Informationssäkerhet och ekonomi - ett skannande projekt

Författare:

  • Jonas Hermelin
  • Henrik Karlzén
  • Peter Nilsson

Publiceringsdatum: 2014-09-26

Rapportnummer: FOI-R--3927--SE

Sidor: 57

Skriven på: Svenska

Nyckelord:

  • informationssäkerhet
  • ekonomi
  • säkerhetsinvestering
  • optimering
  • verksamhetsstyrning
  • riskhantering

Sammanfattning

Att investera i informationssäkerhet är idag mer självklart än tidigare inom många verksamheter. Samtidigt som brister i informationssäkerheten kan medföra stora negativa effekter, både monetära och ickemonetära, kan även bibehållandet av höga säkerhetsnivåer vara en mycket kostnadsdrivande faktor. Skyddsåtgärder kan både vara dyrt att införa och negativt påverka verksamheten genom att försvåra flexibla och produktiva arbetssätt. Ett sätt att hantera avvägningen för vad som är en lämplig nivå av informationssäkerhet är att nyttja ekonomiska modeller och metoder för riskhantering. Dessa modeller och metoder kan bidra med ramverk för hantering och jämförelse av risker och kostnader. Syftet med denna rapport är att redovisa vad som är aktuell forskning inom gränslandet mellan informationssäkerhet och ekonomi. Litteraturöversikten visar på ett aktivt forskningsområde där det föreslagits en mångfald av metoder för beräkning av optimala investeringsnivåer. På grund av avsaknad av tillförlitlig indata till beräkningarna och att det saknas faktiska utvärderingar kvarstår dock många frågetecken gällande praktisk tillämpning av och nytta med dessa metoder, utöver att vara teoretiska ramverk. Förutom optimeringsberäkningar utforskar litteraturen även frågor rörande insamling och användning av mätdata och domänexperters bedömningar. Slutligen finns även en diskussion som rör hur och när beslut gällande investeringar tas och bör tas. Exempel på intressanta uppslag för framtida forskning är vidare studier gällande hur beslut och inriktning av informationssäkerhet faktiskt sker inom olika typer av verksamheter. Vilken utgångspunkt har organisationer vid beslut och avvägning mellan risker och vad påverkar dem? Vilka metoder används idag och hur förhåller de sig till den aktuella forskningen?