SME oriented information security level measurement indicators
Korhonen, Lassi Oskari (2020-05-04)
Korhonen, Lassi Oskari
04.05.2020
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi-fe2020050424793
https://urn.fi/URN:NBN:fi-fe2020050424793
Tiivistelmä
Information and cyber security activities has become a major part of companies processes because of the increasing number of devices and systems that are online and connected to internet. However, information systems should be under cyclic monitoring which implementation can be a demanding task for a small and medium sized company for example because of the lack of available resources. This study aims to develop a security evaluation method which can be easily integrated into small or medium sized companies’ processes because of its straightforward and simple approach. Additionally, this study aims to develop a script which can be used for the testing purposes of the new security evaluation method.
The study was conducted by first gathering the requirements for the evaluation criteria which were then used to design the new security evaluation method. The inputs for the evaluation process were based on vulnerability severity and amount. The mentioned input attributes were also used to develop proposals for the calculation process. As an output the security evaluation method provided a single integer which described the target systems information security level. At the end of the study, the created security evaluation method was tested against three test cases which were used to evaluate the effect of different proposals and audit results for the output. A script was also developed for the testing purposes.
The results and analyses indicated that the developed security evaluation method was easier to integrate into small businesses processes because of its simplicity and straightforward approach. In addition, the issue frequency-based proposal which considered the business criticality and weighted average proved to be most suitable approach for the security state evaluation. However, the results also indicated that the weights used in the calculations should be raised in order to achieve a more descriptive picture of the state. The further development suggestions proposed that the created security evaluation method could be developed towards a more system-based approach instead of the case based approach. In addition, the evaluation method could be integrated as a part of a service which calculates and evaluates the state of information security in the target system based on the input. Eri järjestelmien tietoturvasta on tullut iso osa organisaatioiden prosesseja internettiin kytkettyjen laitteiden ja järjestelmien määrän kasvun takia. Tietojärjestelmien tulisi kuitenkin olla säännöllisen valvonnan alla ja tämän toteuttaminen saattaa olla vaikeaa pienille ja keskisuurille yrityksille, esimerkiksi resurssien puutteen vuoksi. Tämän tutkimuksen tavoitteena on kehittää uusi yksinkertainen järjestelmän tietoturvan arviointimenetelmä, joka on helppo integroida osaksi pienten ja keskisuurten yritysten prosesseja sen yksinkertaisen lähestymistavan ansiosta. Lisäksi tavoitteena on kehittää skripti, jota voidaan käyttää uuden laskentatavan testaamiseen.
Tutkimus aloitettiin keräämällä vaatimukset kehitettävälle järjestelmän tietoturvan arviointimenetelmälle, joita käytettiin uuden mittaustavan suunnittelussa. Uuden mittaustavan syötteenä käytettiin auditointien tuloksia sekä haavoittuvuuksien määrää ja niiden vakavuutta. Mainituista attribuuteista kehitettiin myös laskentaehdotukset. Ulostulona laskentatavat tuottivat luvun, joka kuvaa kohdejärjestelmän sen hetkistä tietoturvallisuuden tilaa. Tutkimuksen lopuksi luotua arviointimenetelmää ja sen tuottamia tuloksia testattiin kolmessa eri testitapauksessa, joissa verrattiin eri laskentatapojen vaikutusta kohdejärjestelmän tietoturvan tason laskentaan. Testejä varten kehitettiin skripti, joka suoritti laskennan.
Tulokset ja niiden analysointi indikoivat, että kehitetty arviointimenetelmä on helpompi integroida osaksi pienen yrityksen prosesseja sen yksinkertaisuuden ja suoraviivaisuuden takia. Lisäksi parhaimmaksi tietoturvan laskentatavaksi tutkimuksessa olevista vaihtoehdoista osoittautua havaintojen määrään pohjautuva laskutapa, joka huomioi järjestelmän bisneskriittisyyden ja laskee koko ympäristön tietoturvan tason käyttäen painotettua keskiarvoa. Lisäksi tulokset kuitenkin osoittivat, että laskentaan käytettäviä painoja tulisi nostaa kuvaavamman tuloksen saamiseksi. Jatkokehitysideat sisälsivät ehdotuksen arviointimenetelmän jatkokehityksestä järjestelmäkohtaisempaan suuntaan, jossa tutkittaisiin järjestelmälle suoritettuja toimenpiteitä yksittäisten auditointien sijasta. Lisäksi kehitetty arviointimenetelmä voitaisiin integroida tulevaisuudessa osaksi palvelua, joka laskee syötteen perusteella kohdejärjestelmälle tietoturvallisuuden tason.
The study was conducted by first gathering the requirements for the evaluation criteria which were then used to design the new security evaluation method. The inputs for the evaluation process were based on vulnerability severity and amount. The mentioned input attributes were also used to develop proposals for the calculation process. As an output the security evaluation method provided a single integer which described the target systems information security level. At the end of the study, the created security evaluation method was tested against three test cases which were used to evaluate the effect of different proposals and audit results for the output. A script was also developed for the testing purposes.
The results and analyses indicated that the developed security evaluation method was easier to integrate into small businesses processes because of its simplicity and straightforward approach. In addition, the issue frequency-based proposal which considered the business criticality and weighted average proved to be most suitable approach for the security state evaluation. However, the results also indicated that the weights used in the calculations should be raised in order to achieve a more descriptive picture of the state. The further development suggestions proposed that the created security evaluation method could be developed towards a more system-based approach instead of the case based approach. In addition, the evaluation method could be integrated as a part of a service which calculates and evaluates the state of information security in the target system based on the input.
Tutkimus aloitettiin keräämällä vaatimukset kehitettävälle järjestelmän tietoturvan arviointimenetelmälle, joita käytettiin uuden mittaustavan suunnittelussa. Uuden mittaustavan syötteenä käytettiin auditointien tuloksia sekä haavoittuvuuksien määrää ja niiden vakavuutta. Mainituista attribuuteista kehitettiin myös laskentaehdotukset. Ulostulona laskentatavat tuottivat luvun, joka kuvaa kohdejärjestelmän sen hetkistä tietoturvallisuuden tilaa. Tutkimuksen lopuksi luotua arviointimenetelmää ja sen tuottamia tuloksia testattiin kolmessa eri testitapauksessa, joissa verrattiin eri laskentatapojen vaikutusta kohdejärjestelmän tietoturvan tason laskentaan. Testejä varten kehitettiin skripti, joka suoritti laskennan.
Tulokset ja niiden analysointi indikoivat, että kehitetty arviointimenetelmä on helpompi integroida osaksi pienen yrityksen prosesseja sen yksinkertaisuuden ja suoraviivaisuuden takia. Lisäksi parhaimmaksi tietoturvan laskentatavaksi tutkimuksessa olevista vaihtoehdoista osoittautua havaintojen määrään pohjautuva laskutapa, joka huomioi järjestelmän bisneskriittisyyden ja laskee koko ympäristön tietoturvan tason käyttäen painotettua keskiarvoa. Lisäksi tulokset kuitenkin osoittivat, että laskentaan käytettäviä painoja tulisi nostaa kuvaavamman tuloksen saamiseksi. Jatkokehitysideat sisälsivät ehdotuksen arviointimenetelmän jatkokehityksestä järjestelmäkohtaisempaan suuntaan, jossa tutkittaisiin järjestelmälle suoritettuja toimenpiteitä yksittäisten auditointien sijasta. Lisäksi kehitetty arviointimenetelmä voitaisiin integroida tulevaisuudessa osaksi palvelua, joka laskee syötteen perusteella kohdejärjestelmälle tietoturvallisuuden tason.