Implementing a Quantitative Risk Management Methodology in a Cyber Exercise
Nakamura, Petteri (2020)
2020
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
http://urn.fi/URN:NBN:fi:amk-2020121428013
http://urn.fi/URN:NBN:fi:amk-2020121428013
Tiivistelmä
Kvalitatiiviset riskinhallintamenetelmät ovat yleisesti käytössä kyberturvallisuusalalla, siitä huolimatta, että tutkimukset osoittavat useita lähestymistavasta johtuvia ongelmia. Lähtökohtaisesti kvantitatiiviset menetelmät perustuvat kvalitatiivisia menetelmiä vankemmin tieteelliseen tutkimukseen ja mahdollistavat suuremman joustavuuden riskianalyysissä. Ne myös mahdollistavat sekä yksittäisten riskien, että myös kokonaisten riskiportfolioiden rahallisen arvon arvostuksen. Riskien arvon ilmaiseminen rahayksiköissä taas mahdollistaa paremman viestinnän riskianalyytikoiden ja päättäjien välillä kuin kvalitatiiviset ilmaisut, kuten "matala", "keskitasoinen" tai "korkea" tai kvalitatiiviset asteikot esimerkiksi yhdestä viiteen.
Kirjallisuusanalyysi tehtiin vastaavien kvantitatiivisten menetelmien käyttöönottoon liittyvien tutkimusten löytämiseksi sekä nykyisin tarjolla olevien menetelmien löytämiseksi. Kaksi saman tyyppistä menetelmää erottui tästä massasta; Factor Analysis of Information Risk (FAIR) ja Hubbard and Seiersen -menetelmä. Jälkimmäinen valittiin tapaustutkimukseen, jossa tutkittiin kvantitatiivisen lähestymistavan toteuttamista kyberharjoituksen yhteydessä kevään 2019 aikana. Kyberharjoitusta käytettiin simuloimaan pientä organisaatiota, jotta voitiin selvittää, onko tällaiselle organisaatiolle mahdollista käyttää Kvantitatiivista lähestymistapaa kvalitatiivisen sijasta. Tapaustutkimuksen toisena tavoitteena oli myös saada kokemusta valitun kvantitatiivisen lähestymistavan toteuttamisesta ja käytöstä.
Hubbardin ja Siersenin menetelmä osoittautui käyttökelpoiseksi harjoituksessa. Käytännön työkalu kehitettiin kvantitatiivisen mallin jatkuvaksi päivittämiseksi harjoituksen edetessä kerätyn datan avulla. Kvantitatiivisen menetelmä todettiin käyttökelpoiseksi myös pienissä organisaatioissa ja ideoita mahdolliseen jatkotutkimukseen esitettiin.
Kirjallisuusanalyysi tehtiin vastaavien kvantitatiivisten menetelmien käyttöönottoon liittyvien tutkimusten löytämiseksi sekä nykyisin tarjolla olevien menetelmien löytämiseksi. Kaksi saman tyyppistä menetelmää erottui tästä massasta; Factor Analysis of Information Risk (FAIR) ja Hubbard and Seiersen -menetelmä. Jälkimmäinen valittiin tapaustutkimukseen, jossa tutkittiin kvantitatiivisen lähestymistavan toteuttamista kyberharjoituksen yhteydessä kevään 2019 aikana. Kyberharjoitusta käytettiin simuloimaan pientä organisaatiota, jotta voitiin selvittää, onko tällaiselle organisaatiolle mahdollista käyttää Kvantitatiivista lähestymistapaa kvalitatiivisen sijasta. Tapaustutkimuksen toisena tavoitteena oli myös saada kokemusta valitun kvantitatiivisen lähestymistavan toteuttamisesta ja käytöstä.
Hubbardin ja Siersenin menetelmä osoittautui käyttökelpoiseksi harjoituksessa. Käytännön työkalu kehitettiin kvantitatiivisen mallin jatkuvaksi päivittämiseksi harjoituksen edetessä kerätyn datan avulla. Kvantitatiivisen menetelmä todettiin käyttökelpoiseksi myös pienissä organisaatioissa ja ideoita mahdolliseen jatkotutkimukseen esitettiin.