dc.contributor.advisor | Knapskog, Svein Johan | nb_NO |
dc.contributor.advisor | Presttun, Kåre | nb_NO |
dc.contributor.author | Svagård, Tron Magnus | nb_NO |
dc.date.accessioned | 2014-12-19T14:13:36Z | |
dc.date.available | 2014-12-19T14:13:36Z | |
dc.date.created | 2010-09-11 | nb_NO |
dc.date.issued | 2008 | nb_NO |
dc.identifier | 350953 | nb_NO |
dc.identifier | ntnudaim:4406 | nb_NO |
dc.identifier.uri | http://hdl.handle.net/11250/262217 | |
dc.description.abstract | Investeringer i informasjonssikkerhet utgjør i dag en stor del av organisasjoners investeringer. På bakgrunn av dette er det økende etterspørsel etter kost/nytte-analyser for investeringer i informasjonssikkerhet. Organisasjoner vil vite hva de får igjen for pengene som går med til kontrolltiltak. Dette fører til at sikkerhetsspesialister må kunne rettferdiggjøre investeringer i informasjonssikkerhet ved hjelp av økonomiske beregninger. Denne oppgaven viser hvordan kost/nytte-analyser kan gjennomføres for investeringer i informasjonssikkerhet ved hjelp av Return on Security Investment (ROSI). Oppgaven drøfter ulike tilnærminger til ROSI-modellen i ulike scenarioer. Det vises hvordan trusler, kombinasjoner av kontrolltiltak og typer kontrolltiltak påvirker hvordan modellen kan benyttes. I tillegg identifiserer oppgaven eksisterende og teoretiske informasjonskilder som kan benyttes til å lage estimater til beregning av ROSI. Målinger, forsikringspremier, dusører og angrepsderivater kan benyttes som utgangspunkt for slike estimater. Oppgaven viser videre hvordan ulike estimater kan benyttes i ROSI-modellen. Dagens gjeldende forhold innen informasjonssikkerhetsmarkedet skaper utfordringer for både kvalitative og kvantitative vurderinger av investeringer i informasjonssikkerhet. Dette inkluderer informasjonsmangel, asymmetrisk informasjon, rask utvikling og høy kompleksitet. Organisasjoner kan selv bidra til å motvirke enkelte av disse uheldige forholdene, men har ikke insentiver for det. Standardisering av måleparametre kan bidra til å høyne kvaliteten på tilgjengelig informasjon. Det kan også være viktig å identifisere måleparametre som organisasjoner er villige til å dele måleresultater fra, og som samtidig gir verdifull informasjon til fellesskapet. Gode estimater og riktig bruk av ROSI-modellen er viktig. I tillegg er hyppige revisjoner av kontrolltiltak og risiko en nødvendighet på bakgrunn av den raske utviklingen innen informasjonsteknologi og informasjonssikkerhet. | nb_NO |
dc.language | nor | nb_NO |
dc.publisher | Institutt for telematikk | nb_NO |
dc.subject | ntnudaim | no_NO |
dc.subject | SIE7 kommunikasjonsteknologi | no_NO |
dc.subject | Telematikk | no_NO |
dc.title | Verktøy for helhetlig risikostyring og informasjonssikkerhet: Bruk av Return on Security Investment for kost/nytte-analyse av investeringer i informasjonssikkerhet | nb_NO |
dc.title.alternative | Tools for Risk Management and Information Security: Return on Security Investment - A Tool for Cost/Benefit Analysis of Information Security Investments | nb_NO |
dc.type | Master thesis | nb_NO |
dc.source.pagenumber | 53 | nb_NO |
dc.contributor.department | Norges teknisk-naturvitenskapelige universitet, Fakultet for informasjonsteknologi, matematikk og elektroteknikk, Institutt for telematikk | nb_NO |