Evaluation of differences between optimization algorithms for the selection of IT and IT-security investments

Abstract

How much IT-(Security) is enough? Many valuation methods have been developed, which try to define the value of IT and IT security investments. As criteria like Return on Investment (ROI) can be seen as a concept with a set of methods, tools, activities, and ideas, there is still no guide on how to apply, and combine those methods in order to invest in the right level of IT-(security). This thesis aims to reduce the gap between IT and IT security investments in order to improve the 1) Estimation of input variables for IT security investments, 2) Alignment of IT security investments to the organization's objectives, 3) Valuation of IT investment alternatives considering the appropriate level of IT security investments. This is performed by the evaluation of differences between IT and IT security investments, resulting in a framework, which includes those advantages. This framework is shown in action by means of a case study. It shows 1) How Cost/Benefit Analysis, Real Option Valuation, Analytical Hierarchy Process, and Multi Objective Decision Support can be appropriately applied considering the categorization the IT investment into low, medium, and high risk IT investment 2) The advantages resulting of a process based valuation for IT security investments with Multi Objective Decision Support.<br />

Wieviel IT-(Sicherheit) ist genug? Viele Bewertungsmodelle wurden entwickelt, welche versuchen den Wert von IT und IT-Sicherheit zu definieren. Da Kriterien, wie der Return on Investment (ROI), als Konzept mit eine Reihe von Methoden, Werkzeugen, Aktivitäten und Ideen angesehen werden kann, gibt es noch immer keine Anleitung wie diese Modelle angewendet und kombiniert werden sollen, um in die richtige Höhe an IT-(Sicherheit) zu investieren. Diese These verfolgt das Ziel die Kluft zwischen IT und IT-Sicherheit zu reduzieren, um die 1) Abschätzung von Eingabewerten für Investitionen in IT-Sicherheit, 2) Ausrichtung von Investitionen in IT-Sicherheit an den Zielen der Organisation, 3) Bewertung von alternativen IT-Investitionen unter Ber¨ucksichtigung der geeigneten Investitionen in IT-Sicherheit, zu verbessern. Dies wird durch die Evaluierung der Unterschiede zwischen Investitionen in IT und IT-Sicherheit durchgeführt, woraus ein Framework resultiert, welches diese Vorteile inkludiert. Die Anwendung dieses Frameworks wird durch eine Fallstudie gezeigt. Sie zeigt 1) Wie Cost/Benefit Analysis, Real Option Valuation, Analytical Hierarchy Process, und Multi Objective Decision Support passend unter Berücksichtigung der Kategorisierung der alternativen IT Investitionen in geringes, mittelmäßiges und hohes Risiko, angewendet werden kann, und 2) Die Vorteile die aus einer prozess-basierten Bewertung mit Multi Objective Decision Support von Investitionen in IT-Sicherheit resultiert.