Summary of Current Challenges in Information Security Risk Management

SUMMARY

Current Challenges in Information Security Risk Management

(http://emeraldinsight.com/doi/pdfplus/10.1108/IMCS-07-2013-0053)

(Revanda Dwi F / 1534010024)

Summary of this paper “Current Challenges in Information Security Risk Management” is this. First, of this paper is to give an overview of current risk management approaches and outline their commonalities and differences, evaluate current risk management approaches regarding their capability of supporting cost-efficient decisions without unnecessary security trade-offs, outline current fundamental problems in risk management based on industrial feedback and academic literature and provide potential solutions and research directions to address the identified problems. Despite decades of research, the information security risk management domain still faces numerous challenges which hinder risk managers to come up with sound risk management results.

Information security is as important as it has ever been, but the challenges to determine the factors contributing to information insecurity prove to be of complex nature. In order to reach a desirable level of protection against threats and to provide the necessary mechanics to protect organization’s assets and knowledge, a vast variety of management approaches and methods have been developed in the last decades. Although the information security risk management approaches of the following years provided some additional steps or different process structures, they are mainly based on this approach developed in the 1980s. 

Design from this paper is to identify the challenges in information security risk management, existing approaches are compared against each other, and as a result, an abstracted methodology is derived to align the problem and solution identification to its generic phases. The challenges have been identified based on literature surveys and industry feedback. Findings – As common problems at implementing information security risk management approaches, we identified the fields of asset and countermeasure inventory, asset value assignment, risk prediction, the overconfidence effect, knowledge sharing and risk vs. cost trade-offs. The reviewed risk management approaches do not explicitly provide mechanisms to support decision makers in making an appropriate risk versus cost trade-offs, but we identified academic approaches which fulfill this need. Originalit of this paper provides a reference point for professionals and researchers by summing up the current challenges in the field of information security risk management. Therefore, the findings enable researchers to focus their work on the identified real-world challenges and thereby contribute to advance the information security risk management domain in a structured way. Practitioners can use the research results to identify common weaknesses and potential solutions in information security risk management programs.

RINGKASAN

Current Challenges in Information Security Risk Management

(http://emeraldinsight.com/doi/pdfplus/10.1108/IMCS-07-2013-0053)

(Revanda Dwi F / 1534010024)

Ringkasan pada makalah “Current Challenges in Information Security Risk Management” ini adalah sebagai berikut. Yang pertama adalah tujuan dari makalah ini yaitu untuk memberikan gambaran tentang pendekatan risiko manajemen saat ini dan garis persamaan dan perbedaan mereka, mengevaluasi pendekatan risiko manajemen saat ini mengenai kemampuan mereka mendukung keputusan hemat biaya tanpa keamanan yang tidak perlu trade-off, menguraikan masalah mendasar saat ini dalam manajemen risiko berdasarkan umpan balik industri dan literatur akademik dan memberikan solusi potensial dan arah penelitian untuk mengatasi diidentifikasi masalah. Meskipun dekade penelitian, keamanan informasi domain manajemen risiko masih menghadapi berbagai tantangan yang menghambat manajer risiko untuk datang dengan hasil manajemen risiko.

Keamanan informasi sama pentingnya seperti yang pernah , tapi tantangan untuk menentukan faktor yang berkontribusi terhadap kerawanan informasi membuktikan menjadi alam yang kompleks . Dalam rangka untuk mencapai tingkat yang diinginkan perlindungan terhadap ancaman dan untuk menyediakan mekanisme yang diperlukan untuk melindungi aset dan pengetahuan organisasi , berbagai macam pendekatan manajemen dan metode telah dikembangkan dalam dekade terakhir . Meskipun pendekatan manajemen risiko keamanan informasi dari tahun-tahun berikutnya disediakan beberapa langkah tambahan atau struktur proses yang berbeda , namun mereka masih menggunakan cara yang didasarkan pada pendekatan yang telah dikembangkan pada tahun 1980-an . Desain dalam makalah ini adalah untuk mengidentifikasi tantangan dalam informasi manajemen risiko keamanan, pendekatan yang ada dibandingkan terhadap satu sama lain, dan sebagai hasilnya, metodologi abstrak berasal untuk menyelaraskan masalah dan identifikasi solusi untuk fase generiknya. Tantangan telah diidentifikasi berdasarkan survei literatur dan umpan balik industri. Temuan - masalah Sebagai cara umum pada penerapan manajemen risiko keamanan informasi pendekatan, kami mengidentifikasi bidang aset dan persediaan penanggulangan, nilai aset tugas, risikoprediksi, efek terlalu percaya, berbagi pengetahuan dan risiko vs biaya trade-off. Ulasan risiko pendekatan manajemen tidak secara eksplisit menyediakan mekanisme untuk mendukung pengambil keputusan dalam membuat risiko yang tepat versus biaya trade-off, tapi kami mengidentifikasi pendekatan akademik yang memenuhi kebutuhan ini. Isi dari makalah ini memberikan titik acuan bagi para profesional dan peneliti dengan menyimpulkan tantangan saat ini di bidang manajemen risiko keamanan informasi. Oleh karena itu, Temuan memungkinkan para peneliti untuk memfokuskan pekerjaan mereka pada tantangan dunia nyata yang diidentifikasi dan dengan demikian berkontribusi untuk memajukan domain manajemen risiko keamanan informasi dalam cara yang terstruktur.Praktisi dapat menggunakan hasil penelitian untuk mengidentifikasi kelemahan umum dan solusi potensial di keamanan informasi program manajemen risiko.