Development of cyber security assessment tool for financial institutions

Abstract

Cyber security is becoming one of the most critical issues for companies willing to empower their growth and business success by using online technologies. The development of online services has completely changed the ways and processes of financial services. The scientific problem formulated in the dissertation is the necessity to properly evaluate cyber security levels in financial institutions arising due to various sector-specific vulnerabilities. The dissertation’s research object is the assessment of cyber security in a financial institution. The goal of this dissertation is to create a comprehensive tool that would allow financial institutions to evaluate the cyber security level individually within the organisation. The following main tasks are resolved within the dissertation: (1) to investigate cyber risks and cyber-security features and importance, identify the main areas of cyber security with indicators representing each area’s most significant features, based on scientific literature analyses, (2) to establish a methodology for a tool that allows the cyber security assessment in a financial institution, (3) to develop a unique questionnaire matrix to conduct an internal assessment of a financial institution’s cyber security level based on the provided cyber security indicators, (4) to create a tool for the cyber security evaluation in financial institutions by proposing a composite cyber security index as a final result, (5) to assess cyber security in selected financial institutions to practically verify the proposed composite cyber security index. The dissertation consists of the following parts: (1) a scientific literature analysis on cyber risks and cyber security, general features, legal requirements, and cyber risk assessment presumptions. This part of the research is a significant theoretical background for the following steps. (2) A methodology for creating a composite cyber security index. (3) Final development of a composite cyber security index that consists of these main parts: 4 major areas of cyber security; 22 specific indicators within the areas; specific weight for each indicator; model of questionaries for individual evaluation of each indicator within the organisation. The proposed tool for evaluating cyber security in financial institutions – the composite cyber security index – is considered a comprehensive and effective method to assess cyber security levels, indicate weaknesses and vulnerabilities, and initiate adjustments and improvements in the organisation.

Kibernetinis saugumas tampa vienu iš svarbiausių iššūkių įmonėms, siekiančioms padidinti savo augimą ir verslo sėkmę naudojant informacines technologijas. Internetinių paslaugų plėtra visiškai pakeitė finansinių paslaugų teikimo būdus ir procesus. Disertacijoje suformuluota mokslinė problema – būtinybė įvertinti kibernetinio saugumo lygį finansų institucijose, kadangi būtent šių institucijų veiklos specifika nulemia jų ypatingą pažeidžiamumą kibernetinėje erdvėje. Disertacijos tyrimo objektas – kibernetinio saugumo vertinimas finansų institucijose. Disertacijos tikslas – sukurti įrankį, kuris leistų finansų institucijoms individualiai įvertinti savo kibernetinio saugumo lygį. Disertacijoje sprendžiami šie pagrindiniai uždaviniai: 1) išanalizuoti kibernetinės rizikos ir kibernetinio saugumo ypatumus bei svarbą ir nustatyti pagrindines kibernetinio saugumo sritis ir rodiklius, atspindinčius svarbiausius kiekvienos srities bruožus teoriniu aspek¬tu, 2) sukurti metodiką priemonei, leidžiančiai įvertinti finansų institucijos kibernetinį saugumą, 3) sudaryti unikalų klausimyną, skirtą vidiniam kibernetinio saugumo lygio įvertinimui finansų institucijoje atlikti, remiantis pateiktais kibernetinio saugumo rodikliais, 4) sukurti finansų institucijų kibernetinio saugumo vertinimo priemonę, kaip galutinį rezultatą pasiūlant sudėtinį kibernetinio saugumo indeksą, 5) įvertinti kibernetinio saugumo lygį pasirinktose finansų institucijose ir taip praktiškai patikrinti siūlomą sudėtinį kibernetinio saugumo indeksą. Disertaciją sudaro šios dalys: 1) mokslinės literatūros apie kibernetinio saugumo sampratą, bendruosius bruožus, teisinius reikalavimus ir kibernetinio saugumo vertinimo prielaidas analizė (ši tyrimo dalis yra reikšmingas teorinis pagrindas tolesniems tyrimo etapams); 2) sudėtinio kibernetinio saugumo indekso sudarymo metodika; 3) sukurtas sudėtinio kibernetinio saugumo indeksas, kurį sudaro šios pagrindinės dalys: 4 pagrindinės kibernetinio saugumo sritys, 22 konkretūs rodikliai pagal sritis, konkretus kiekvieno rodiklio svoris, klausimynų, skirtų vidiniam kiekvieno rodiklio vertinimui organizacijoje, modelis. Siūlomas finansų institucijų kibernetinio saugumo vertinimo būdas – sudėtinis kibernetinio saugumo indeksas – yra išsamus ir veiksmingas įrankis, leidžiantis įvertinti kibernetinio saugumo lygį, nustatyti silpnąsias vietas, inicijuoti pokyčius organizacijoje siekiant pagerinti kibernetinio saugumo lygį.