Szacowanie kosztu działań pracowników w zarządzaniu bezpieczeństwem informacji

Codzienna praktyka pokazuje, że najbardziej istotnym składnikiem wydatków na cyberbezpieczeństwo są koszty związane z działaniami pracowników. Zarządzanie cyberbezpieczeństwem obejmuje wiele różnych aktywności, w tym pracę pracowników na wyznaczonych stanowiskach w zakresie cyberbezpieczeństwa, doradców lub stałego personelu zaangażowanego w projekty i inicjatywy związane z cyberbezpieczeństwem. Innym elementem często pomijanym w równaniu kosztów cyberprzestrzeni jest koszt związany z regularnym spędzaniem czasu na zadaniach związanych z cyberbezpieczeństwem przez pracowników przedsiębiorstw. Na przykład uczestnictwo w szkoleniach dotyczących cyberbezpieczeństwa, zapoznawanie się z politykami i procedurami dotyczącymi bezpieczeństwa cybernetycznego lub uczenie się nowych narzędzi wspierających bezpieczeństwo. Wszystkie te czynniki należy dokładnie rozważyć w analizie kosztów i korzyści związanych z cyberbezpieczeństwem (ang. Cost-Benefit Analysis - CBA). Tymczasem metody szacowania kosztów koncentrują się wyłącznie na zyskowej stronie równiania kosztów i korzyści, związanej z oszczędnościami wynikającymi z unikania incydentów.

CAsPeA - Cost Assessment of Personnel Activities in Information Security Management - to metoda, która uzupełnia portfel dostępnych metod szacowania kosztów zarządzania cyberbezpieczeństwem o komponente związany z kosztami pracy ludzkiej. Umożliwiając szacowanie kosztów działań personelu związanych z zarządzaniem cyberbezpieczeństwem, metoda ta ma na celu zapewnienie pełnego obrazu kosztów cyberbezpieczeństwa.

Bibliografia:

  • Leszczyna R., Litwin A.: Estimating the Cost of Cybersecurity Activities with CAsPeA: A Case Study and Comparative Analysis. In: Kanhere S., Patil V.T., Sural S., Gaur M.S. (eds) Information Systems Security. ICISS 2020. Lecture Notes in Computer Science, vol 12553. Springer, Cham (2020). https://doi.org/10.1007/978-3-030-65610-2_17
  • Leszczyna R.: Evaluating the Cost of Personnel Activities in Cybersecurity Management: A Case Study. In: Park N., Sun K., Foresti S., Butler K., Saxena N. (eds) Security and Privacy in Communication Networks. SecureComm 2020. Lecture Notes of the Institute for Computer Sciences, Social Informatics and Telecommunications Engineering, vol 336. Springer, Cham (2020). https://doi.org/10.1007/978-3-030-63095-9_17
  • Leszczyna, R.: Cost of Cybersecurity Management, pp. 127-147. Cybersecurity in the Electricity Sector. Springer International Publishing, Cham (2019). https://doi.org/10.1007/978-3-030-19538-0_5
  • Leszczyna, R.: Approaching secure industrial control systems. IET Information Security 9(1) (2015). https://doi.org/10.1049/iet-ifs.2013.0159
  • Leszczyna, R.: Cost assessment of computer security activities. Computer Fraud and Security 2013(7) (2013). https://doi.org/10.1016/S1361-3723(13)70063-0
  • Leszczyna, R.: Metoda szacowania kosztu zarządzania bezpieczeństwem informacji i przykład jej zastosowania w zakładzie opieki zdrowotnej. Zeszyty Kolegium Analiz Ekonomicznych (2017)

Więcej informacji można uzyskać pisząc na adres e-mailowy: cybsec NA zie.pg.gda.pl.