مروري سيستماتيك بر رويكردهاي سرمايه‌گذاري در امنيت اطلاعات

Systematic Review Approaches to Information Security Investment

امنيت اطلاعات جنبه بسيار مهم سيستم‌هاي اطلاعاتي است. در زمينه فنّاورانه امنيت اطلاعات پژوهش‌هاي بسياري انجام شده است، اما با گسترش نيازهاي امنيتي، توجه به نقش مديريت در امنيت اطلاعات نيز اهميت قابل‌توجهي پيدا كرده است. سرمايه‌گذاري در امنيت اطلاعات سازمان‌ها يكي از مباحث مديريتي اين حوزه است. از اين‌ رو در اين پژوهش براي بررسي موضوع ارزيابي سرمايه‌گذاري در امنيت اطلاعات و يافتن روش‌هاي مناسب براي آن، مروري سيستماتيك بر رويكردهاي استفاده‌شده در اين حوزه انجام شده است. از اهداف ديگر اين پژوهش مطالعه روند تحول در رويكردهاي مورداستفاده در سال‌هاي 2006 تا 2017 است. به‌ منظور انجام اين مرور سيستماتيك كليه مطالعات انجام‌گرفته در زمينه سرمايه‌گذاري در امنيت اطلاعات با استفاده از كليدواژه‌هاي مرتبط، از پايگاه داده‌هاي اشپرينگر ،آي اي اي اكسپلوره ، وب آو ساينس، ساينس دايركت استخراج شده، درنهايت تعداد146 مقاله مرتبط به اين موضوع موردبررسي قرار گرفته است. نتايج پژوهش هشت رويكرد عمده (تئوري بازي‌ها، رويكرد مبتني بر ريسك، سيستم‌هاي پشتيبان تصميم، حداكثر سازي مطلوبيت، نرخ بازده سرمايه‌گذاري، تكنيـك ارزش خالص فعلي، نظرية مطلوبيت مورد انتظار، نظريه گزينه‌هاي واقعي)را در اين رابطه شناسايي كرده است. با توجه به نتايج اين پژوهش در سال‌هاي اخير اقبال بيشتري به‌سوي استفاده از تئوري بازي‌ها بوده است.

Information security is an extremely important aspect of information systems. A lot of research has been done in the field of technological security of information, but with the development of security needs, attention has been paid to the role of management in information security. Economic valuation of investment in the information security of organizations is one of the issues of management in this field. In this research, to examine the issue of evaluating investment in information security and finding suitable methods for it, a systematic review of the approaches in information security investment has been done. Other goals of this study are to study the evolution of approaches used in the years 2006 to 2017. In order to carry out this systematic review of all studies in the field of information security investment using the research keywords, extracted Springer, IEEE-Explore, Web of Science, Science Direct databases, ultimately 146 articles related to This topic have been investigated. The research findings identified eight main approaches (game theory, risk-based approach, decision support systems, Utility maximization, rate of return on investment, Net Present Value, expected utility theory, real options theory). According to the results of this research there has been more interested in using game theory in recent years.