Glatz, G. (2007). Developing an implementation for an information security metrics program at Raiffeisen Informatik GmbH [Master Thesis, Technische Universität Wien]. reposiTUm. http://hdl.handle.net/20.500.12708/181908
Information Security; Security; Metrics; Measurement
en
Abstract:
Im Bereich des IT Management sind kleine und mittlere Unternehmen oft mit dem Problem konfrontiert, dass sie nur über wenige Informationen betreffend den eigenen Informationssicherheitsstatus verfugen. Entscheidungen die Informationssicherheit (IS) betreffend werden deswegen oft nur basierend auf unvollständiger Daten und subjektiven Meinungen getroffen. Diese Arbeit geht auf diese Problemstellung ein und beschreibt den Entwurf für ein Sicherheitsmetrikenprogramm für die Raiffeisen Informatik GmbH (R-IT), einem österreichischen IT Service Provider. Dieses Programm gibt den Verantwortlichen für IS im Unternehmen die Möglichkeit Informationen über den IS-Status zu erhalten, Verbesserungspotential im IS-Management zu identifizieren, IS-Investitionen vor dem Management zu rechtfertigen und letztendlich IS relevanten Input für die Balanced Scorecard zu erhalten. Aufbauend auf Erfahrungen mit Messungen in anderen Disziplinen wie zum Beispiel der Unternehmensführung oder dem Software Engineering und relevanten Standards und Richtlinien wird ein inkrementelles und iteratives Sicherheitsprogramm entworfen. Die wesentlichen Bestandteile dieses Programms sind die Metrikendefinition, Datensammlung, Reporting von Messergebnissen und die kontinuierliche Programmweiterentwicklung. Die Anwendung der Goal-Question-Metric Methode[BCR94] zur Definition qualitativer und quantitativer Sicherheitsmetriken ermöglicht die direkte Ableitung von Metriken von den IS Zielen des Unternehmens. Bei schrittweiser Implementierung des Sicherheitsmetrikenprogramms, entsprechend dem Reifegrad der IS Kontrollen und Prozeduren kann das Programm als wertvolles, kosteneffektives Werkzeug zur Entscheidungsunterstützung im IS-Management dienen.
In IT management small and medium sized enterprises often experience a lack of information regarding their information security status. Information security decisions therefore often are made solely based on incomplete data and subjective opinions. Addressing this problem this thesis tries to design a security metrics program for Raiffeisen Informatik GmbH (R-IT), an Austrian IT service provider which gives security personnel the possibility to assess the security level of their company, identify problem areas for information security, justify investments in security in front of management and finally provide input for the balanced scorecard system. Based on measurement experiences of other disciplines like business management and software engineering and relevant standards and guidelines an incremental and iterative security metrics program is proposed, main program parts being metrics design, data collection, reporting and continuous program improvement. By using the Goal-Question-Metric method[BCR94] for defining qualitative and quantitative security metrics the program enables company management to directly link measurements to information security goals. If implemented gradually, starting small and corresponding to the maturity level of information security controls and procedures the program can serve as a valuable, cost-effective tool for IS decision support.