Information Systems Review (경영정보학연구)

The Korea Society of Management Information Systems (한국경영정보학회)
권호 표지
DOI QR코드

DOI QR Code

A Model for Supporting Information Security Investment Decision-Making Considering the Efficacy of Countermeasures

정보보호 대책의 효과성을 고려한 정보보호 투자 의사결정 지원 모형

  • Byeongjo Park (Department of Convergence Security, Chungbuk National University) ;
  • Tae-Sung Kim (Department of MIS; Cybersecurity Economics Research Institute, Chungbuk National University)
  • 박병조 (충북대학교 융합보안협동과정) ;
  • 김태성 (충북대학교 경영정보학과/보안경제연구소)
  • Received : 2023.06.01
  • Accepted : 2023.07.25
  • Published : 2023.11.30
Download PDF
⟨ Previous Next ⟩

Abstract

The importance of information security has grown alongside the development of information and communication technology. However, companies struggle to select suitable countermeasures within their limited budgets. Sönmez and Kılıç (2021) proposed a model using AHP and mixed integer programming to determine the optimal investment combination for mitigating information security breaches. However, their model had limitations: 1) a lack of objective measurement for countermeasure efficacy against security threats, 2) unrealistic scenarios where risk reduction surpassed pre-investment levels, and 3) cost duplication when using a single countermeasure for multiple threats. This paper enhances the model by objectively quantifying countermeasure efficacy using the beta probability distribution. It also resolves unrealistic scenarios and the issue of duplicating investments for a single countermeasure. An empirical analysis was conducted on domestic SMEs to determine investment budgets and risk levels. The improved model outperformed Sönmez and Kılıç's (2021) optimization model. By employing the proposed effectiveness measurement approach, difficulty to evaluate countermeasures can be quantified. Utilizing the improved optimization model allows for deriving an optimal investment portfolio for each countermeasure within a fixed budget, considering information security costs, quantities, and effectiveness. This aids in securing the information security budget and effectively addressing information security threats.

정보통신기술의 발달로 정보보호의 중요성이 커졌지만, 기업은 제한된 예산 내에서 적절한 대책을 선택하는 데 어려움을 겪고 있다. Sönmez and Kılıç(2021)는 정보 보안 침해를 완화하기 위한 최적의 투자 조합을 결정하기 위해 AHP 및 혼합 정수 계획을 사용하는 모델을 제안했다. 그러나 1) 보안 위협에 대한 보안 대책의 효과를 객관적으로 측정하지 못하고, 2) 투자로 인한 위험 감소가 투자 이전에 측정한 위험 수준을 초과하는 비현실적인 현상이 발생하고, 3) 여러 위협에 대해 단일 대응책을 사용할 때 중복된 투자가 이루어진다는 한계가 있었다. 본 연구에서는 베타 확률 분포를 사용하여 대책의 효과를 객관적으로 정량화하고, 위험 감소 수준이 투자 이전에 측정된 위험 수준을 초과하지 않고 보안 대책이 중복 투자되지 않도록 최적화 모델을 개선했다. 개선된 모델을 국내 중소기업을 대상으로 실증분석한 결과, Sönmez and Kılıç(2021)의 최적화 모델보다 더 나은 결과를 도출했다. 개선된 최적화 모델을 사용하면 정보보호 비용, 수량, 대책 효율성을 고려하여 고정된 예산 내에서 최적의 대책별 투자 포트폴리오를 도출할 수 있고, 정보 보안 예산을 확보하고 정보 보안 위협을 효과적으로 해결하는데 도움이 될 것이다.

Keywords

Acknowledgement

본 과제(결과물)는 2023년도 교육부의 재원으로 한국연구재단의 지원을 받아 수행된 지자체-대학협력기반 지역혁신 사업의 결과입니다(2021RIS-001).

