Information security management framework for small and medium enterprise

Abstract

Information security is one of the concerns any organization or person faces. The list of new threats appears, and information security management mechanisms have to be established and continuously updated to be able to fight against possible security issues. To be up to date with existing information technology threats and prevention, protection, maintenance possibilities, more significant organizations establish positions or even departments, to be responsible for the information security management. However, small and medium enterprise (SME) does not have enough capacities. Therefore, the information security management situation in SMEs is fragmented and needs improvement. In this thesis, the problem of information security management in the small and medium enterprise is analyzed. It aims to simplify the information security management process in the small and medium enterprise by proposing concentrated information and tools in information security management framework. Existence of an information security framework could motivate SME to use it in practice and lead to an increase of SME security level. The dissertation consists of an introduction, four main chapters and general conclusions. The first chapter introduces the problem of information security management and its’ automation. Moreover, state-of-the-art frameworks for information security management in SME are analyzed and compared. The second chapter proposes a novel information security management framework and guidelines on its adoption. The framework is designed based on existing methodologies and frameworks. A need for a model for security evaluation based on the organization’s management structure noticed in chapter two; therefore, new probability theory-based model for organizations information flow security level estimation presented in chapter three. The fourth chapter presents the validation of proposed security evaluation models by showing results of a case study and experts ranking of the same situations. The multi-criteria analysis was executed to evaluate the ISMF suitability to be applied in a small and medium enterprise. In this chapter, we also analyze the opinion of information technology employees in an SME on newly proposed information security management framework as well as a new model for information security level estimation. The thesis is summarized by the general conclusions which confirm the need of newly proposed framework and associated tools as well as its suitability to be used in SME to increase the understanding of current information security threat situation.

Informacijos sauga yra viena iš problemų, su kuriomis susiduria tiek šiuolaikinės organizacijos, tiek ir individualūs asmenys. Kadangi nuolat atsiranda naujų saugos grėsmių, tai informacijos saugos užtikrinimas privalo būti vykdomas ir atnaujinamas nuolat. Dėl šios srities sudėtingumo didesnėse organizacijose steigiamos papildomos darbo vietos ar net padaliniai. Tačiau dėl savo ribotų resursų mažas ir vidutinis verslas ieško priemonių, kurios leistų ir ne saugos, o pavyzdžiui informacinių technologijų specialistui, įsisavinti šią sritį. Šioje disertacijoje analizuojama informacijos saugos valdymo problematika mažame ir vidutiniame versle. Darbo tikslu išsikeliama supaprastinti informacijos saugos valdymo procesą mažame ir vidutiniame versle, susisteminant reikiamas žinias ir pasiūlant įrankius informacijos saugos valdymo karkase. Pasiūlytas informacijos saugos valdymo karkasas leis ir ne informacijos saugos ekspertams perprasti organizacijai kylančias saugos grėsmes ir skatins didinti organizacijos saugos lygį. Disertaciją sudaro įvadas, keturi pagrindiniai skyriai ir bendrosios išvados. Pirmajame skyriuje apibrėžiama informacijos saugos valdymo problema, apžvelgiami egzistuojantys informacijos saugos valdymo karkasai ir galimi taikyti įrankiai. Antrame skyriuje siūlomas naujas informacijos saugos valdymo karkasas, kuris remiasi egzistuojančiomis gerosiomis praktikomis ir egzistuojančiomis metodikomis. Kadangi antrame skyriuje nustatyta, kad organizacijos valdymo struktūros modeliavimui ar vertinimui saugos atžvilgiu įrankių nėra, siūlomas naujas tikimybių teorija paremtas modelis. Šis modelis leidžia įvertinti informacijos srauto saugumo lygį duomenų konfidencialumo, prieinamumo ir vientisumo atžvilgiais ir yra aprašytas trečiame skyriuje. Ketvirtame skyriuje aprašomas pasiūlytų modelių taikymo eksperimentas, kurio rezultatai lyginami su ekspertų įvertinimais. Atlikta daugiakriterinė analizė, kuri leidžia nustatyti informacijos saugos valdymo karkaso tinkamumą taikyti mažoje ir vidutinėje įmonėje. Šiame skyriuje taip pat analizuojama, ar pasiūlytas informacijos saugos valdymo karkasas yra suprantamas mažo ir vidutinio verslo atstovams. Disertacija apibendrinama bendrosiomis išvadomis, kurios patvirtina informacijos saugos valdymo karkaso ir su juo siejamų įrankių poreikį bei jų tinkamumą mažo ir vidutinio verslo informacijos saugos rizikų pilnesniam suvokimui.