Evaluation of IT risk management tools

Abstract

Informationssicherheit ist immer ein Wechselspiel zwischen Freiheit (oder Usability) und Sicherheit. Ein Gleichgewicht zu finden, in dem ein Maximum an Sicherheit und ein Maximum an Usability herrscht, ist eines der Hauptprobleme. Während aber IT Personal von Usability redet sind Entscheidungsträger in Organisationen an Kosteneffizienz interessiert. Da historische Informationen über IT Angriffe fehlen führt der einzige Weg über Risiko Management. Methoden wie ALE (Annual Loss Expectancy) oder ROSI (Return on Security Investment) sind, oberflächlich betrachtet, einfach zu verwenden, aber es zeigt sich schnell das diese Methoden alles andere als akkurat sind. IT Sicherheitsbedrohungen, aber auch Sicherheitsmaßnahmen haben erheblichen Einfluss aufeinander, sodass eine einfache Bewertung ihrer Wahrscheinlichkeit oder ihres Benefits zu keinem aussagekräftigen Ergebnis führt. Der Fokus dieser Arbeit liegt daher nicht in der Entwicklung einer weiteren Lösung, sondern in der Evaluierung von bestehender Software, die IT Risiko Management unterstützt. Drei Tools (GSTool, CRISAM Explorer, AURUM) wurden aus zwei Gründen evaluiert.<br />Erstens um zu entscheiden welches Tool die beste Unterstützung für einen Risiko Manager bietet und zweitens um Kriterien für eine Evaluierung zu definieren. Diese Kriterien sind dazu geeignet um Risiko Management Software zu bewerten. Das System kann außerdem so angepasst werden, dass es den einzelnen Präferenzen von Unternehmen entspricht. Gängige Evaluierungsmethoden sind spezialisiert auf die einzelnen Risiko Management Methoden und geben nur einen oberflächlichen Überblick. Sie berücksichtigen nicht, dass die meisten Methoden ohne geeignete Softwareunterstützung nicht effizient zu verwenden sind.<br />Das Ergebnis der Evaluierung zeigte, dass die wichtigsten Kriterien Automatisierung und Kosten / Nutzen Analyse sind. Automatisierung, weil IT Umgebungen einem ständigen Wandel unterzogen sind und demnach auch die Risikobewertung. Kosten / Nutzen Analyse, weil mit jedem zusätzlichen Element in der Umgebung der Lösungsraum überproportional ansteigt. AURUM hat deswegen entscheidende Vorteile gegenüber den anderen Tools, da es neue Wege im Bereich der Automatisierung von Risikoberechnungen und der computerunterstützten Kosten / Nutzen Analyse geht.<br />

Information security is always a trade-off between freedom (or usability) and security. The problem is, to find the specific equilibrium, where there is a maximum of security with an coincidental maximum of usability. However, while IT personnel talks about usability, what the decision makers in organizations are really interested in, is cost efficiency. And since historical information about security incidents is missing, the only way to approach this problem is by using risk management.<br />Methods like annual loss expectancy or return on security investment seem easy to use, but soon show that the results are all but accurate. Computer security threats and vulnerability, but also security controls themselves have too much influence on each other to easily evaluate their likelihood or benefit. Although many risk management frameworks exist, only a handful of them are designed from the beginning to be computer supported.<br />This master thesis focuses not on the development of a specific solution, but on the evaluation of existing tools. Three risk management tools (GSTool, CRISAM Explorer, AURUM) were evaluated for two purposes. Firstly, to decide which tool offers best support for an IT risk manager of a large company and secondly to define criteria for an evaluation framework for risk management tools. With those criteria it is possible to evaluate every risk management software. The framework can also be adapted, to accommodate the needs of a specific organization. Current evaluation frameworks are focused on risk management methods and give a shallow overview. That is also why they do not consider that most frameworks become unusable without proper tool support.<br />The result of the evaluation showed, that the most important criteria are Automation and Cost / Benefit analysis. Automation, because IT environments change rapidly and so does the risk analysis. Cost / Benefit analysis, because with the number of elements in an environment, the solution space becomes exponentially larger. AURUM has therefore advantages over the other tools, because it uses new approaches in the areas of automatic risk management and computer-supported cost / benefit analysis.<br />