研究论文

信息安全投资：如何确定优先级？

作者:

玛丽亚娜·巴蒂斯塔奥利维拉,

阿尔弗雷多高盛、和

约瑟夫约德作者信息和声明

SBSI’24：第20届巴西信息系统研讨会会议记录

2024年5月

文章编号：12，页数1-8

https://doi.org/10.1145/3658321.3658363

出版:2024年5月23日出版历史

获取访问权限

摘要

背景：在一个供应链越来越复杂的数字化世界中，人们担心共享信息的安全性。为了突出相关风险，公司开展了信息安全风险评估（ISRA），以衡量与第三方共享信息相关的风险。有几十个风险框架被用作创建信息安全风险评估表的基础。在大多数情况下，这些表格会根据每个公司的实际情况进行调整，产生大量可以提问的问题或优先考虑的主题。这种广泛的可能性导致信息安全供应商管理流程的效率低下。此外，这使得很难优先考虑那些最有助于提高公司信息安全成熟度或这些公司适合市场需求的主题。问题：公司在信息安全方面没有无限的投资资源。由于网络犯罪的增加以及市场需求的增加，人力和财力资源必须用于市场最需要的主题和调整。目前关于这一主题的研究主要集中在比较风险框架或试图提高其效率，然而，对于市场需求的研究很少。方法：在本研究中，对跨国公司发送给巴西医疗运营商的5份信息安全风险评估表进行了定性分析。Atlas TI工具用于确定最经常出现的主题。结果：被评估的5家公司最相关的主题是信息安全政策的存在、事件预防和响应计划、对立法和合规性的适应，以及确保数据的保护和隐私。该公司在金融领域的ISRA问题最多，这表明该行业在信息安全领域的供应商管理方面更加成熟。

工具书类

[1]

马里奥·安图内斯（Mário Antunes）、玛丽莎·马克西米亚诺（Marisa Maximiano）和里卡多·戈麦斯（Ricardo Gomes）。2022.以客户为中心的信息安全和网络安全审计框架。应用科学（瑞士）12，9（2022）。https://doi.org/10.3390/app12094102引用人：2；全开放存取，黄金开放存取。

[2]

拉维·阿斯塔霍娃。2020年，组织信息安全风险评估方法的有效性。科学和技术信息处理47（2020），241-247。

数字图书馆

[3]

Maria Bada和Jason RC护士。2020年。网络攻击的社会和心理影响。新兴网络威胁和认知漏洞。爱思唯尔，73-92岁。

[4]

米歇尔·贝纳罗奇（Michel Benaroch）。2021.第三方引发的网络事件-无事生非？《网络安全杂志》7，1（2021），tyab020。

[5]

巴西。2012年12月65日，2012年5月25日。巴西联邦政府代表（2012年）。http://www.planalto.gov.br/ccivil_03/_Ato2011-2014/2012/Lei/L12651.htm

[6]

J Scott Brennen和Daniel Kriss。2016.数字化。国际传播理论与哲学百科全书（2016），1-11。

[7]

迈克·查普尔、詹姆斯·迈克尔·斯图尔特和达里尔·吉布森。2018年（ISC）2 CISSP认证信息系统安全专业人员官方学习指南。约翰·威利父子公司。

[8]

思科。2023.思科网络安全就绪指数。https://www.cisco.com/c/dam/m/en_us/products/security/cybersecurity-reports/cybersecurity-readiness-index/2023/cyberssecurity-Readinesses-index-report.pdf

[9]

W Alec Cram、Jeffrey G Proudfoot和John D’arcy。2017年，《组织信息安全政策：审查和研究框架》，《欧洲信息系统杂志》26（2017），605-641。

[10]

邓子杰、冯国聪、黄清水、邹红和张佳发。2022.基于贝叶斯神经网络的企业信息安全风险评估系统研究。2022年IEEE第二届数据科学与计算机应用国际会议（ICDSCA）。IEEE，938–941。

[11]

埃尼萨。2023.可互操作的欧盟风险管理框架。https://www.enisa.europa.eu/publications/interoperable-eu-risk-management-framework

