بازرسی در امنیت فناوری اطلاعات : مدل تصمیم گیری ارزیابی امنیت IT
برای هماهنگی با قوانین روزافزون حریم خصوصی، استانداردها و مقررات بانکداری و حسابداری اولویت بالایی برای بسیاری از سازمان ها هستند. بازرسی سیستم ها و امنیت اطلاعات برای ارزیابی کارایی کنترل های IT برای آزمودن این هماهنگی لازم اند. اما بازرسی های سیستم ها و امنیت اطلاعات برای همه سازمان ها اجباری نیستند. با در نظر گرفتن هزینه های مختلف شامل هزینه-های فرصت، مسئله تصمیم گیری در زمینه زمان اجرای بازرسی امنیتی و طراحی پاداش های مدیریتی شامل هزینه های فرصت بخش مهمی از فرآیند کنترل سازمان می شود.
دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
سرفصل های این مطلب
با این ملاحظات، این مقاله یک مدل تصمیم ارزیابی عملکرد امنیت IT برای اجرا یا عدم اجرای بازرسی امنیت IT توسعه می دهد. یک تعمیم بیسی تأثیر اطلاعات تازه را درباره فضای امنیتی بر تصمیم می سنجد. از آن جا که ممکن است مدیران امنیتی به گونه ای فرصت طلبانه عمل کنند، این مدل شامل هزینه های کارگزاری برای تعیین پرداخت پاداش به مدیران برای اجرای بازرسی نیز می شود. مواردی که در آن مدل بازرسی پیشنهاد می کند عدم اجرای بازرسی امنیت IT بهینه است نیز بررسی می شوند.
مقدمه
پیمایش ISACA 2011 یادداشت می کند که قبول قوانین حریم خصوصی، مقررات بانکداری و حسابداری و نیز استانداردها که روز به روز بیشتر هم می شوند، اولویت بالایی برای بیشتر سازمان ها است [30]. مقررات حسابداری تأثیر مشهودی بر رویه های امنیت اطلاعات در سازمان ها داشته است. آیین نامه ساربنز-اوکسلی (SOX)، مقررات نوظهور و بین المللی حسابداری از قبیل استانداردهای جهانی گزارش نویسی مالی (IFRS)، و دیگر مقررات حسابداری بر رویه های محاسباتی در سازمان های عمومی آمریکا و جهان تأثیر دارند [25]. با این که الزامات معین SOX و IFRS به صراحت فن آوری اطلاعات را بررسی نمی کنند، اما جهش عمده بایگانی تجاری از قلم و کاغذ به رسانه های الکترونیکی پیامدهای چشمگیری برای رویه های IT به منظور گزارش-نویسی مالی در بر دارد.
علاوه بر خطرات و تهدیدهای بیرونی، وابستگی شدید به فن آوری ممکن است ناخواسته ابزارها و فرصت های پیچیده ای برای کارمندان فراهم کند تا مرتکب کلاهبرداری به شیوه هایی ساده و سرراست شوند [12و29]. همان طور که کنترل های IT اثری نافذ بر تحقق بسیاری از اهداف کنترل دارند [26]، مقررات نیز دلالت هایی برای مدیریت و کنترل های IT به همراه دارند [7، 13، 18]. در بیشتر سازمان ها، از آن جا که داده های مورد استفاده در گزارش دهی مالی با استفاده از سیستم های رایانه محور اخذ، انبار، و پردازش می شوند، دستیابی به سطحی کافی از کنترل های داخلی به این معناست که کنترل ها باید برای استفاده فن آوری در محل مخصوص خود در سازمان قرار گیرند [22].
از دیدگاه مقررات حسابداری، شرکت های سهامی عام دست کم از لحاظ نظری باید بازرسی اطلاعات انجام دهند تا تأیید گزارش بازرس را مبنی بر وجود کنترل های داخلی کافی به دست آورند. اما این بازرسی مقررات گرایانه برای شرکت های سهامی عام که عایدی سالانه آن ها کمتر از 2 میلیون دلار است، یا سازمان های زیادی که شرکت های سهامی عام نیستند، اجباری نیست. پیمایش-های امنیتی نشان می دهند که بازرسی های امنیتی رویکرد غالب در آزمودن کارامدی فن آوری های امنیتی است. تقریباً 50-65% از شرکت های مورد پیمایش، گزارش دادند که بازرسی های امنیتی انجام می دهند [34]، اما همه شرکت ها چنین تحقیقاتی انجام نمی دهند.
بنابراین پرسشی پیش می آید و آن این که با اجباری نبودن بازرسی های سیستم، چه زمانی شرکت ها باید بازرسی های امنیتی انجام دهند؟ سیستم های IT پیچیده اند، و این امر ارزیابی عملکرد و امنیت آن ها را مسئله ای پیچیده می کند [37]. اجرای یک استراتژی بازرسی IT که هزینه اش را توجیه کند و کاربرد مؤثر سیستم های اطلاعاتی را به بار آورد، کاری چالش برانگیز است [33]. با در نظر گرفتن هزینه های اجرای چنین بازرسی هایی و هزینه های فرصت انجام ندادن آن ها، اهمیت این پرسش رخ می-نماید.
با وجود این که ادبیات حوزه «اقتصاد امنیت IT» با مقالاتی مربوط به بحث سرمایه گذاری در امنیت IT یا چگونگی برقراری سطحی بهینه از سرمایه گذاری در امنیت IT شکوفا شده است [17،19،23]، به ندرت پژوهشی یافت می شود که با جنبه های کنترل سروکار داشته باشد. با در نظر گرفتن محدودیت های بودجه، شرکت ها اغلب باید تصمیم بگیرند آیا منابع را بر ابتکاراتی غیراجباری از قبیل بازرسی های امنیت IT صرف کنند یا خیر. بنابراین برای مدیریت شرکت مهم است که مبنایی واقعی و عینی، و مدل تصمیمی ژرف برای تصمیم گیری در زمینه اجرا یا عدم اجرای بازرسی های امنیت IT داشته باشند. مدل تصمیم گیری که ما توسعه دادیم، سعی بر پر کردن شکافی در ادبیات و عمل این حوزه دارد. به بیان صریح تر، ما پرسش اجرا یا عدم اجرای بازرسی های امنیت IT را با توسعه یک مدل تصمیم ارزیابی عملکرد بررسی کرده ایم. این مدل سرمایه گذاری های امنیتی و روابط آن ها با بازرسی های IT را در نظر می گیرد.
رویکرد ما مشابه مدل تحلیل واریانس احتمال در پژوهش بیرمان و همکاران [5] است. مدل تحلیل واریانس احتمال [5] شرایطی را نشان می دهد که تحت آن یک تحقیق واریانس هزینه در موقعیتی تک دوره ای لازم می شود. ما با اعمال این مدل به زمینه امنیت IT مدل بیرمان و همکاران [5] را از چندین راه بسط دادیم. نخست، ز دیدگاهی کاربردی، برای نشان دادن مدل تصمیم بازرسی IT از چینش موقعیت سرمایه گذاری امنیت IT استفاده کردیم.
دوم، نظریه تصمیم بیسی را وارد کار کردیم تا تأثیر اطلاعات جدید مربوط به محیط امنیتی را بر تصمیم اجرا یا عدم اجرای یک بازرسی امنیت IT بررسی کنیم. در آخر با در نظر گرفتن این امر که مدیران امنیت ممکن است اعمال فرصت طلبانه ای داشته باشند، نظریه کارگزاری را وارد مسئله تصمیم بازرسی امنیت IT کرده ایم تا پرداخت هایی را تعیین کنیم که به مدیران انگیزه می دهند بازرسی انجام دهند. همچنین در حالتی که تصمیمی بهینه ممکن است با مدل استاندارد (یعنی مدل بدون مباحث کارگزاری) تفاوت داشته باشد، از بین رفتن کارامدی مدل کارگزاری را بررسی می کنیم. رویکرد ما کلی و قابل اجرا در طیف وسیعی از موقعیت ها، شامل بازرسی امنیت سایبری و ارزیابی عملکرد مدیر IT است.
