσοτικοποίηση κινδύνων
Security breaches risks
Κίνδυνοι παραβιάσεων ασφαλείας
Computer and Information Sciences
Φυσικές Επιστήμες
Security breach
Event analysis
Financial impact of security breaches
Ανάλυση γεγονότων
Security level measurement
Risk quantification
Παραβίαση ασφαλείας
Επιστήμη Ηλεκτρονικών Υπολογιστών και Πληροφορική
Natural Sciences
Οικονομική επίπτωση παραβιάσεων ασφαλείας


Greek

2012


University of Piraeus (UNIPI)
Πανεπιστήμιο Πειραιώς




*Institutions are responsible for keeping their URLs functional (digital file, item page in repository site)