[12]

欧洲委员会。2016年4月27日欧洲议会和理事会关于在个人数据处理方面保护自然人以及此类数据的自由流动的第2016/679号法规（EU），并废除第95/46/EC号指令（一般数据保护法规）（与EEA相关的文本）。https://eur-lex.europa.eu/eli/reg/2016/679/oj

[13]

埃米利奥·格拉纳多斯·佛朗哥、理查德·卢卡奇、玛丽·索菲·米勒、菲利普·谢特勒·琼斯和萨迪亚·扎希迪。2020年，新冠肺炎风险展望：初步绘图及其影响。世界经济论坛。

[14]

加特纳。2023.数字化的定义。https://www.gartner.com/en/information-technology/glossary/digitalization网站

[15]

玛格丽塔·海特（Margareta Heidt）、金·普·格拉赫（Jin P Gerlach）和彼得·布克斯曼（Peter Buxmann）。2019.调查中小企业和大公司之间的安全鸿沟：中小企业特征如何影响组织IT安全投资。信息系统前沿21（2019），1285-1305。

数字图书馆

[16]

Omer F Keskin、Kevin Matthe Caramancion、Irem Tatar、Owais Raza和Unal Tatar。2021.网络第三方风险管理：非侵入性风险评分报告的比较。电子学10，10（2021），1168。

[17]

Fotis Kitsios、Elpiniki Chatzidimitriou和Maria Kamariotou。2022.制定信息安全管理系统影响评估的风险分析战略框架：IT咨询行业的案例研究。可持续发展14，3（2022），1269。

[18]

杰迪普·科塔克（Jaidip Kotak）、伊丹·哈布勒（Edan Habler）、奥列格·布罗德（Oleg Brodt）、阿萨夫·沙布泰（Asaf Shabtai）和尤瓦尔·埃洛维奇（Yuval Elovici）。2023.信息安全威胁和在家工作文化：分类、风险评估和解决方案。传感器23、8（2023）、4018。

[19]

Ievgenia Kuzminykh、Bogdan Ghita、Volodymyr Sokolov和Taimur Bakhshi。2021.信息安全风险评估。百科全书1，3（2021），602-617。

[20]

Harjinder Singh Lallie、Lynsay A Shepherd、Jason RC Nurse、Arnau Erola、Gregory Epiphaniou、Carsten Maple和Xavier Bellekens。2021.新冠肺炎时代的网络安全：大流行期间网络犯罪和网络攻击的时间表和分析。计算机与安全105（2021），102248。

[21]

达沃·马切克、伊万·马格达莱尼奇和N BegićevićRe ddhep。2020年。关于信息安全风险评估中多标准决策方法应用的系统文献综述。《国际安全与安保工程杂志》10，2（2020），161-174。

[22]

B恩杜瓦。2021.帮助抵御与新冠肺炎（COVID-19）骗局相关的钓鱼攻击增加30000%。CGI-UK（2021）。

[23]

经合组织。2017年创业一瞥2017。148页。https://doi.org/https://doi.org/10.1787/enterpreneur_aag-2017年年初

[24]

Johan A Oldekop、Rory Horner、David Hulme、Roshan Adhikari、Bina Agarwal、Matthew Alford、Oliver Bakewell、Nicola Banks、Stephanie Barrientos、Tanja Bastia，2020年。新冠肺炎和全球发展案例。世界发展134（2020），105044。

[25]

Neena Pandey，Abhipsa Pal，2020年。新冠肺炎疫情期间数字激增的影响：研究和实践的观点。《国际信息管理杂志》55（2020），102171。

[26]

I Nyoman Pujawan和Alpha Umaru Bah。2022.新冠肺炎疫情下的供应链中断：文献综述和研究议程。《供应链论坛：国际期刊》第23卷。Taylor&Francis，81–95岁。

[27]

普华永道。2022.2022年全球数字信托洞察力调查。https://www.pwc.com.br/pt/estudos/servicos/consultoria-negocios/2021/global-digital-trust-insights-survey-2022.html

[28]