این مقاله به شکل زیر سامان یافته است. در بخش یعدی ادبیات زمینه را مرور، و مسئله پژوهش بازرسی امنیت را بررسی می-کنیم. سپس مدل تصمیمی توسعه می دهیم که به صراحت بازدهی هزینه و مزایای مربوط به بازرسی سیستم را با نگاهی بر تصمیم اجرا یا عدم اجرای بازرسی IT در نظر می گیرد. بعد تأثیر اطلاعات جدید را بر تصمیم بازرسی IT تحقیق می کنیم. اخیراً ادبیات امنیت سایبری مسائل کارگزاری را برجسته کرده است که ممکن است در زمینه امنیت اطلاعات ظاهر شوند. برای پرداختن به این مبحث، ما نظریه کارگزاری را اعمال می کنیم تا هزینه های محرک مربوط به تصمیم بازرسی IT را تعیین کنیم و همچنین تحلیل را بسط می دهیم تا اتلاف کارامدی مدل کارگزاری را بررسی نماییم. در آخر، مقاله را با بررسی محدودیت های مدل و مسیرهای آینده پژوهشی جمع بندی می کنیم.
ادبیات زمینه
رویه های سیستم اطلاعاتی و اطلاعات حسابداری: کنترل های داخلی و بازرسی های امنیت اطلاعات ، توانایی اخذ و گزارش اطلاعات مالی و حسابداری از طریق سیستم های رایانه ای در چند دهه گذشته تا آنجا پیشرفت کرده که فرآیندهای کلیدی تجاری که به این اطلاعات دست می یابند در بسیاری شرکت ها خودکار (اتوماسیون) شده اند. علی رغم اهمیت IS و فن آوری در فرآیندهای گزارش دهی مالی و حسابداری، دانش نسبتاً کمی درباره اثر فراوانی و انواع اظهارات خلاف واقع وجود دارد [12].
مسیر و همکاران [31] دریافتند که مسائل کنترل در محیط های رایانه ای رایج تر است. حتی از فن آوری های نسبتاً ساده-ای از قبیل برنامه های صفحه گسترده، که اغلب مورد استفاده کسب وکارهای کوچک و متوسط برای مقاصد مالی و حسابداری است، مسائلی بروز می کند. این وابستگی شدید به فن آوری ممکن است ناخواسته فرصت ها و ابزارهایی پیچیده برای کارمندان ایجاد کند تا با ابزارهایی ساده و سرراست [12] مرتکب کلاهبرداری شوند [29].
داده های تغییر یافته، ناقص، یا بی دقت و نیز از دست رفتن کامل داده عواقبی منفی برای گزارش دهی مالی و کسب وکارها دارد. تهدیدات امنیت اطلاعات داخلی و خارجی خطری اساسی برای عملیات های شرکت و کیفیت اطلاعات مالی و غیرمالی آن دارد. مدیران سیستم های IT مسئول حفاظت از حریم خصوصی بوده و شخصاً در رأس شناسایی اطلاعات مالی هستند؛ آن ها مسئول ساخت کنترل های دسترسی هستند که ظرفیت حفاظت از درستی اظهارات مالی و دارایی های فکری در محیط مقرراتی قوی و رو به رشد در برابر تهدید روزافزون جهانی هستند. سیستم های خودکار از جمله کنترلهای برنامه ها و IT عمومی می توانند دقت ورودی را بیازمایند تا اعتبار معاملات تضمین شود و در نتیجه احتمال اظهارات خلاف واقع کاهش یابد [31]. کنترل های مناسب سیستم های اطلاعاتی می توانند خطر کلاهبرداری های معینی را نیز کاهش دهند [12].
مقرراتی از قبیل ساربنز-اوکسلی مجموعه ای پیچیده از کنترل های داخلی را ایجاب می کند که راهنمای ایجاد اسناد مالی و اعلام اطلاعات مالی به گونه ای دقیق و به موقع هستند. در مارس 2004، هیئت اشتباهات حسابداری شرکت های سهامی عام آمریکا (PCAOB) استاندارد شماره 2 بازرسی PCAOB را با نام «بازرسی کنترل داخلی روی گزارش دهی مالی به همراه بازرسی اظهارات مالی» منتشر کرد که ادعا می نمود کنترل های IT اثری نافذ بر تحقق بسیاری از اهداف کنترل دارند [26]. SOX علاوه بر کنترل هایی از قبیل تفکیک وظایف برای کنترل های دیگر IT هم الزاماتی دارد. برای دستیابی به این کنترل ها، کمیسیون تبادل و امنیت (SEC) استفاده از چارچوب کنترل داخلی سازمان یافته را اجباری کرده، و به ویژه چارچوب کمیته تأمین بودجه سازمان-های کمیسیون موقت (COSO) را با در نظر گرفتن انطباق با SOX توصیه نموده است.
کنترلهای برنامه ها و IT عمومی از عدم دقت ورودی جلوگیری می کنند که احتمال اظهارات نادرست [31] و خطر کلاهبرداری-های معینی را کاهش می دهد [12]. چارچوب COSO فعالیت های کنترل IT را به طور گسترده در دو دسته شناسایی می کند: (1) کنترل های برنامه؛ درون برنامه طراحی می شوند تا از تراکنش های غیرمجاز جلوگیری کنند، و (2) کنترل های عمومی؛ برای همه سیستم های اطلاعاتی طراحی می شوند و از عملیات های مداوم و امن پشتیبانی می کنند. این چارچوب فعالیت های نظارتی را توصیه می کند تا طراحی، اجرا، و کارامدی کنترل های داخلی بهبود یافته و ارزیابی شود.
همچنین ارزیابی های دوره ای جداگانه ای را از قبیل خودارزیابی ها و بازرسی های داخلی توصیه می کند که معمولاً منجر به گزارشی رسمی در زمینه کنترل های داخلی می شوند. سازمان می تواند انواع دیگری از ارزیابی ها را نیز داشته باشد، مثل بازرسی های داخلی، بازرسی های خارجی، آزمون-های مقرراتی، مطالعات حمله و نفوذ، تحلیل های ظرفیت و عملکرد، مرور کارامدی IT، ارزیابی کنترل، مرور امنیتی مستقل، و مرور بر اجرای پرژه ها. بازرسی های IT می توانند تضمین کنند که سیستم ها تا حد کافی کنترل شده و امن هستند و به نحو مطلوب کار می کنند [33] و می توانند نقشی یکپارچه در مدیریت ریسک شرکت ایفا کنند [2].
طبق آیین نامه ساربنز-اوکسلی بخش 404، بازرسی خارجی سالانه بایگانی مالی شرکت باید ارزیابی کفایت کنترل های داخلی را در بر داشته باشد که بر گزارش دهی مالی عمومی اثر می گذارند. مدیریت باید در زمینه کارامدی کنترل های داخلی گزارش دهد و بازرس ها باید در زمینه این گزارش نظر دهند. بنابراین مهم است تأکید شود که مدیران و صاحبان فرآیند کسب وکار تنها بر برقراری و نگهداری ساختار کافی کنترل داخلی بسنده نکنند.
بلکه کارامدی آن را به صورت سالانه ارزیابی کنند. سازمان ها باید تضمین کنند که کنترل های مناسب (شامل کنترل های IT) در محل مناسب قرار دارند، و علاوه بر آن بازرسی های مستقل خود را با مستندسازی، شواهدی از کنترل های عملکردی، و نتایج مستند رویه های آزمایشی ارائه دهند. اظهارات هیئت استانداردهای بازرسی (ASB) در استانداردهای بازرسی (SAS) شماره 109 (مؤثر در سال 2006) نیاز به بازرس ها را برای توجه به کارامدی کنترل های داخلی مشتریانشان بیشتر می کند، که آن نیز در عوض نیاز به ارزیابی کنترل های خودکار و دستی را افزایش می دهد. پژوهش کورتیس و همکاران [12] در زمینه بخش 404 SOX پیشین نشان می دهد که ممکن است این هدف در شرکت های سهامی عام زیادی محقق نشود.
