Browse

Cybersecurity Information Sharing Ecosystems: From the Perspective of Value Creation and Security Investments

Cited 0 time in Web of Science Cited 0 time in Scopus
Authors
Zahid Rashid
Advisor
Jörn Altmann
Issue Date
2019-08
Publisher
서울대학교 대학원
Keywords
Technology ManagementEconomics and Policy Program
Description
학위논문(박사)--서울대학교 대학원 :공과대학 협동과정 기술경영·경제·정책전공,2019. 8. Jörn Altmann.
Abstract
기업은 정보 보안의 수준을 향상시키기 위하여 보안 전략 트폴리오를 활용하고 있다. 기업에서 효과적인 보안 수준을 달성하려면 여러 정보 보안 전략에 대한 투자가 필요하다. 이러한 보안 전략은 사이버 보안 정보 공유, 공격 탐지, 예방, 취약성 감축, 위험 평가, 위협 억제, 교육 및 훈련 등을 포함한다.
지난 수십년에 걸쳐 연구자들이 정보 보안 분야를 연구했지만, 정보 보안은 기업에게 여전히 매우 높은 수준의 위험으로 작용할 수 있는 불확실한 분야로 여겨진다. 새로이 증가하고 있는 정보 보안의 복잡성은 기업의 지속적인 보안 상태를 위해 상세히 살펴볼 많은 문제가 존재함을 반영한다. 우리는 정보 보안의 다양한 분야에 대한 기존 문헌을 검토하여 그간 해소되지 못하였고 앞으로도 많은 연구를 필요로 하는 두 가지의 중요한 연구 문제를 확인하였다. 따라서, 본 논문은 이 두 가지 연구 문제에 대한 해결책을 차례로 제시하여 해당 연구 문제들을 해소한다.
첫 번째로 본 논문은 사이버 보안 정보 공유 생태계의 이해당사자를 위한 가치 창출에 대해 조사한다. 조직의 보안 상태를 향상시키기 위한 정보의 활용은 보안 정보 공유 생태계의 진화로 이어진다. 사이버보안 해결책 제공자, 정보 제공자, 최종 사용자, 정부 기관, 그리고 표준화 주체 등이 보안 정보 공유 생태계를 구성하는 다섯 가지 주요 이해관계자다.
이러한 이해관계자들은 서로 다른 가치를 얻고, 그들의 가치 창출은 상호간 연관되어 있으며 복잡한 가치 분배 시스템을 만든다. 해결책과 정보 제공자와 같은 새로운 진입자들에게 해당 시장은 매우 매력적이지만 그들의 생존율은 매우 낮으며 대다수는 수년 내 사라진다. 우리는 이해관계자 사이의 복잡한 상호의존성을 만들어 이해관계자들의 가치에 동시에 영향을 미치는 일곱 가지 매개변수를 확인한다. 비용을 최소화하여 이해당사자의 효용과 이익을 잘 조정하기 위해서는 가치의 창출과 분배를 이해하는 젓이 중요하다. 창출되는 가치와 비즈니스 전략 및 정책 수립을 위한 사이버 보안 정보 공유 생태계의 이해관계자가 얻는 가치 사이에는 차이가 존재한다.
본 논문에서는 사이버보안 정보 공유 생태계에 속한 이해당사자들이 충분한 가치를 창출할 수 있는지의 여부에 대해 연구한다. 또한 이해관계자 간의 상호관계를 분석하였다. 그 결과 가치 창출과 이해당사자 사이의 가치 분배의 모형과 가치 매개 변수가 이해당사자가 얻는 가치에 미치는 영향을 결정짓는 모형을 도출하였다. 본 연구의 시뮬레이션 결과는 최종 사용자가 가치의 주요 원천이라는 점과 보안 생태계의 모든 이해당사자들이 최종사용자의 성장하는 설치 기반으로부터 이익을 얻는다는 점을 보인다. 또한, 현재의 가치 창출 모형에서 사이버 보안 해결책 제공자의 가치는 정보 제공자보다 높음을 확인하였다. 포화된 시장에서는 사이버보안 해결책과 정보 원천의 높은 가격으로 인해 가치 창출과 분배의 잠재적 지속 불가능성이라는 위험이 존재한다. 이 연구의 결과는 사업 관리자들에게 사이버 보안 제공자와 정보 제공자에 대한 사업 모형과 가격 제도에 관련된 정책 결정의 측면에 함의를 제공한다.
두 번째 연구 문제와 관련하여 본 논문에서는 사이버 보안 정보 관리 시스템을 위한 기업들의보안 투자 정당성 확립 문제에 대해 연구한다. 공격 보호와 탐지 능력을 향상시키기 위해 여러 종류의 보안 도구가 사용된다. 기업의 보안 상황 인식에 대한 개선을 위해 기업의 내부 및 외부적 사이버 보안 정보를 관리하는데 위 도구들과 함께 사이버 보안 정보 관리 시스템이 활용된다. 기업이 효과적인 수준의 정보 보완을 얻기 위해서는 충분한 양의 자금을 확보할 수 있어야 한다. 따라서, 정보 보안 분야의 투자와 관련하여, 보안 관리자들은 책임 관리자들로부터 자금에 대한 허가를 얻기 위해 적절한 정당성과 편익 분석을 제시해야 한다.
사이버 보안 정보 관리 시스템의 경우, 투자 정당성의 확보에는 성과 평가와 해당 시스템으로부터 얻어지는 기업의 누적 이익을 연결 짓는 체계적 방식이 필요하다. 우리는 시스템 역학 모형을 이용하여 투자가 보안 비용, 탐지 능력, 누적 이익, 공격자의 가치, 성공적 공격, 사전 예방된 공격, 그리고 피해 규모의 측면에서 시스템 보안 정보 관리 시스템에 미치는 영향을 분석하였다. 그 결과, 해당 시스템이 기업에게 1) 정보보안 수준을 증가 2) 기업의 운영 비용 감축 3) 누적 이익의 상당한 증가라는 세 가지 측면의 이익을 제공함을 확인하였다. 보안 관리자들은 사이버 보안 정보 관리 시스템과 기타 보안 도구에 대한 투자를 위한 정당성을 확립하는데 본 모형을 사용할 수 있다.
Enterprises are employing a portfolio of security strategies to enhance their level of information security. Achieving an effective level of security in enterprises require investments in multiple information security strategies. These security strategies include cybersecurity information sharing, attack detection, prevention, vulnerability reduction, risk assessment, threat deterrence, education and training.
Although researchers have studied several areas of information security over the last few decades, but it is still considered as an uncertain area, which can pose very high level of risks to enterprises. The emerging complexity of information security reflects the fact that there are still a lot of issues to be investigated for sustainable security posture of enterprises. By reviewing the existing literature from the several areas of information security, we have identified two major research problems that are not fully addressed so far and need further investigations. Therefore, this dissertation deals with these two main research problems and propose their solutions, respectively.
