Rate vulnerability reducing measures for home offices based on a cost effectiveness analysis

Abstract

NORSK: Stadig flere bedrifter tar i bruk hjemmekontorløsninger slik at de ansatte kan få muligheten til å jobbe hjemmefra, en eller flere dager i uken. Ved å flytte kontorene ut fra bedriften og hjem til de ansatte, vanskeliggjør man sikringen av bedriftens datasystemer og de verdiene som ligger lagret der. Man går fra å ha en kommunikasjonskanal mellom bedriftens interne nettverk og Internett, til å få flere slike kanaler. Av denne grunn må hjemmekontorene sikres på lik linje som bedriftens Internett tilkobling. I en verden hvor sikkerhet ikke står øverst på dagsorden er det viktig at man bruker bevilgningene fornuftig og investerer i løsninger som er kostnadseffektive. Denne masteroppgaven vil ta for seg kostnadseffektivitets analyse av sikkerhetsløsninger for hjemmekontor. Først og fremst vil vi utarbeide en metode for å gjennomføre en slik analyse. Deretter vil denne metoden bli brukt på tre scenarier for å finne de mest kostnadseffektive sikkerhetsløsningene. Arbeidet gjort i denne oppgaven har ført frem til en metode for utførsel av kostnadseffektivitets analyse for sikkerhetsløsninger i hjemmekontor. Denne metoden har også den egenskapen at den kan skille mellom organisasjoner med forskjellige trusselbilder, ved at trussel agenter blir identifisert og trusselen av hver enkelt agent blir vurdert opp mot sårbarhetene i systemet. Ut i fra scenarioene som har blitt satt opp har også et utvalg sikkerhetsløsninger blitt rangert etter deres kostnadseffektivitet.

ENGELSK: The days when information security could be based on one firewall protecting the organization’s network from the dangers of the Internet, are long gone. Today, laptops, mobile phones and home offices have made perimeter security a daunting task. As the number of possible entries to a network increases, the costs of securing the perimeters are pointing upwards. The number of security technologies available complicates the decision making. To be sure that the organization spends money wisely, it is important to perform some sort of a cost-effectiveness analysis before a purchase is made. This thesis deals with the cost-effectiveness of security measures available for home office systems. The main focus is on defining a methodology for the cost-effectiveness analysis and calculating the cost-effectiveness of security measures for three different case studies. The result of the work carried out in this thesis is a methodology for performing a costeffectiveness analysis on security measures for the use in home offices or similar small computer systems. The methodology has the ability to differentiate between the security needs of different organizations. By defining threat sources, their motivations, and the system vulnerabilities they might exploit, the threats against the system can be identified. Finally a cost-effectiveness analysis of different security measures has been performed using this methodology. The analysis was performed on three different case studies and the security measures were ranked after their cost-effectiveness.