توجه به بحث کنترل های داخلی و عواقب ضمنی آن برای امنیت سیستم ها با ظهور الزاماتی مانند SOX (مثل HIPAA و آیین نامه گرام-لیچ-بیلی، و دیگران) بروز کرد زیرا مقررات این فعالیت ها را اجباری می کنند. برای تحقق سازگاری داوطلبانه با الزامات مقرراتی، هر نقطه تماس گره-به-گره مستند که بتوان نشان داد کنترل های امنیت و دسترسی کافی در آن اعمال شده احتمال گزارش بازرسی مثبت را افزایش می دهد. اما مباحث کنترل در زمینه سازگاری با این مقررات تنها به شرکت های سهامی عام اعمال نمی-شوند. دولت ها در تمام سطوح، بخش غیرانتفاعی، و شرکت های خصوصی همگی با نیاز به حفاظت رضایت بخش از یکپارچگی اطلاعات محرمانه و تدارک کنترل های کافی برای دسترسی به انبارهای داده مواجه اند [2]. برای برخی سازمان های غیرانتفاعی، ریسک مالی دعوی قضایی ناشی از کنترل های ناکافی ممکن است بسیاری بیشتر از هر خطری از جانب یافته های منفی بازرسی باشد.
هزینه های بازرسی و امنیت
برای آن که کنترل های IT سطح برنامه و عمومی در جای خود باشند سرمایه گذاری زیادی لازم است. ارزیابی های امنیتی از قبیل بازرسی های داخلی، بازرسی های خارجی، مطالعات نفوذ و حمله، یا دیگر انواع ارزیابی به معنای هزینه برای کسب وکار خواهند بود. گوردون و لوب [17] ادعا کرده اند که تخصیص بودجه به امنیت اطلاعات باید مانند یا دست کم بر اساس شرایط هزینه و مزایا باشد، زیرا هزینه های سرمایه گذاری غیر قابل برگشت است و طبیعت این گونه عایدی ها عدم قطعیت.
توجیه سرمایه گذاری-های امنیت مشکل است، زیرا تعریف و اندازه گیری تمام مجموعه مزایای آن کار ساده ای نیست. پژوهش ها اندک است، اما بخشی از ادبیات سرمایه گذاری امنیت سعی کرده به این مباحث بپردازد [10،17،19،23،24]. سرمایه گذاری های امنیت که موجب قرارگیری کنترل های IT متعددی در جای خود می شوند احتمالاً بر دستیابی به گزارش های مثبت بازرسی تأثیر دارند. اما به خاطر ماهیت متغیر تهدیدات امنیت اطلاعات، کارامدی این کنترل ها باید مرتباً بازرسی شود. سپس پرسش های دیگری سر بر می آورند؛ از قبیل این که کسب وکارها چه زمانی باید ارزیابی های امنیتی انجام دهند؟ و رابطه بین این سرمایه گذاری های امنیت و ارزیابی چیست؟
در این خصوص، ادبیات تحقیق واریانس احتمال در حسابداری و ادبیات نوظهور در طراحی کنترل مدیریت امنیت سایبری می-توانند بینشی در اختیار ما قرار دهند. پس از انجام سرمایه گذاری در فن آوری های امنیتی، کارامدی این سرمایه گذاری ها را می تون از لنز تحقیق واریانس مطالعه نمود. ادبیات تحلیل واریانس هزینه پیشین در حسابداری که بررسی کرده است آیا تحقیق واریانس هزینه باید صورت گیرد یا خیر، مشابه تحقیق در زمینه تصمیم گیری انجام و یا عدم انجام یک بازرسی IT است. تحقیق واریانس هزینه شامل صرف تلاش و هزینه است. معیار زیربنایی برای تحقیق در زمینه واریانس های هزینه همواره آن است که تحقیق باید صورت بگیرد اگر و تنها اگر مزایای مورد توقع از هزینه تحقیق و ترمیم منبع هزینه واریانس فراتر رود. مقالات متعددی وجود دارند که با این مسئله کنترل مدیریت سروکار دارند (مثل [5،14،27]).
پژوهش در زمینه مسئله واریانس احتمال را می توان به طور گسترده به دو دسته مدل های تک دوره و چنددوره ای تقسیم کرد. کاپلان [27] با استفاده از تکنیک های برنامه نویسی دینامیک مدلی احتمالی توسعه داد تا سیاست های بهینه ای تعیین کند برای آن که چه زمان تحقیق واریانس باید انجام شود. دمسکی [14] منابع انحراف هزینه را دسته بندی کرد و الگوریتمی توسعه داد تا حداقل زمان موردانتظار برای کشف منبع واریانس را تعیین کند. بیرمان و همکاران [5] اولین کسانی بودند که هزینه ها و مزایای تحقیق را وارد تصمیم تحقیق واریانس هزینه کردند. آن ها معیاری توسعه دادند که بر اجرای تحقیق واریانس حاکم بود. کاپلان [27] پیمایشی عالی فراهم کرد که تکنیک هایی را که بالقوه برای ارزیابی اهمیت واریانس های هزینه مفید اند زیر این دو دسته خلاصه می کرد.
اخیراً ادبیات امنیت سایبری مسائل کارگزاری را نیز که ممکن است در زمینه امنیت اطلاعات پیش بیایند برجسته کرده است [20]. گوردون و همکاران [20] ادعا می کنند که مدیران امنیت اطلاعات ممکن است انگیزه داشته باشند بودجه ای بیش از آن که بر مبنایی اقتصادی توجیه پذیر باشد درخواست کنند زیرا بروز رخنه امنیتی برای آن ها از لحاظ شغلی ریسک محسوب می شود. فرآیند بازرسی که اندازه گیری کارامدی هزینه فعالیت های امنیتی را ممکن می کند، می تواند نقشی مهم در کاهش مسائل کارگزاری داشته باشد.
در این زمینه گوردون و همکاران [20] مدلی تحلیلی توسعه دادند که نشان می دهد شرکت ها می توانند از بازرسی امنیت اطلاعات به عنوان بخشی از سیستم کنترل مدیریت استفاده کنند که همراه با قراردادهای مشوق و قوانین تصمیم گیری سرمایه گذاری طراحی شده تا یک افسر ارشد امنیت اطلاعات (کارگزار) را از استفاده از منابع برای ایجاد یک امپراطوری دلسرد کند. برای پرداختن به دو مبحث فوق، ما یک مدل ارزیابی عملکرد امنیت IT توسعه دادیم که می تواند برای تصمیم گیری درباره اجرا یا عدم اجرای بازرسی امنیت IT و پرداخت های مشوق لازم برای حصول اطمینان از اجرای بازرسی توسط مدیر به کار رود.
مدل تصمیم بازرسی سیستم
مدلی که در این مقاله توسعه دادیم به این مسئله تصمیم مبنایی می پردازد که آیا شرکت باید بازرسی سیستم IT انجام دهد یا خیر. این مدل مانند مدل بیرمان و همکاران [5] دو مقیاس را برای این تصمیم گیری در نظر می گیرد: (1) مقدار انحراف اتلاف نامطلوب و (2) احتمال انحراف اتلاف نامطلوب ناشی از عوامل غیرقابل کنترل.
