DOI QR코드

DOI QR Code

Optimization of Information Security Investment Portfolios based on Data Breach Statistics: A Genetic Algorithm Approach

침해사고 통계 기반 정보보호 투자 포트폴리오 최적화: 유전자 알고리즘 접근법

  • Jung-Hyun Lim (Department of MIS, Chungbuk National University) ;
  • Tae-Sung Kim (Department of MIS, Chungbuk National University)
  • 임정현 (충북대학교 대학원 경영정보학과 ) ;
  • 김태성 (충북대학교 경영정보학과)
  • Received : 2020.03.01
  • Accepted : 2020.03.17
  • Published : 2020.05.31

Abstract

Information security is an essential element not only to ensure the operation of the company and trust with customers but also to mitigate uncertain damage by preventing information data breach. Therefore, It is important to select appropriate information security countermeasures and determine the appropriate level of investment. This study presents a decision support model for the appropriate investment amount for each countermeasure as well as an optimal portfolio of information countermeasures within a limited budget. We analyze statistics on the types of information security breach by industry and derive an optimal portfolio of information security countermeasures by using genetic algorithms. The results of this study suggest guidelines for investing in information security countermeasures in various industries and help to support objective information security investment decisions.

정보보호는 기업의 운영과 고객의 신뢰를 보장하는 필수요소이며 침해사고 예방을 통해 불확실한 피해를 완화시킬 수 있기 때문에 적절한 정보보호 대책의 선택과 적정투자 수준을 결정하는 것이 중요하다. 본 연구는 다양한 산업군에 속해있는 기업에서 정보보호 대책 투자에 활용할 수 있는 예산 범위에서 구성할 수 있는 최적의 정보보호 대책 포트폴리오 구성뿐만 아니라, 각 대책의 적절한 투자 수준에 대한 의사결정 지원 모델을 제시한다. 이를 위하여 산업군별 침해사고 유형 통계를 분석하고 유전자 알고리즘을 활용하여 최적 정보보호 대책 투자 포트폴리오를 도출한다. 도출된 모델을 기존 유전자 알고리즘을 이용한 정보보호 대책 투자 최적화 모델과 비교하고 기업 대상 설문 조사를 통하여 실제 사례를 분석한다.

Keywords

Acknowledgement

이 논문은 2018년 대한민국 교육부와 한국연구재단의 지원을 받아 수행된 연구임(NRF-2018S1A5A2A01039356).

