論文の概要: Risk Management Practices in Information Security: Exploring the Status
Quo in the DACH Region
- arxiv url: http://arxiv.org/abs/2003.07674v1
- Date: Wed, 4 Mar 2020 10:11:44 GMT
- ステータス: 処理完了
- システム内更新日: 2023-05-31 05:07:49.666360
- Title: Risk Management Practices in Information Security: Exploring the Status
Quo in the DACH Region
- Title(参考訳): 情報セキュリティにおけるリスクマネジメントの実践--DACH地域における現状を探る
- Authors: Michael Brunner, Clemens Sauerwein, Michael Felderer and Ruth Breu
- Abstract要約: 情報セキュリティリスク管理は、情報の価値と情報処理システムの適切な保護を保証することを目的としている。
本稿では,DACH地域における情報セキュリティ管理におけるリスクマネジメントの実践状況について検討する。
- 参考スコア(独自算出の注目度): 3.375386983523507
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Information security management aims at ensuring proper protection of
information values and information processing systems (i.e. assets).
Information security risk management techniques are incorporated to deal with
threats and vulnerabilities that impose risks to information security
properties of these assets. This paper investigates the current state of risk
management practices being used in information security management in the DACH
region (Germany, Austria, Switzerland). We used an anonymous online survey
targeting strategic and operative information security and risk managers and
collected data from 26 organizations. We analyzed general practices,
documentation artifacts, patterns of stakeholder collaboration as well as tool
types and data sources used by enterprises to conduct information security
management activities. Our findings show that the state of practice of
information security risk management is in need of improvement. Current
industrial practice heavily relies on manual data collection and complex
potentially subjective decision processes with multiple stakeholders involved.
Dedicated risk management tools and methods are used selectively and neglected
in favor of general-purpose documentation tools and direct communication
between stakeholders. In light of our results we propose guidelines for the
development of risk management practices that are better aligned with the
current operational situation in information security management.
- Abstract(参考訳): 情報セキュリティ管理は、情報価値と情報処理システム(すなわち資産)の適切な保護を確保することを目的としている。
情報セキュリティリスク管理技術は、これらの資産の情報セキュリティ特性にリスクを課す脅威や脆弱性を扱うために組み込まれている。
本稿では,DACH地域(ドイツ,オーストリア,スイス)における情報セキュリティ管理におけるリスクマネジメントの実践の現状について検討する。
戦略的および運用上の情報セキュリティとリスクマネージャを対象として匿名のオンライン調査を行い、26の組織からデータを収集した。
我々は,企業の情報セキュリティ管理活動に使用されるツールタイプやデータソースだけでなく,一般プラクティス,ドキュメントアーティファクト,ステークホルダーコラボレーションのパターンなどを分析した。
この結果から,情報セキュリティリスク管理の実践状況は改善の必要性が示唆された。
現在の産業プラクティスは、手動のデータ収集と、複数の利害関係者が関与する複雑な主観的な意思決定プロセスに大きく依存しています。
特定リスク管理ツールとメソッドは、汎用ドキュメントツールやステークホルダー間の直接的なコミュニケーションのために選択的に使われ、無視される。
この結果を踏まえて,情報セキュリティ管理における現在の運用状況に整合したリスク管理手法開発のためのガイドラインを提案する。
関連論文リスト
- Visibility into AI Agents [9.311198535244023]