مسئله سرمایه گذاری امنیت دو دورهای
شرکتی را در نظر بگیرید که برای ایجاد سرمایه گذاری امنیت IT در دو دوره برنامه ریزی می کند. شرکت ابتدا در دوره 1 سرمایه گذاری می کند و سپس براساس خروجی واقعی تصمیم اولین دوره، تصمیم می گیرد که آیا در دوره 2 سرمایه گذاری کند یا خیر. هزینه سرمایه گذاری مربوط به اطلاعات امنیتی ممکن است شامل هزینه های نرم افزاری، و هزینه یک بار کار IT برای پیکربندی و چینش سیستم باشد. این مدل فرض می کند مدیر IT می تواند عیب های نرم افزار و تجهیزات کامپیوتر را با سرمایه-گذاری در امنیت IT و اجرای سیاست های امنیت IT تا حدی کنترل کند.
اگر سرمایه گذاری مؤثر نباشد، به هزینه ها و اتلاف های قابل کنترل منجر می شود. بنابراین مدیر هنگام اجرای اولین سرمایه گذاری در امنیت IT، اتلاف مورد انتظار (اتلاف میانه) را به خاطر رخنه های امنیت IT ناشی از عوامل غیرقابل کنترل و با فرض مؤثر بودن سرمایه گذاری، تخمین می زند. همچنین، یک توزیع نرمال برای اتلاف های ناشی از عوامل غیرقابل کنترل را می توان برای دوره بعدی (دوره 2) تخمین زد. این فرض توزیع نرمال، تعیین احتمال خظای اتلاف ناشی از عوامل غیرقابل کنترل با هر اندازه ای ممکن می کند. از این احتمال همراه با مقدار انحراف نامطلوب می توان برای تعیین اجرا یا عدم اجرای بازرسی امنیت IT استفاده کرد. چینش دودوره ای در شکل 1 نشان داده شده است.
استدلل این است که بازرسی سیستم IT باید در صورتی انجام شود که انحراف اتلاف نامطلوب ناشی از یک رخنه امنیت IT چشمگیر باشد و خطا عمدتاً به دلایل قابل کنترل باشد. این مدل هزینه اجرای یک بازرسی IT از قبیل آزمون «رسوخ» را با مزایای پرهیز از هزینه در صورت یک تصمیم اشتباه مقایسه می کند؛ مثلاً درصورت سرمایه گذاری بیشتر در امنیت IT وقتی انحراف اتلاف نامطلوب به خاطر عوامل قابل کنترل، بزرگ باشد (یعنی سرمایه گذاری اصلی بی تأثیر باشد) و مدیر IT بر مبنای کاهش اتلاف برنامه ریزی شده پاداش بگیرد.این مدل از رسم الخط زیر برای متغیرهای مدل استفاده می کند:
- t زیروند زمان ( t ∈ (0,1,2))
- I0 سطح پایه هزینه سرمایه گذاری امنیت اطلاعات
- It هزینه سرمایه گذاری امنیت اطلاعات در زمان t
- St سطح امنیت اطلاعات (به صورت یک زیروند، یعنی st = It/I0 )
- Ω اتلاف تخمینی بدون سرمایه گذاری امنیت IT
- θi حالت طبیعی (یعنی i ∈ (1,2))
- ai تصمیمات یا اعمال احتمالی (یعنی i ∈ (1,2))
- p احتمال مربوط به حالت θ2 (بنابراین احتمال مربوط به حالت θ1 برابر (1-p) است)
- C هزینه یک بازرسی امنیت IT
- ϵ هزینه فرصت مربوط به عدم اجرای یک بازرسی امنیت IT
- Δt انحراف در اتلاف به خاطر رخنه در دوره t
- LPt اتلاف برنامه ریزی در دوره زمانی t به دلار
- LAt اتلاف های واقعی در دوره زمانی t به دلار
- O2t واریانس توزیع اتلاف در دوره t
- CIDS هزینه پیکربندی یک IDS (به جز هزینه های سرمایه گذاری)
- νt احتمال یک رخنه امنیتی
- β مزایا (یا عایدی) شرکت صرف نظر از حالت طبیعی
تصمیم مبنی بر اجرا یا عدم اجرای بازرسی امنیت IT در سناریوی زیر مدل سازی شده است. در آغاز دوره (یعنی t=0) از مدیر امنیت IT خواسته می شود که در صورت بروز رخنه مقدار اتلاف مورد انتظار به خاطر عوامل غیرقابل کنترل چقدر است. برای مثال، مدیر امنیت IT باور دارد که انجام سرمایه گذاری امنیت IT (I1) احتمال رخنه را کاهش می دهد و منجر به اتلاف برنامه-ریزی شده LPt به خاطر کاهش در احتمال رخنه می شود. بنابراین اتلاف های مورد انتظار در دوره 1 با E(loss) = LP1 داده می-شود. برای شناسایی مقدار انحراف نامطلوب (اتلاف های برنامه ریزی شده – اتلاف های واقعی = Δ1) از اتلاف برنامه ریزی شده LP1 به خاطر عوامل غیرقابل کنترل، به تخمینی از انحراف استاندارد σ1 نیاز داریم تا توزیع اتلاف را در زمان تحمل سرمایه-گذاری امنیت IT (I1) تعیین کنیم.
انحراف استاندارد σt توزیع اتلاف را می توان با رویه فرضی زیر برای یک توزیع نرمال تخمین زد [5]. ما می توانیم از مدیر امنیت IT بخواهیم با احتمال 50 درصد حدس بزند دوره اول اتلاف به خاطر عوامل غیر قابل کنترل (تصادفی) در چه طیفی قرار می گیرد؛ مثلاٌ 10000 دلار. با فرض توزیع نرمال برای اتلاف ها بر حسب دلار، از آن جا که نیمی از سطح زیر منحنی نرمال در انحراف استاندارد ±0.67 از میانه هستند، می توان σt را به صورت 2/3 σ1 = 10000 محاسبه کرد و بنابراین σ1 = $15000. حال شرکت می تواند بر اساس مدل ارزیابی عملکرد بازرسی که در شکل 2 نشان داده شده، تصمیم بگیرد آیا بازرسی سایبری انجام دهد یا خیر. منطقه بحرانی انجام یا عدم انجام بازرسی سایبر را می توان به صورت عمل بهینه کمینه سازی هزینه-های مورد انتظار به دست آورد. ینابراین دو عمل a1: بازرسی امنیت IT را انجام بده، و a2: کاری نکن، را تعریف می کنیم. دو حالت طبیعی θ1: انحراف نامطلوب ناشی از عوامل قابل کنترل، و θ2: انحراف نامطلوب ناشی از عوامل غیر قابل کنترل، را تعریف می کنیم.
فرض کنید انحراف نامطلوب Δ1 (اتلاف های واقعی بزرگتر از اتلاف های برنامه ریزی شده) وجود داشته باشد؛ بنابراین تصمیم مبنی بر انجام یا عدم انجام بازرسی سایبری برای تحقیق عوامل به احتمالات دو حالت طبیعی بالا بستگی خواهد داشت. اگر حالت صحیح θ1 باشد، انحراف نامطلوب از عوامل تحت کنترل مدیر امنیت IT ناشی بوده، از قبیل عدم پیکربندی مناسب سیستم به رغم سرمایه گذاری برای انجام این کار و عدم اجرای سیاست های امنیت شرکت برای کمینه کردن خطاهای نرم افزاری و تجهیزات رایانه ای. سپس اجرای یک بازرسی امنیت IT ارزش دارد، زیرا شرکت می تواند از صرفه جویی های آینده در هزینه ها سود ببرد.
به بیان خاص، شرکت در دوره 2 سرمایه گذاری نمی کند و هزینه های پیکربندی IDS دوره 2 را متحمل نمی شود. بنابراین شرکت متحمل هزینه فرصتی ناشی از عدم اجرای امنیت IT به مقدار ϵ = I2 + CIDS می شود، که می توان تخمین معقولی زد که از هزینه بازرسی امنیت IT (یعنی ϵ > C) بزرگتر باشد. هزینه یک بازرسی امنیت IT در صورتی تحمیل می شود که بازرسی انجام شود، و در غیر این صورت چنین هزینه ای تحمیل نمی شود. اگر حالت طبیعی θ 2 باشد که در آن انحراف نامطلوب به خاطر عوامل خارج از کنترل مدیر امنیت IT است، اجرای بازرسی امنیت به صرفه نیست و هزینه تحمیلی صفر است. جدول بازدهی شرطی-حالت-عمل برای مسئله تصمیم در جدول 2 نشان داده شده است.