References

  1. 공희경, 전효정, 김태성, "AHP를 이용한 정보보호투자 의사결정에 대한 연구", Journal of Information Technology Applications and Management, 제15권, 제1호, pp. 139-152, 2008.
  2. 국가종합 전자조달청, "나라장터 종합 쇼핑몰, 2023, 1, 20, Available at https:www.g2b.go.kr:8092/sm/ma/mn/SMMAMnF.do.
  3. 이경율, 이선영, 임강빈, "기반시설 보안위협분류 및 분석", 한국통신학회논문지, 제43권, 제3호, 2018, pp. 572-579. https://doi.org/10.7840/kics.2018.43.3.572
  4. 이상훈, 김태성, "정보보호 대책의 성능을 고려한 투자 포트폴리오의 게임 이론적 최적화", 지능정보연구, 제26권, 제3호, 2020, pp. 37-50. https://doi.org/10.13088/JIIS.2020.26.3.037
  5. 임정현, 김태성, "침해사고 통계 기반 정보보호 투자 포트폴리오 최적화 : 유전자 알고리즘 접근법", Information Systems Review, 제22권, 제2호, 2020, pp. 201-217. https://doi.org/10.14329/isr.2020.22.2.201
  6. 한국인터넷진흥원, "정보보호 공시 현황", 2022, 12, 1, Available at https://isds.kisa.or.kr/kr/publish/list.do?menuNo=204942.
  7. 허진, 이애리, "스마트팩토리의 주요 보안요인 연구: AHP를 활용한 우선순위 분석을 중심으로", Information Systems Review, 제22권, 제4호, 2020, pp. 185-203. https://doi.org/10.14329/isr.2020.22.4.185
  8. Armenia, S., M. Angelini, F. Nonino, G. Palombi, and M. F. Schlitzer, "A dynamic simulation approach to support the evaluation of cyber risks and security investments in SMEs", Decision Support Systems, Vol.147, 2021, p. 113580.
  9. Bodin, L. D., L. A. Gordon, and M. P. Loeb, "Evaluating information security investments using the analytic hierarchy process", Communications of the ACM, Vol.48, No.2, 2005, pp. 78-83. https://doi.org/10.1145/1042091.1042094
  10. Bodin, L. D., L. A. Gordon, and M. P. Loeb, "Information security and risk management", Communications of the ACM, Vol.51, No.4, 2008, pp. 64-68. https://doi.org/10.1145/1330311.1330325
  11. Cavusoglu, H., S. Raghunathan, and W. T. Yue, "Decision-theoretic and game-theoretic approaches to IT security investment", Journal of Management Information Systems, Vol.25, No.2, 2008, pp. 281-304. https://doi.org/10.2753/MIS0742-1222250211
  12. Fielder, A., E. Panaousis, P. Malacaria, C. Hankin, and F. Smeraldi, "Decision support approaches for cyber security investment", Decision Support Systems, Vol. 86, 2016, pp. 13-23. https://doi.org/10.1016/j.dss.2016.02.012
  13. Gartner, "Gartner Identifies Three Factors Influencing Growth in Security Spending", 2022, 10, 13, Available at https://www.gartner.com/en/newsroom/press-releases/2022-10-13-gartner-identifies-three-factors-influencing-growth-i.
  14. Gordon, L. A. and M. P. Loeb, "The economics of information security investment", ACM Transactions on Information and System Security, Vol.5, No.4, pp. 438-457, 2002. https://doi.org/10.1145/581271.581274
  15. Gordon, L. A., M. P. Loeb, W. Lucyshyn, and L. Zhou, "Externalities and the magnitude of cyber security underinvestment by private sector firms: A modification of the Gordon-Loeb model", Journal of Information Security, Vol.6, No.1, 2014, pp. 24-30. https://doi.org/10.4236/jis.2015.61003
  16. Gupta, M., J. Rees, A. Chaturvedi, and J. Chi, "Matching information security vulnerabilities to organizational security profiles: A genetic algorithm approach", Decision Support Systems, Vol.41, No.3, 2006, pp. 592-603. https://doi.org/10.1016/j.dss.2004.06.004
  17. Heidt, M., J. P. Gerlach, and P. Buxmann, "Investigating the security divide between SME and large companies: How SME characteristics influence organizational IT security investments", Information Systems Frontiers, Vol. 21, 2019, pp. 1285-1305. https://doi.org/10.1007/s10796-019-09959-1
  18. IBM Security, "Cost of a Data Breach Report 2022", 2022. 11. 7., Available at https://www.ibm.com/security/data-breach.
  19. Kaspersky, "SMBs and Enterprise plan to increase IT security budgets equally up to 14% in the next three years", 2023. 2. 8., Available at https://www.kaspersky.com/about/press-releases/2023_smbs-and-enterprise-plan-to-increase-it-security-budgets-equally-up-to-14-in-the-next-three-years.
  20. Kumar, R. L., S. Park, and C. Subramaniam, "Understanding the value of countermeasure portfolios in information systems security", Journal of Management Information Systems, Vol.25, No.2, 2008, pp. 241-280. https://doi.org/10.2753/MIS0742-1222250210
  21. Miaoui, Y. and N. Boudriga, "Enterprise security investment through time when facing different types of vulnerabilities", Information Systems Frontiers, Vol.21, 2019, pp. 261-300. https://doi.org/10.1007/s10796-017-9745-3
  22. NSS Labs., "NSS Labs Announces 2019 Next Generation Intrusion Prevention Systems (NGIPS) Group Test Results", PR Newswire, 2019.
  23. Ponemon Institute, "Closing the IT Security Gaps 2020 Global Study by the Ponemon Institute", HPE Inc., 2020.
  24. Sawik, T., "Selection of optimal countermeasure portfolio in IT security planning", Decision Support Systems, Vol.55, No.1, 2013, pp. 156-164. https://doi.org/10.1016/j.dss.2013.01.001
  25. Skybakmoen, T., "Next Generation Firewall Comparative Analysis", Media Zones, 2022.
  26. Sonmez, F. O. and B. G. Kilic, "A decision support system for optimal selection of enterprise information security preventative actions", IEEE Transactions on Network and Service Management, Vol.18, No.3, 2020, pp. 3260-3279. https://doi.org/10.1109/TNSM.2020.3044865
  27. Von Solms, R., "Information security management: The second generation", Computers and Security, Vol.15, No.4, 1996, pp. 281-288. https://doi.org/10.1016/0167-4048(96)88939-5
  28. Whitman, M. E. and H. J. Mattord, "Threats to information protection-industry and academic perspectives: An annotated bibliography", Journal of Cybersecurity Education, Research and Practice, Vol.2016, No.2, Article 4.