With respect to the first, this thesis investigates the stakeholders value creation in cybersecurity information sharing ecosystems. The utilization of information for improving the security posture of organizations resulted in the evolution of cybersecurity information sharing ecosystems. There are five major types of stakeholders in cybersecurity information sharing ecosystems including cybersecurity solution providers, information providers, end users, government organizations and standardization bodies. These stakeholders obtain different values, their value creation is interrelated, and creating a complex value distribution system. The market is highly attractive for new entrants (i.e., solution and information providers), but their survival rate is very low and most of them disappear within couple of years. We have identified seven value parameters, which can simultaneously impact the values of stakeholders, forming a complex interdependency among the stakeholders. In order to better align the utilities and profits of stakeholders, understanding of value creation and distribution is a critical step forward to minimize the cost of security. There is a gap in determining the value creation and values obtained by stakeholders in cybersecurity information sharing ecosystem for formulation of business strategies and policies.
In this study, we investigated whether all the involved stakeholders in cybersecurity information sharing ecosystems are generating sufficient value. In addition, interrelationships among the stakeholders are also analyzed. The outcome of the study shows a model of value creation and distribution among the stakeholders, and an another model to determine the effects of value parameters on the values obtained by stakeholders. Our simulation results show that, end users are the main source of value, and all stakeholders in the ecosystem mainly benefit from a growing installed base of end users. Further, the results show that in the current value creation model, the value of cyber security solution providers is higher than the information providers. In the saturated market, there is a risk of potential unsustainability of the value creation and distribution, due to the high prices of the cybersecurity solutions and information sources. The findings of this study have implications for business managers with respect to policy decisions related to the business models and pricing schemes for the cybersecurity solution providers and information providers.
With respect to the second research problem, this thesis investigate the issue of establishing justifications related to security investments within enterprises specifically for the cybersecurity information management systems. Several kinds of security tools are being employed in enterprises to enhance the cyber-attacks protection and detection abilities. In combination with these security tools, cybersecurity information management systems are utilized for managing the enterprises internal and external cybersecurity information for improving the security situational awareness of the enterprises. Attaining an effective level of information security in enterprises, requires the availability of sufficient amount of funds. Therefore, for investments in any area of information security, the security managers have to provide appropriate justifications and a cost benefit analysis for approval from the executive management and for the sanction of funds.
In the case of cybersecurity information management systems, formulation of investment justifications requires a systematic method that can bridge the performance evaluation and cumulative benefits of enterprises obtained from these systems. Using a system dynamics model, we analyzed the impact of investments in cybersecurity information management systems in terms of security cost, detection ability, cumulative benefits, attackers value, successful attacks, prevented attacks and damage magnitude. The results suggest that these systems bring threefold benefits to the enterprises: (1) increase the level of information security; (2) reduction in operating cost of enterprise; and (3) significantly increase the cumulative benefits. The security managers can use this model to establish the foundation of justifications for investment in the cybersecurity information management systems and other security tools.
Language
eng
URI
https://hdl.handle.net/10371/162028

http://dcollection.snu.ac.kr/common/orgView/000000157566
Files in This Item:
Appears in Collections:
College of Engineering/Engineering Practice School (공과대학/대학원)Program in Technology, Management, Economics and Policy (협동과정-기술·경영·경제·정책전공)Theses (Ph.D. / Sc.D._협동과정-기술·경영·경제·정책전공)
  • mendeley

Items in S-Space are protected by copyright, with all rights reserved, unless otherwise indicated.

Browse