در صورت وجود انحراف نامطلوب، احتمال آن که انحراف ناشی از عوامل غیرقابل کنترل θ2 باشد برابر p، و احتمال مربوط به حالت θ1 برابر (1-p) است. توجه کنید که p و (1-p) احتمال شرطی دو حالتی هستند به شرطی که واریانس نامطلوب اتفاق افتاده باشد. حال می توانیم هزینه مورد انتظار تحقیق را به این صورت محاسبه کنیم:
هزینه مورد انتظار عدم اجرای بازرسی امنیت IT برابر است با اگر C > ϵ(1-p) باشد، شرکت باید بازرسی امنیت IT اجرا کند، و اگر C < ϵ(1-p) باشد، شرکت نباید بازرسی امنیت IT انجام دهد. توجه کنید که ϵ(1-p) متناسب با صرفه جویی های آینده در هزینه های مورد انتظار است. با برابر نهادن هزینه های مورد انتظار دو عمل (یعنی C = ϵ(1-p)) و حل این معادله برای احتمال، می توان احتمال بحرانی pc را یافت که فضای تصمیم را به دو منطقه صرفه یا عدم صرفه بازرسی امنیت IT تقسیم می کند؛ به این صورت:
با جاگذاری ϵ = I2 + CIDS در معادله (3) عبارت زیر را برای احتمال بحرانی برحسب متغیرهای امنیت IT به دست می آوریم:
اگر احتمال p < pc (pc احتمال بحرانی) باشد، سپس C < ϵ(1-p) و بازرسی امنیت IT مجاز است؛ اما اگر احتمال p > pc باشد، سپس C > ϵ(1-p) و بازرسی امنیت IT مجاز نیست. در مدل معادله (4)، مدیریت شرکت باید پارامترهای مختلف هزینه ای را تخمین بزند که هزینه فرصت ϵ را تشکیل می دهند. برای سادگی، فرض می کنیم که هزینه اجرای بازرسی امنیت IT مقداری ثابت است.
هزینه های پیکربندی CIDS یک سیستم ردیابی نفوذ با سطوح مختلف سرمایه گذاری It تغییر می کند. رویکرد تعیین هزینه پیکربندی CIDS از رویکرد دریافت ویژگی های عملیاتی (ROC) پیروی می کند که توسط کاوسگلوف و راقاناتان [11]، اولیویا و گافنی [36] و هراث و هراث [23] خلاصه شده است. هزینه مورد انتظار یک پیکربندی سیستم ردیابی نفوذ به صورت تابعی از پارامترهای کیفیت یک سیستم ردیابی، در مقابل احتمال ردیابی و احتمال مثبت کاذب به نحو درخشانی در کاوسگلوف و راقاناتان [11] توضیح داده شده است.
تعیین منحنی جداسازی
حال شرکت می تواند منحنی جداسازی را تعیین کند که «منطقه» اجرا یا عدم اجرای بازرسی امنیت IT را نشان می دهد. شرکت باید هزینه اجرای بازرسی امنیت IT (C) را تخمین بزند و با فرض ثابت ماندن C، می تواند هزینه ای را که در صورت اجرای بازرسی امنیت IT حذف می شود با استفاده از عبارت ϵ = I2 + CIDS تخمین بزند. برای C ثابت و با فرض آن که ϵ = I2 + CIDS تابع خطی انحرافات نامطلوب Δt باشد، منحنی جداسازی شکل 3 را با برابر نهادن Δt = I2 + CIDS و محاسبه pc=(I2+CIDS-C)/(I2+C_IDS ) برای سطوح مختلف پیکربندی ها و سرمایه گذاری های امنیت رسم نمود. توجه کنید که برابری Δ = ϵ تنها به مقصود رسم منحنی جداسازی به کار می رود. احتمال شرطی که در شکل نشان داده شده، مشروط بر وقوع انحراف اتلاف نامطلوب است. همچنین احتمال و نیز اندازه انحراف اتلاف نامطلوب برای تصمیم گیری در زمینه اجرا یا عدم اجرای بازرسی به کار می روند.
فرض کنید ریسک نفوذ، تابع واپاشی باشد؛ بنابراین در سطح مخارج امنیت معلوم st، احتمال وقوع یک نفوذ برابر νt = Pr(ost) = e-αst است که در آن پارامتر تنظیم α نشان گر ارزیابی ذهنی یک متخصص از کارامدی سیستم است. به بیان خاص-تر، پس از سرمایه گذاری I1 (یعنی s1=I1/I0) شرکت می تواند احتمال نفوذ را با ν1 = Pr (ost) = e-αs1 محاسبه کرد. اگر اتلاف مورد انتظار بدون هیچ سرمایه گذاری برابر s0 = 0 باشد، و بنابراین ν0 = Pr(o|s0) = e-αs0 =1 با Ω تخمین زده می شود، سپس میانه توزیع اتلاف مورد انتظار با L1P = Ων1 داده می شود. بر همین اساس، فرض می شود که سرمایه گذاری، احتمال نفوذ و به تبع آن اندازه اتلاف را کاهش می دهد.
اگر مدیر به صورت ذهنی ارزیابی کند که انحراف استاندارد σ کمتر از فرض توزیع نرمال است، توزیع اتلاف با N (Ων1, σ2) داده می شود. اگر اتلاف واقعی برابر L1P باشد، می توانیم انحراف اتلاف نامطلوب را محاسبه کنیم Δ1 = L1P. رویداد (X) را به صورت انحراف اتلاف با مقدار Δ1 یا بیشتر تعریف کنید. با استفاده از توزیع نرمال، احتمال انحراف اتلاف نامطلوب Δ1 یا بیشتر را می توان به صورت انحراف های استاندارد Δ1/σ=(L1^A-Ων)/σ از میانه محاسبه نمود. احتمال انحراف اتلاف نامطلوب با این مقیاس یا بزرگتر را می توان از جدول های توزیع نرمال به عنوان p̂ تعیین کرد.
در شکل 3، مقیاس محور y از 0 تا 1 است، که احتمال شرطی انحراف نامطلوب ناشی از عوامل غیر قابل کنترل می باشد. رویداد (Y) را رویدادی تعریف کنید که در آن انحراف اتلاف نامطلوب قبلاً اتفاق افتاده باشد. از توزیع نرمال، N(Ων1, σ2)، می-دانیم که P(B) = 0.5، زیرا این سطح کل زیر منحنی نرما در جایی است که انحراف اتلاف واقعی از انحراف اتلاف مورد انتظار (میانه) بزرگتر است، زیرا در غیر این صورت انحراف مطلوب می شد. بنابراین احتمال شرطی لازم را برای آن که انحراف اتلاف نامطلوب ناشی از عوامل غیر قابل کنترل Δ1 یا بزرگتر باشد می توان با P(X|Y) = p̂ /0.5 محاسبه کرد. وقتی احتمال غیرمدرج p̂ از 0 تا 0.5 باشد، احتمال شرطی محاسبه شده که مقیاس آن از 0 تا 1 است، احتمال کاربردی است و می تواند با منحنی جداسازی شکل 3 به کار رود.
