aalto1 untyped-item.component.html
Visualizing cybersecurity metrics for management
Loading...
URL
Journal Title
Journal ISSN
Volume Title
Perustieteiden korkeakoulu |
Master's thesis
Unless otherwise stated, all rights belong to the author. You may download, display and print this publication for Your own personal use. Commercial use is prohibited.
Authors
Date
Department
Major/Subject
Mcode
SCI3084
Language
en
Pages
58
Series
Abstract
Cybersecurity topics and development tasks of specific IT systems are often operated by technical teams and persons. Therefore, the knowledge about the cybersecurity status of a system is also limited to these teams. Most IT systems offer native security scores and metrics out-of-the-box however, these are not always followed and, consequently, the data does not offer insightful or actionable information for the IT management at a company. This thesis was written alongside a project at a company, sharing the goal of increasing awareness of cybersecurity topics and improving data-driven cybersecurity development by creating dashboards for the management of the company.
To reach this goal the topic is approached from three different viewpoints: defining suitable cybersecurity metrics, defining and creating visualizations for the metrics, and lastly, creating processes to integrate the created dashboards into current ways of working. The project aimed to create a reporting solution that gathers data from the key IT systems of the company and enrich it with company-specific information. This approach allows the company to gain quick benefits with low effort and investments.
The requirements for the metrics, visualizations, and processes were defined by the company and its needs. The users were divided into three different management levels to easier identify their responsibilities and needs: operational, tactical, and strategic. The processes should align with the requirements of the users and clearly define roles and responsibilities as well as possible actions of the teams. The requirements for the metrics and visualizations were summarized into five categories: meaningful, actionable, understandable, comparable, and linked to business. First, the definition work of metrics, visualizations, and processes was done based on these requirements and then developed and implemented during the project. The technical solution is not discussed in this thesis. The implementation was evaluated in a real production environment and by conducting user acceptance tests with the end users.
The dashboards are functional and meet the needs of the users at the company. The results prove that the metrics, visualizations, and processes satisfy the set requirements. Furthermore, the dashboards and processes can be, and are taken, into use at the company. Future work includes considering the identified improvements and extending the solution to include additional systems and enriching the data even further.
Cybersäkerhet och relaterade utvecklingsuppgifter för IT-system hanteras ofta av tekniskt kunniga grupper och personer. Därför är kunskapen om ett systems cybersäkerhet också begränsad till dessa personer. De flesta IT-system erbjuder inbyggda cybersäkertrapporter och data, men dessa används och följs inte nödvändigtvis av de tekniska personerna, och därför erbjuder inte datan insiktsfull eller handlingsbar information för organisationens ledning. Denna avhandling skrevs för ett företag parallellt med ett projekt med mål att öka kunskapen om cybersäkerhet och förbättra datadriven cybersäkerhetsutveckling genom att generera rapporter för företagets ledning.
För att nå detta mål delades ämnet i tre olika delar: att definiera lämpliga cybersäkerhetsmetriker, att definiera och skapa visualiseringar för metrikerna och slutligen att skapa processer för rapporternas användning. Projektets utgångspunkt var att utnyttja befintliga data och rapporter som erbjuds av företagets IT-system och på så sätt få snabba resultat med relativt låg arbetsinsats och investering.
Kraven för metrikerna, visualiseringarna och processerna definierades av företaget och dess behov. Avhandlingen och projektet inleds genom definitionsarbete baserat på kraven och sedan utvecklades och implementerades lösningen under projektet gång. De tekniska detaljerna och IT-systemen diskuteras inte i denna avhandling. Implementeringen utvärderades i en verklig produktionsmiljö och genom att genomföra användaracceptanstester.
Rapporterna är funktionella och uppfyller användarnas behov på företaget. Resultaten visar att metrikerna, visualiseringarna och processerna uppfyller de uppsatta kraven och att rapporterna och processerna kan tas i bruk på företaget, vilket också gjorts. Framtida arbete inkluderar att överväga de identifierade förbättringsförslagen och att vidareutveckla produkten för att berika datan ytterligare och inkludera fler system.