References

  1. 공희경, 전효정, 김태성, "AHP를 이용한 정보보호투자 의사결정에 대한 연구", Journal of Information Technology Applications & Management, 제15권, 제1호, 2008, pp. 139-152. 
  2. 과학기술정보통신부, 2018 정보보호실태조사, 2019. 
  3. 김길환, 양원석, 김태성, "유전자 알고리즘을 이용한 정보보호 대책 투자 포트폴리오의 최적화", 한국통신학회논문지, 제43권, 제2호, 2018, pp. 439-451.  https://doi.org/10.7840/kics.2018.43.2.439
  4. 김종기, 김지윤, "정보보호 의사결정에서 정보보호 침해사고 발생가능성의 심리적 거리감과 상대적 낙관성의 역할", Information Systems Review, 제20권, 제3호, 2018, pp. 51-71.  https://doi.org/10.14329/isr.2018.20.3.051
  5. 안랩, 보안용어사전, 2019.11.19, Available at https://www.ahnlab.com/kr/site/main.do. 
  6. 양대일, 정보보호개론, 한빛아카데미, 2016. 
  7. 양원석, 김태성, 박현민, "확률모형을 이용한 정보보호 투자 포트폴리오 분석", 한국경영과학회지, 제34권, 제3호, 2009, pp. 155-163. 
  8. 임정현, 김태성, "정보보호 대책 수준을 고려한 정보보호 투자 최적화: 유전자 알고리즘 접근법", 한국IT서비스학회지, 제18권, 제5호, 2019, pp. 155-165.  https://doi.org/10.9716/KITS.2019.18.5.155
  9. 펜타시큐리티, 2019.11.19, Available at https://www.pentasecurity.co.kr/. 
  10. 한국인터넷진흥원, 중소기업 정보보호컨설팅 지원사업, 2019. 11. 25, Available at http://www.smb.isconsulting.kr. 
  11. 한국인터넷진흥원, 2017 정보보호실태조사, 2018. 
  12. Benaroch, M., "Real options models for proactive uncertainty-reducing mitigations and applications in cybersecurity investment decision making", Information Systems Research, Vol.29, No.2, 2018, pp. 315-340.  https://doi.org/10.1287/isre.2017.0714
  13. Biermann, E., E. Cloete, and L. M. Venter, "A comparison of intrusion detection systems", Computers & Security, Vol.20, No.8, 2001, pp. 676-683.  https://doi.org/10.1016/S0167-4048(01)00806-9
  14. Bodin, L. D., L. A. Gordon, M. P. Loeb, "Evaluating information security investments using the analytic hierarchy process", Communications of the ACM, Vol.48, No.2, 2005, pp. 78-83.  https://doi.org/10.1145/1042091.1042094
  15. Cavusoglu, H., B. Mishra, and S. Raghunathan, "A model for evaluating IT security investments", Communications of the ACM, Vol.47, No.7, 2004, pp. 87-92.  https://doi.org/10.1145/1005817.1005828
  16. Cavusoglu, H., B. Mishra, and S. Raghunathan, "The value of intrusion detection systems in information technology security architecture", Information Systems Research, Vol.16, No.1, 2005, pp. 28-46.  https://doi.org/10.1287/isre.1050.0041
  17. Fielder, A., E. Panaousis, P. Malacaria, C. Hankin, and F. Smeraldi, "Decision support approaches for cyber security investment", Decision Support Systems, Vol.86, 2016, pp. 13-23.  https://doi.org/10.1016/j.dss.2016.02.012
  18. Gordon, L. A. and M. P. Loeb, "The economics of information security investment", ACM Transactions on Information and System Security, Vol.5, No.4, 2002, pp. 438-457.  https://doi.org/10.1145/581271.581274
  19. Gupta, M., J. Rees, A. Chaturvedi, and J. Chi, "Matching information security vulnerabilities to organizational security profiles: A genetic algorithm approach", Decision Support Systems, Vol.41, No.3, 2006, pp. 592-603.  https://doi.org/10.1016/j.dss.2004.06.004
  20. Houmb, S. H. and V. N. Franqueira, "Estimating ToE risk level using CVSS", 2009 International Conference on Availability, Reliability and Security, IEEE, 2009, pp. 718-725. 
  21. Kong, H. K., T. S. Kim, and J. Kim, "An analysis on effects of information security investments: A BSC perspective", Journal of Intelligent Manufacturing, Vol.23, No.4, 2012, pp. 941-953.  https://doi.org/10.1007/s10845-010-0402-7
  22. Kumar, R. L., S. Park, and C. Subramaniam, "Understanding the value of countermeasure portfolios in information systems security", Journal of Management Information Systems, Vol.25, No.2, 2008, pp. 241-280.  https://doi.org/10.2753/MIS0742-1222250210
  23. Nespoli, P., D. Papamartzivanos, F. G. Marmol, and G. Kambourakis, "Optimal countermeasures selection against cyber attacks: A comprehensive survey on reaction frameworks", IEEE Communications Surveys Tutorials, Vol.20, No.2, 2017, pp. 1361-1396.  https://doi.org/10.1109/COMST.2017.2781126
  24. OWASP Top Ten Project, 2019.11.15, Available at https://www.owasp.org. 
  25. Ponemon Institute, 2018 International Data Breach Statistics, 2018. 
  26. Sonnenreich, W., J. Albanese, and B. Stout, "Return on security investment (ROSI)-a practical quantitative model", Journal of Research and Practice in Information Technology, Vol.38, No.1, 2006, pp. 45. 
  27. Verizon, 2019 Data Breach Investigations Report, 2019. 
  28. Viduto, V., C. Maple, W. Huang, and D. LoPez-PereZ, "A novel risk assessment and optimisation model for a multi-objective network security countermeasure selection problem", Decision Support Systems, Vol.53, No.3, 2012, pp. 599-610. https://doi.org/10.1016/j.dss.2012.04.001