وقتی ترکیب احتمال شرطی انحراف نامطلوب ناشی از عوامل غیر قابل کنترل P(XY) و مقدار انحراف نامطلوب در دست باشد، می توان مشاهده کرد نقطه ترکیب (احتمال،انحراف نامطلوب) که با (Δ 1,P(XY)) داده می شود در کدام ناحیه شکل 3 قرار می-گیرد. اگر در ناحیه «بازرسی امنیت IT انجام بده» باشد، تنها در آن صورت اجرای بازرسی به صرفه است. توجه کنید که انحراف اتلاف نامطلوب و نیز احتمال به خاطر عوامل غیر قابل کنترل بوده اند.
تأثیر اطلاعات جدید
فرض کنید اطلاعات بیشتری درباره وضعیت ها از منبع اطلاعاتی خارجی (یک متخصص) به دست آمده است. متخصص پیش-بینی می کند که وقتی وضعیت (θ1: انحرافات ناشی از عوامل قابل کنترل) باشد، شاید یک محیط امنیتی مطلوب (G) با احتمال p1 و یک محیط امنیتی نامطلوب (B) با احتمال 1-p وجود داشته باشد. به طور مشابه برای حالت (θ 2: انحرافات ناشی از عوامل غیر قابل کنترل) احتمالاً یک محیط امنیتی مطلوب (G) با احتمال p2 و یک محیط امنیتی نامطلوب (B) با احتمال 1-p2 وجود دارد. اطلاعات بیشتر که ممکن است بر تصمیم اجرا یا عدم اجرای بازرسی تأثیر بگذارد، باید با اطلاعات قبلی درباره حالت ها ترکیب شود. این کار را می توان با استفاده از فرمول بیسی برای به دست آوردن احتمال های پسین چنان که در جدول 1 نشان داده شده، انجام داد.
برای تعیین ناحیه بحرانی پس از ترکیب اطلاعات جدید، باید استراتژی های بیسی را تعیین کنیم. ایده آن است که مسئله تصمیم را دوبار حل کنیم؛ یک بار برای شرایط محیط امنیتی مطلوب (G) و یک بار برای شرایط محیط امنیتی نامطلوب (B). ما استراتژی های بیسی و انحراف از احتمال بحرانی حاصل p cG برای محیط امنیتی مطلوب (G) را در شکل 4 نشان داده ایم.مثل حالت پیشین بدون اطلاعات جدید، می توانیم هزینه مورد انتظار تحقیق مشروط بر مطلوب بودن محیط امنیتی (G) را با استفاده از احتمالات پسین محاسبه کنیم:
هزینه مورد انتظار برای عدم اجرای بازرسی امنیت IT مشروط بر مطلوب بودن محیط امنیتی (G) برابر است با:
اگر C < (〖ϵp〗2 (1-p))/(p1 p+p2 (1-p))باشد، شرکت باید بازرسی امنیت IT را اجرا کند و اگر C > (〖ϵp〗2 (1-p))(p1 p+p2 (1-p)) باشد، شرکت نباید بازرسی امنیت IT انجام دهد. با برابر نهادن هزینه مورد انتظار دو حالت (یعنی C = (〖ϵp〗_2 (1-p))(p1 p+p2 (1-p))) و حل آن برای احتمال، می توان احتمال بحرانی pcG را برای محیط امنیتی مطلوب (G) محاسبه کرد:
به طور مشابه، می توان احتمال بحرانی pcB را برای محیط امنیتی نامطلوب (B) محاسبه کرد:
در شکل 5 ناحیه بازرسیعدم بازرسی امنیتی بدون (حالت پایه) و با اطلاعات اضافه (محیط امنیتی مطلوبنامطلوب با فرض p1 = 0.8 و p2 = 0.4) رسم شده است. چنان که انتظار می رود، اطلاعات بیشتر درباره حالت های پیشین بر ناحیه بازرسی/عدم بازرسی تأثیر دارد. اگر محیط امنیتی مطلوب باشد، ناحیه «بازرسی امنیت IT انجام بده» کوچک تر است. در عوض اگر محیط امنیتی نامطلوب باشد، ناحیه «بدون بازرسی امنیت IT» کوچک می شود که به معنای بزرگ شدن ناحیه «بازرسی امنیت IT انجام بده» است.
وارد کردن هزینه های پاداش
مسائل کارگزاری در زمینه امنیت سایبری بین رؤسا (صاحب یا مدیر ارشد اجرایی یا CEO که به مدیران امنیت سایبری اختیار تصمیم گیری می دهد) و کارگزاران (مدیران امنیت IT که مسئول امنیت اطلاعات شرکت ها هستند) به وجود می آیند [20]. این مدیران به عنوان بازرسانی داخلی عمل می کنند که ممکن است پاداش ها و فرصت هایی داشته باشند که بر ارزیابی هایشان تأثیر می گذارد. پژوهش های قبلی نشان می دهند که وقتی کار ذهنی باشد، فرضت های دریافت پاداش منجر به اعتماد کمتر بازرسان خارجی به کار بازرسان داخلی می شود [15]. پژوهش آن ها دریافت که اگر کارها عینی باشند، از قبیل آزمودن کنترل های داخلی، پاداش ها در کم کردن فراغت و اضافه حقوق مؤثر اند.
طبق نظریه کارگزاری، فرض می کنیم رئیس (صاحب یا CEO) ریسک پذیر است (می خواهد جریان نقدینگی مورد انتظار را بیشینه کند) و کارگزار (مدیر IT) ار زیسک بیزار است (از عمل یا تلاش ناراضی است). تابع مفید کارگزار برای سود خالص (یا جریان نقدینگی) ω و تلاش a با U (ω,a) = F(ω) – G(a) به دست می آید. ذخیره تابع مفید U̅ برای جذاب کردن پیشنهاد برای کارگزار لازم است. کارگزار و رئیس احتمالات حالت یکسان ψ(θ) را ارزیابی می کنند. سود خالص کل در حالت θ ∈ Θ و عمل a ∈ A با x = f(θ,a) نشان داده می شود. فرض می شود کارگزار و رئیس مشاعاً تنها سود خالص (یا جریان نقدینگی) را مشاهده می کنند. پرداخت به کارگزار اگر x = f(θ,a) مشاهده شود با ω = ω (x) به دست می آید. بنابراین اگر سود خالص (یا جریان نقدینگی) x مشاهده شود، کارگزار ω (x) را دریافت می کند و رئیس x – ω(x) را. مسئله رئیس به این صورت است:
که در آن ω̅ کمترین پرداخت عملی است. مدل بالا یک منبع تلاش خوداجبار و یک برنامه پرداخت را تضمین می کند تا سودمندی مورد انتظار برای رئیس بیشینه شود. سپس مدل رئیس-کارگزار را ویژه چینش بازرسی امنیت IT توسعه می دهیم.در این مدل، β به صورت سود (یا درآمد) شرکت صرف نظر از وقوع وضعیت θ 1 یا θ2 تعریف می شود. توجه کنید که عدم قطعیت مربوط به به انحرافات نامطلوب (اتلاف های برنامه ریزی شده در مقابل اتلاف های واقعی ناشی از یک نفوذ امنیتی) ناشی از عوامل قابل کنترل و غیرقابل کنترل است، و مربوط به عدم قطعیت مؤثر بر سود (یا درآمد) β2 نیست. فرض کنید سطوح تلاش کارگزار مربوط به دو عمل a1 و a2 به ترتیب برابر e1 و e2 هستند. خروجی ها (سود خالص یا جریان نقدینگی) مشروط بر عمل و وضعیت x = f(θ,a) هستند. سطوح تلاش در شکل 6 نشان داده شده اند.