Katia Romero Felizardo Scannavino、Elisa Yumi Nakagawa、Sandra Camargo Pinto Ferraz Fabbri和Fabiano Cutigi Ferrari，2017年。修订Sistemática da Literatura em Engenharia de Software：teoria e prática。爱思唯尔。

[29]

Ljilja Sikman，Nermin Sarajlic，2022年。安全信息管理系统UIS（大学信息系统）评估的模糊专家系统建模。《Tehnićki vjesnik》29，1（2022），60-65。

[30]

Luiz Alberto Silva Junior和Marcelo Brito Carneiro Leão。2018.O软件Atlas。内容分析：分析和罗波蒂卡·恩西诺（Ensino de Ciéncias em tess brasileiras）。Ciáncia&Educaçáo 24，3（2018），715-728。

[31]

Pesquisa Datafolha风暴研究所。2022年3月3日Cibersegurança的Pesquisa Tempest。https://www.tempest.com.br/categoria_editoriais/pesquisas-de-mercado网站/

[32]

王军（Jun Wang）、罗伯特·布鲁克斯（Robert Brooks）、邢璐（Xing Lu）和亨特·霍尔绍尔（Hunter M Holzhauer）。2014.增长/价值、市值和动量。《投资杂志》23，1（2014），33–42。

[33]

魏志伟、吴伟臣和朱亚芝。2018年信息安全风险识别推荐机制绩效评估。神经计算279（2018），48–53。

索引术语

信息安全投资：如何确定优先级？
1. 安全和隐私
  1. 安全和隐私的人类和社会方面
    1. 安全和隐私方面的可用性
  2. 安全服务
    1. 数字版权管理

建议

信息安全风险评估（ISRA）分类

信息在所有组织中都是一项长期重要的业务资产。因此，它必须像其他有价值的资产一样受到保护。这就是信息安全的目标，信息安全计划提供了这种。。。
阅读更多信息
信息安全威胁：影响、概率和防范的比较分析

目标是：（1）根据感知到的影响和感知到的这些威胁发生概率，确定信息安全威胁的风险评估；（2）根据……确定风险缓解程度。。。
阅读更多信息
论促进者在信息安全风险评估中的作用
摘要
在信息安全历来是管理的一部分并且为其设计了风险评估方法的组织中，有既定的风险沟通方法。例如，在。。。
阅读更多信息

评论

信息和贡献者

问询处

发布于

封面图片ACM其他会议

SBSI’24：第20届巴西信息系统研讨会会议记录

2024年5月

708页

国际标准图书编号：9798400709968

内政部：10.1145/3658271

版权所有©2024 ACM。

允许制作本作品的全部或部分数字或硬拷贝供个人或课堂使用，但不收取任何费用，前提是复制品的制作或分发不是为了盈利或商业利益，并且复制品在首页注明本通知和完整引文。必须尊重作者以外的其他人对本作品组成部分的版权。允许用信用证进行摘要。要以其他方式复制或重新发布，在服务器上发布或重新发布到列表，需要事先获得特定许可和/或付费。从请求权限[电子邮件保护].

出版商

计算机协会

美国纽约州纽约市

出版历史

出版：2024年5月23日

权限

请求对此文章的权限。

检查更新

作者标记

限定符

研究文章
研究
推荐有限公司

会议

SBSI’24

SBSI’24:XX巴西信息系统研讨会

2024年5月20日至23日

巴西Juiz de Fora

接受率

557份提交文件中的总体接受率181份，32%

贡献者

其他指标

查看文章指标

文献计量学和引文

文献计量学

文章指标

0
引文总数
9
下载总量

下载次数（过去12个月）9
下载次数（最近6周）4

其他指标

查看作者指标

引文

视图选项

获取访问权限

登录选项

检查您是否可以通过登录凭据或您的机构访问本文。

完全访问权限

获取此出版物

查看选项

PDF格式

以PDF文件查看或下载。

电子阅读器

使用联机查看电子阅读器.

电子阅读器

HTML格式格式

在中查看本文HTML格式格式。

媒体

数字

其他

桌子