Sustainable economic model of information security management in small and medium enterprises

Poslovna funkcija informacijske sigurnosti u malim i srednjim poduzećima je zanemarena od strane rukovoditelja i vlasnika, ali i zakonodavca, strukovnih organizacija koje određuju mjere najbolje prakse te dobavljača softverskih i hardverskih rješenja kojima se otklanjaju rizici informacijske sigurnosti. Ovaj problem je prisutan usprkos činjenici kako većinu obujma hrvatske, europske i svjetske privrede predstavlja upravo poslovna aktivnost malih i srednjih poduzeća. Razlozi za ovu činjenicu su raznoliki, a moguće ih je uglavnom locirati u nedostatku znanja rukovoditelja i vlasnika, nedovoljnoj raspoloživosti financijskih sredstava za implementaciju mjera informacijske sigurnosti te nepostojanju zakonske legislative i najbolje prakse koja bi bila osobito prilagođena specifičnostima malih i srednjih poduzeća. Osim toga, čak niti postojeći alati poput sustava upravljanja kvalitetom ne koriste se adekvatno kao potpora postizanju ciljeva informacijske sigurnosti poduzeća, a to je osiguravanje informacijskog kapitala. U disertaciji se analiziraju mogućnosti korištenja metoda financijskog odlučivanja u kontekstu primjene na informacijsku sigurnost u malim i srednjim poduzećima u Republici Hrvatskoj te metode analitičkih hijerarhijskih procesa pri odlučivanju o investiranju u rješenja informacijske sigurnosti. Po provedenom istraživanju korištenjem statistički relevantnog uzorka promatrane populacije poduzeća postavljen je model za ocjenu dostignute razine funkcionalnosti poslovne funkcije informacijske sigurnosti u malim i srednjim poduzećima u Republici Hrvatskoj, procijenjena je dostignuta razina zrelosti (funkcionalnosti) informacijske sigurnosti, te su identificirane varijable koje su ključne u postizanju te zrelosti, kao i u podizanju navedene funkcije na stratešku razinu. U perspektivnom dijelu disertacije, u fokus interesa je stavljen prijedlog koraka uvođenja modela upravljanja informacijskom sigurnošću u malim i srednjim poduzećima korištenjem ARIS BPM metodologije modeliranja poslovnih procesa. Identificirane su i pojašnjene glavna i podržavajuća vertikala tog procesa, te u okviru obje vertikale, glavni i podržavajući makro-procesi poslovne funkcije informacijske sigurnosti u malim i srednjim poduzećima, kao i potencijalni efekti uvođenja opisanog modela.Information security in SMEs is a neglected business function, both by management, the owners, but also the lawmaker and best practice organizations and vendors of software and hardware solutions used to mitigate information security risks. This problem is omnipresent despite the fact that majority of Croatian, European and world economy consists of SMEs' activities. There are many contributing factors to this issue, and most important of them are lack of funds, knowledge and related best practice. Even existing tools, like quality assurance used by SMEs are not adequately utilized in order to enhance information security. In this dissertation, possibilities of usage of financial analysis and AHP method during decision-making related to information security in SMEs is being evaluated. A research using statistically significant sample of the total population of SMEs in the Republic of Croatia has been undertaken and a model to evaluate current state of achieved functionality of information security across Croatian SMEs has been established. Main contributing variables to the level of functionality are identified, and so are those variables that are contributing to information security being a strategic business function. In the final part of the dissertation, steps to introduce a new model of information security in SMEs have been proposed using ARIS BPM business process modelling methodology. Primary and supporting process hierarchy have been identified and explained, including expected potential effects of its introduction