فرض کنید متغیرهای تصمیم زیر را تعریف می کنیم: فرض کنید ω1 پرداختی کارگزار در صورت مشاهده خروجی β – C باشد؛ فرض کنید ω2 پر داختی کارگزار در صورت مشاهده خروجی β – ϵ باشد؛ و فرض کنید ω3 پر داختی کارگزار در صورت مشاهده خروجی β باشد. برای آن که مدل ساده بماند، وجود تابع فایده ریشه دوم را فرض می کنیم. بنابراین سودمندی برای کارگزار به ازای سود خالص (یا جریان نقدینگی) ω و تلاش a برابر است با U (ω-e) = F(ω) – G (e) = (√ω) – e2. از آن جا که هر دو طرف تنها خروجی را مشاهده می کنند، اگر تلاش a1 = e1 تأمین شود، مدل زیر را داریم:
اگر سطح تلاش a2 = e2 تأمین شود، مدل زیر را حل می کنیم:
در دو مدل بالا اولین قید معقول بودن است، که تضمین می کند تنظیم پاداش برای کارگزار جذاب است. دومین قید سازگاری پاداش است که ویژگی خوداجباری را تضمین می کند. در موقعیتی که اطلاعات تازه ای درباره حالت های نامطمئن وجود دارد، مدل های کارگزاری بالا را در صورتی می توان اعمال کرد که ترکیب (Δ1,P(X|Y)) در نتبجه حل عدم قطعیت در ناحیه «بازرسی امنیت IT انجام بده» قرار بگیرد. اگر بازرسی لازم باشد، پرداخت پاداش را که تضمین می کند کارگزار بازرسی را انجام می دهد، می توان با استفاده از مدل کارگزاری تعیین نمود.
مثال عددی
برای نشان دادن مدل، از مثال زیر استفاده می کنیم. فرض کنید شرکت تخمین می زند که اتلاف مورد انتظار بدون سرمایه گذاری برابر Ω = $75000، سرمایه گذاری پایه I0 = $10000، سرمایه گذاری دوره اول I1 = $25000، پارامتر تنظیم α = 0.925 و هزینه اجرای بازرسی امنیت IT برابر $10000 باشد. احتمال نفوذ و بنابراین اتلاف مورد انتظار را می توان با ν1 = e-αs1 = e-0.925(2.5) = 0.10 و L1P = ν1Ω = $7500 محاسبه کرد. فرض کنید مدیر به طور ذهنی انحراف استاندارد را σ = $200000 ارزیابی می کند.
بنابراین توزیع اتلاف ناشی از عوامل غیر قابل کنترل با N(7500,2000002) داده می شود. اگر اتلاف واقعی در آغاز دوره دوم L1A=$72500 به دست آید، انحراف اتلاف نامطلوب ϵ = Δ = $65000 خواهد بود. احتمال انحراف اتلاف نامطلوب $65000 یا بیشتر با انحراف استاندارد 65000/200000 = 0.325 از میانه محاسبه می شود. از جدول های احتمال نرمال، احتمال انحراف های استاندارد 0.325 یا بیشتر برابر 0.375 به دست می آید. بنابراین احتمال مشروط لازم P(XY) = 0.75 است. در مدل پایه بدون هیچ بحث کارگزاری، نقطه (Δ1,P(XY)) در ناحیه «بازرسی امنیت IT را انجام بده» قرار می-گیرد، زیرا pc (0.85) > p(0.75) است.
فرض کنید سودی که مشاعاً مشاهده شده (یا جریان نقدینگی) شرکت β = $80000 باشد و ذخیره سودمندی کارگزار U̅ = 100 باشد. کارگزار دو انتخاب دارد: بازرسی امنیت IT را انجام دهد (عمل a1 با صرف تلاش مولد e1 = 5) یا کاری نکند (عمل a2 با صزف تلاش مولد e2= 0). بدون توانایی مشاهده انتخاب کارگزار (a ∈ A) و بدون آن که کارگزار کاملاً مورد اعتماد باشد، رئیس باید قراردادی قابل قبول پیشنهاد کند که تضمین کند کارگزار تلاش مطلوب را تأمین می کند (یعنی a1).
سپس این موارد را تعریف می کنیم: فرض کنید ω1 پرداختی کارگزار در صورت مشاهده خروجی β –C = $70000 باشد، فرض کنید ω2 پرداختی کارگزار در صورت مشاهده خروجی β –ϵ = $15000 باشد، و فرض کنید ω3 پرداختی کارگزار در صورت مشاهده خروجی β = $80000 باشد. ما از ابزار حل Microsoft Excel برای حل مدل های کارگزاری استفاده می کنیم. اگر این شِما را در نظر بگیریم که تلاش تأمین شده e1 = 5 باشد، حل بهینه به صورت ω1 = $15625، ω2 = 0، و ω3 = 0 و سود مورد انتظار رئیس (یا جریان نقدینگی) برابر $54375 می شود. به طور مشابه، برای شِمایی که در آن تلاش تأمینی e2 = 0 است، حل بهینه ω1=0، ω2=$10000، و ω3 = $10000 و سود مورد انتظار رئیس (یا جریان نقدینگی) برابر $53750 است.
سودمندی مورد انتظار برای کارگزار در هر دو حالت E(U) = 100 است. از مثال بالا برمی آید که کارگزار در تأمین تلاش e1 یا e2 ذی-علاقه نیست. وقتی با چند نقطه اوپتیموم مواجه می شویم، فرض می کنیم کارگزار به صورت دلخواه برای رئیس عمل می کند. یعنی عمل a1 با هزینه تلاش مولد e1 = 5 انجام می شود زیرا ارزش مورد انتظار برای رئیس برابر $54375 > $53750 است. کارگزار برای اجرای بازرسی امنیت IT در صورتی که سود خالص (یا جریان نقدینگی) $70000 باشد، $15625 دریافت خواهد کرد. از طریق اجرای بازرسی امنیت IT با هزینه پاداش $15625، شرکت از هزینه فرصتی با مقدار $65000 دوری می کند که به هزینه سرمایه گذاری و پیکربندی در دوره دوم مربوط است.
اتلاف کارامدی به دلایل اخلاقی
در این بخش فرعی، حالت پایه بدون وجود اشکالات اخلاقی را با مدل کارگزاری مقایسه می کنیم. جالب است که در مثال بالا، مدل پایه و قرارداد پاداشی که بازدهی را برای رئیس بیشینه می کرد به توصیه اجرای بازرسی امنیت IT (عمل a1) منتهی می شد. برای تحقیق در این زمینه که آیا حالت پایه و حل مدل پاداش به نتایج مختلفی منتهی می شوند یا خیر، تحلیل های حساسیت سطح تلاش و ذخیره سودمندی را انجام دادیم.
اتلاف سودمندی به دلایل اخلاقی وقتی سطح تلاش متغیر، و ذخیره سودمندی متغیر باشد (سطح تلاش e1 =5 ثابت نگه داشته شده) به ترتیب در شکل های (7) و (8) نشان داده شده است. در شکل 7 وقتی سطح تلاش بالای 5 واحد افزایش می یابد، عمل بهینه تحت قرارداد عمل a2 یعنی «بازرسی امنیت IT را انجام نده» است. به طور مشابه در شکل 8 برای سطح تلاش ثابت e1 = 5 وقتی ذخیره سودمندی بالای 110 باشد، عمل بهینه تحت قرارداد عمل a2 است، برخلاف آنچه مدل پایه به دست می دهد. این مثال حالت جالبی از عقب ماندن مدل کارگزاری را هنگام اعمال در زمینه بازرسی امنیت IT نشان می دهد.
با این که مدل کارگزاری چارچوبی مفید برای کم کردن مسائل انگیزشی مربوط به امنیت سایبری فراهم می کند، مثال بالا محدودیت های آن را نشان می دهد. تأکید مدل رئیس-کارگزار بر هماهنگی داخلی و بهینگی است. به این ترتیب دیدگاهی محدود از محیط محل کار سازمان در نظر می گیرد [3]. اما در عمل، دانستن این محدودیت ها مهم است زیرا بر خلاف تصمیم بهینه بدون بازرسی، اجرای یک بازرسی امنیت IT ممکن است مزایایی داشته باشد که در چینش مدل در نظر گرفته نشده اند. برای مثال، اجرای یک بازرسی امنیت IT به طور بالقوه می تواند حق بیمه های سایبری را کم کند [35]، کوشش و توجه درخور به سازمان را نشان دهد، و احتمال دعوی قضایی و برجسته سازی هرگونه ضعف کنترل IT را کاهش دهد و در نتیجه مدیریت IT را بهبود ببخشد.
