The current use of Information Security Risk Management methodologies

Abstract

Ulike risikostyringsmetoder er utviklet for å hjelpe organisasjonene med å definere, analysere, evaluere og behandle de mest relevante og kritiske risikoene for informasjonssikkerheten i en organisasjon. Hvor nyttige er risikovurderingen av informasjonssikkerhet for organisasjonen? I hvilken grad er anerkjente risikovurderingsmetodologier brukt i praksis, og hvilke faktorer bestemmer fordelen ved å gjøre risikovurderinger? Den nåværende bruken av risikostyringsmetoder for informasjonssikkerhet vil bli undersøkt i denne masteroppgaven. Den opplevde nytten av å gjøre risikovurderinger, hvordan og i hvilken grad de forskjellige risikovurderingsmetodikkene blir brukt i praksis vil bli undersøkt. Ulike studier har gjennomgått risikovurderingsmetodologier med det formål å utvikle og presentere nye metoder for risikovurdering, og det er utarbeidet taksonomier for risikovurderingsmetoder for å hjelpe organisasjoner å velge den mest passende risikovurderingsmetodikken. Denne studien er basert på en spørreundersøkelse med eksperter på risiko og informasjonssikkerhet, og intervjuer med fire risiko- og informasjonssikkerhetseksperter, i tillegg til gjennomgang av vitenskapelige artikler om risikovurderinger, casestudier og taksonomier for risikovurderingsmetodikk. Spørreundersøkelsen og intervjuene foregikk på norsk, ble distribuert av Norsk Næringslivets Sikkerhetsråd (NSR) til deres nyhetsbrevmottakere, og følgere av NSR på sosiale medier. Funnene i risikovurderingsundersøkelsen og intervjuene antyder at de godt anerkjente metodene for risikovurdering, COSO og IRAM2, ISO / IEC 27005, NIST 800-37 og NSMs risikovurderingsmetodikk er kjent og brukt, mens OCTAVE, CRAMM, EBIOS og TRA er ikke så godt kjent av informasjonssikkerhets- og risikoeksperter som de vitenskapelige artiklene gir inntrykk av. Svar fra både deltakere og intervjuobjekter indikerer imidlertid at organisasjoner oppfatter risikovurderingen som nyttig. Sammenligning av funn fra undersøkelsen og intervjuer med avhandlingene om risikovurdering samt taksonomier som gir oversikt over risikovurderingsmetodikkene, gir indikasjoner på at opplevd nytteverdi ikke medfører at faktorene som angir høy nytteverdi av risikovurderingen eller suksesskriteriene for risikovurdering var til stede. Dersom toppledelse, informasjonssikkerhets- og risikoeksperter kjente til at det fantes oversikter over risikovurderingsmetodikker, taksonomier og andre ressurser kunne dette bidra til å øke nytten av risikovurderingsprosessen, og sikre at suksessfaktorene i risikovurderingsprosessen var til stede.

Various risk management methodologies have been developed to help the organizations define, analyze, evaluate and mitigate the most relevant and critical risks to the information security in an organization. How useful are the information security risk assessments to the organization? To what degree are acknowledged risk assessment methodologies used in practice, and which factors determine the benefit of doing risk assessments? The current use of Information Security Risk Management methodologies will be examined in this master thesis. The perceived usefulness of doing risk assessments, how and to what extent the different risk assessment methodologies are used in practice will be surveyed. Various studies have reviewed risk assessment methodologies with the purpose of presenting new methods for risk assessment, and taxonomies for risk assessment methodologies have been developed with the purpose of helping organizations to choose the most suitable risk assessment methodology. This study is based on a survey of risk and information security experts, and interviews with four risk managers and information security experts, in addition to review of scientific articles on risk assessment case studies, comparisons and risk assessment methodology taxonomies. The survey was distributed by The Norwegian Business and Industry Security Council (NSR) to their newsletter recipients, and followers of NSR LinkedIn and Facebook pages. The language in the survey and interviews is Norwegian. The findings in the risk assessment survey and the interviews indicates that the well acknowledged risk assessment methodologies, COSO and IRAM2, ISO/IEC 27005, NIST 800-37 and NSM's risk assessment methodology are known and used, while OCTAVE, CRAMM, EBIOS and TRA are not as well-known by the information security experts and risk managers as the scientific articles give an impression of. However, responses from both participants and interview subjects indicate that organizations do perceive the risk assessment as useful. Comparing findings from the survey and interviews with the papers on risk assessment, and the taxonomies giving an overview of the risk assessment methodologies indicate that perceived usefulness does not imply that the factors determining the usefulness of risk assessment were present, and that the success criteria for risk assessment were present. If top management, information security experts and risk managers became aware that there exists inventories of risk assessment methodologies, taxonomies and other resources, this could contribute to increasing the usefulness of the risk assessment process, and ensure success factors of the risk assessment process were present.