AIエージェントに対する商業的、科学的、政府的、個人的活動の委譲の増加は、既存の社会的リスクを悪化させる可能性がある。
エージェント識別子,リアルタイム監視,アクティビティログという,AIエージェントの視認性を高めるための3つの尺度を評価した。
論文 参考訳(メタデータ) (2024-01-23T23:18:33Z) - A Security Risk Taxonomy for Large Language Models [5.120567378386615]
本稿では,大規模言語モデルによるセキュリティリスクに着目し,現在の研究のギャップに対処する。
本研究は,ユーザモデル通信パイプラインに沿ったセキュリティリスクの分類法を提案する。
ターゲットと攻撃タイプによる攻撃を、プロンプトベースのインタラクションスキームに分類する。
論文 参考訳(メタデータ) (2023-11-19T20:22:05Z) - Identity Prove Limited Information Governance Policy against cyber
security persistent threats [0.0]
IDPLは、ISO/IEC:2022のセキュリティと最適性能の標準に基づく情報ガバナンスを適用している。
企業は、正しい人、本物の人、リアルタイムで認証することを保証するべきです。
同社は、顧客データとその情報システム資産に対する潜在的なリスクすべてに焦点を当てた社内システムを持っている。
論文 参考訳(メタデータ) (2023-09-05T10:00:10Z) - Towards Safer Generative Language Models: A Survey on Safety Risks,
Evaluations, and Improvements [76.80453043969209]
本調査では,大規模モデルに関する安全研究の枠組みについて述べる。
まず、広範囲にわたる安全問題を導入し、その後、大型モデルの安全性評価手法を掘り下げる。
トレーニングからデプロイメントまで,大規模なモデルの安全性を高めるための戦略について検討する。
論文 参考訳(メタデータ) (2023-02-18T09:32:55Z) - Foveate, Attribute, and Rationalize: Towards Physically Safe and
Trustworthy AI [76.28956947107372]
包括的不安全テキストは、日常的なシナリオから生じる可能性のある特定の関心領域であり、有害なテキストを検出するのが困難である。
安全の文脈において、信頼に値する合理的な生成のために外部知識を活用する新しいフレームワークであるFARMを提案する。
実験の結果,FARMはSafeTextデータセットの最先端結果を得ることができ,安全性の分類精度が5.9%向上したことがわかった。
論文 参考訳(メタデータ) (2022-12-19T17:51:47Z) - Towards Automated Classification of Attackers' TTPs by combining NLP
with ML Techniques [77.34726150561087]
我々は,NLP(Natural Language Processing)と,研究におけるセキュリティ情報抽出に使用される機械学習技術の評価と比較を行った。
本研究では,攻撃者の戦術や手法に従って非構造化テキストを自動的に分類するデータ処理パイプラインを提案する。
論文 参考訳(メタデータ) (2022-07-18T09:59:21Z) - A System for Automated Open-Source Threat Intelligence Gathering and
Management [53.65687495231605]
SecurityKGはOSCTIの収集と管理を自動化するシステムである。
AIとNLP技術を組み合わせて、脅威行動に関する高忠実な知識を抽出する。
論文 参考訳(メタデータ) (2021-01-19T18:31:35Z) - Dataset Security for Machine Learning: Data Poisoning, Backdoor Attacks,
and Defenses [150.64470864162556]
この作業は体系的に分類され、幅広いデータセット脆弱性とエクスプロイトを議論する。
様々な毒とバックドアの脅威モデルとそれらの関係を記述することに加えて,それらの統一分類法を展開する。
論文 参考訳(メタデータ) (2020-12-18T22:38:47Z) - Risk Management Framework for Machine Learning Security [7.678455181587705]
機械学習モデルに対する敵意攻撃は、学界と産業の両方で非常に研究されているトピックとなっている。
本稿では,機械学習モデルに依存する組織に対して,リスク管理プロセスを導くための新しい枠組みを提案する。
論文 参考訳(メタデータ) (2020-12-09T06:21:34Z) - Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。
我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。
我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
論文 参考訳(メタデータ) (2020-10-19T13:09:31Z) - SMEs' Confidentiality Concerns for Security Information Sharing [1.3452510519858993]
しかし、中小の企業はEU経済の不可欠な部分と考えられているが、サイバー攻撃に非常に脆弱である。
本稿では,中小企業の主任情報セキュリティ責任者7人との半構造化インタビューの結果を提示し,オンライン同意コミュニケーションが情報共有のモチベーションに与える影響を評価する。
その結果,合意の適切なレベルを示す複数の選択肢によるオンライン同意が情報共有のモチベーションを改善した。
論文 参考訳(メタデータ) (2020-07-13T10:59:40Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。