جمع بندی، محدودیت ها و مسیرهای پژوهشی آینده
با این که فضای فعلی مقررات سعی می کند از فضایی کنترل شده دفاع کند، برای همه کسب وکارها ضروری نیست که چنین باشند. با در نظر گرفتن محدودیت های بودجه ای که سازمان ها با آن مواجه اند، اعمال امنیتی غیر ضروری از قبیل بازرسی امنیتی اغلب نادیده گرفته می شوند. در این مقاله با همین انگیزه، مدل تصمیم ارزیابی عملکردی توسعه دادیم که به شرکت ها امکان می دهد تصمیم بگیرند که آیا اجرای یک بازرسی امنیت IT به صرفه است یا خیر.
مدلی که در این مقاله توسعه دادیم به نظریه و عمل، هردو، توجه دارد. ما از ادبیات سرمایه گذاری در فن آوری های امنیتی و تحقیق واریانس هزینه، و نیز از نظریه کارگزاری استفاده کرده ایم.مدل ما تحلیل واریانس هزینه بیرمان و همکاران [5] را با ترکیب کردن یک چینش سرمایه گذاری امنیت IT دو دوره ای بسط داده ایم. این مدل در طیف وسیعی از موقعیت ها کاربرد دارد، اما به ویژه برای شرکت های کوچکی که در آن الزامات SOX اعمال نمی شود مفید است، زیرا شرکت ها می توانند مقدار انحراف اتلاف نامطلوب و احتمال انحراف اتلاف نامطلوب ناشی از عوامل غیر قابل کنترل را به عنوان پایه اجرای بازرسی مقایسه کنند.
اگر انحراف ها کوچک باشند و ب احتمال زیاد ناشی از عوامل غیر قابل کنترل باشند، اجرای بازرسی امنیت IT برای ارزیابی عملکرد مدیر امنیت IT صرفه ندارد. ما همچنین حالتی را بررسی کردیم که در آن نظر یک متخصص مبنی بر نیاز به اطلاعات بیشتر درباره حالت های نامطمئن خواسته می شود. بنابراین مدل ما تأثیر داشتن اطلاعات بیشتر را هم در بر می گیرد. به بیان خاص، با استفاده از نظریه تصمیم بیسی، این مدل به ما امکام می دهد تأثیر اطلاعات تازه را بر تصمیم بازرسی IT تحقیق کنیم. نشان می دهیم که سطح ناحیه بازرسی/عدم بازرسی بسته به اضافه شدن اطلاعات تازه جابجا می شود.
اگر مباحث کارگزاری را در نظر بگیریم، این مدل به ما امکان می دهد پرداخت پاداش به مدیرانی را تعیین کنیم که بتواند آن ها را به اجرای بازرسی ترغیب کند. رویکرد ما کلی، و در طیف وسیعی از چینش ها شامل بازرسی امنیت IT و ارزیابی عملکرد مدیر IT قابل اجرا است. مدل کارگزاری مربوط به مدل تصمیم بازرسی امکان می دهد هزینه های بهینه پاداش را تعیین کنیم که همخوانی با هدف را تضمین کند. همچنین اتلاف کارامدی به دلایل اخلاقی را بررسی کردیم که در آن تصمیم بهینه مدل کارگزاری منجر به خروجی متفاوت با مدل پایه می شود. این یافته ها اطلاعات مفیدی برای طراحی پاداش های مدیریتی در زمینه امنیت IT فراهم می کنند.
چندین محدودیت در مدل وجود دارد که مسیر را برای پژوهش های بیشتر مهیا می کند. اول آن که انحرافات اتلاف یا اتلاف های واریانس نامطلوب در چندین زیر-دوره اتفاق می افتند و دنباله ای از مشاهدات در دست است، پس رویکردی چنددوره ای که شاید با پژوهش های آینده تعیین گردد، می تواند مناسب تر باشد. محدودیت دوم، به تخمین پارامترهای مدل مربوط است که شامل احتمالات حالت، هزینه های فرصت مربوط به پس اندازهای آینده، و هزینه تلاش مدیر مربوط به اجرای بازرسی امنیت IT می شود. با این که این محدودیت ها در بسیاری مدل های تحلیلی رایج اند، مزیت مدل بازرسی امنیت IT با تعمیم نظریه کارگزاری آن است که معیاری واضح بر اساس دو پارامتر اندازه انحراف اتلاف و احتمال اتلاف به خاطر عوامل تصادفی به دست می دهد. این مدل به بحث کنترل مدیریت مهمی در امنیت IT می پردازد.
این مدل مباحث کارگزاری رایج موقعیت های بازرسی داخلی را در نظر می گیرد. اما تأمین نیروی کار خارجی برای بازرسی امنیت IT امروزه عملی رایج است [34]، که ممکن است مباحثی دیگر پدید آورد. با این که تأمین نیروی کار خارجی برای بازرسی درون سازمانی می تواند مزایای زیادی از قبیل پس اندازهای هزینه بالا و کیفیت بهتر به همراه داشته باشد، همچنین می-تواند اشکالاتی مانند عدم وفاداری و دانش سازمانی و اتلاف «زمینه تربیتی ارزشمند» نیز به همراه داشته باشد [4،6]. شرکت-هایی که مزایای خدمات بازرسی با نیروی خارجی انجام می دهند از صرفه کار در مقیاس بالا سود می برند، در حالی که بازرسی-های داخلی می توانند به خاطر آشنایی با عملیات و رویه های شرکت مزایایی فراهم کنند [8].
در چینشی ک در آن فعالیت های کنترل شده از لحاظ فنی ویژه و پیچیده اند [1] یا در صنعت هایی که با موشکافی های مقرراتی عمده مواجه اند [9] استخدام بازرسان داخلی و درون سازمانی با دانش صنعتی می تواند به صرفه تر باشد. مجموعه پرسش های جالبی برای پژوهش های آینده شامل این موارد می شود که چه عواملی –مثلاً اندازه شرکت، صنعتی که در آن کار می کند، و اثر قانونی– بر تصمیم اجرای بازرسی IT با تأمین نیروی خارجی یا درون سازمانی مؤثر است؟ با دانستن ریسک های معلوم در تأمین نیروی کار IT از بیرون [6]، چه استراتژی های کنترل مناسب تر اند اگر نیروی کار بازرسی های IT از خارج تأمین شوند [23]؟ در این صورت سازوکارهای بهینه قرارداد چه خواهند بود؟ در آخر، چه عواملی بر ارزیابی ریسک های امنیت IT تأثیر خواهند داشت اگر بازرسی های امنیتی با نیروی کار خارجی یا داخلی انجام شوند؟
چینش بازرسی امنیت IT در این مقاله به ساختارهای کلاسیک IT تعلق دارد. امنیت در محیط محاسباتی ابری جدید به خاطر عواملی از قبیل مدل های مختلف محاسبه ابری، منابع مشترک، مقیاس پذیری، و میزبانی شخص ثالث چالش برانگیزتر است [16،21،28]. از این منظر، پرسش های تازه ای پیش می آیند که مدل تصمیم بازرسی چگونه در فضاهای ابری تغییر می کند، چه عوامل مشروطی را باید در نظر گرفت، و آیا بیمه سایبری می تواند جایگزین بازرسی امنیت IT شود؟ این پرسش ها جایگاهی پرثمر برای پژوهش های آینده در زمینه بازرسی امنیت IT فراهم می کنند.
برگرفته شده از:
IT security auditing: A performance evaluation decision model
Hemantha S.B. Herath a, Tejaswini C. Herath