Cybersecurity Governance: business process-aware methods for the automation of business impact analysis and risk management

Abstract

Business Impact Analysis (BIA) and Risk Management are critical components of effective cybersecurity governance, yet they are often hindered by manual processes and outdated documentation. Additionally, the ever-increasing complexity of IT infrastructure and the need for continuous adaptation and incorporation of new systems and technologies, necessitates that organizations become agile in assessing and mitigating risk based on the changing conditions. This dissertation presents novel, business-process aware methods that leverage process mining techniques to automate and enhance BIA and risk management activities. The proposed approach reconstructs actual business process models, identifies critical activities and interdependencies, and quantifies potential disruptions and their impacts, by extracting actionable insights from event logs and digital traces of business operations. The incorporation of process mining is proven crucial in this context, in revealing the intricate interdependencies among assets often treated as isolated entities, and establishing a baseline for risk assessment that is accurate to the daily usage of the systems. The methods are validated through case studies across diverse organizational contexts, where improvements in accuracy, efficiency, and responsiveness compared to traditional analyses were ascertained. Through assessments, benchmarking and expert interviews, it is established that the generated insights facilitate the dynamic mapping of risks to specific process activities, enabling continuous, data-driven assessment and mitigation planning. This research essentially bridges the gap between business process management and cybersecurity risk assessment by introducing methods that integrate process mining and impact modeling. The evaluation of the proposed methodologies not only reaffirms this, but showcases the ability of such approaches to distill millions of records to simple, interpretable graphs within seconds, and to offer cybersecurity professionals the capability to continuously update their assessments as new information becomes available. The outcome is a significant step toward adaptive, resilient cybersecurity strategies that align with real-world operational workflows by embedding process intelligence into risk management and impact analysis.

Η ανάλυση επιχειρηματικών επιπτώσεων (ΒΙΑ) και η διαχείριση κινδύνων είναι κρίσιμα στοιχεία της αποτελεσματικής διακυβέρνησης της κυβερνοασφάλειας, αλλά συχνά δυσχεραίνονται από χειροκίνητες διαδικασίες και ξεπερασμένη τεκμηρίωση. Επιπλέον, η συνεχώς αυξανόμενη πολυπλοκότητα της τεχνολογικής υποδομής των οργανισμών και η ανάγκη για συνεχή προσαρμογή και ενσωμάτωση νέων συστημάτων και τεχνολογιών, απαιτούν από τους οργανισμούς να γίνουν ευέλικτοι στην αξιολόγηση και τον μετριασμό των κινδύνων με βάση τις μεταβαλλόμενες συνθήκες. Η παρούσα διατριβή παρουσιάζει καινοτόμες μεθόδους που λαμβάνουν υπόψη τις επιχειρηματικές διαδικασίες και αξιοποιούν τεχνικές εξόρυξης διαδικασιών για την αυτοματοποίηση και τη βελτίωση των δραστηριοτήτων BIA και διαχείρισης κινδύνων. Η προτεινόμενη προσέγγιση ανακατασκευάζει πραγματικά μοντέλα επιχειρηματικών διαδικασιών, προσδιορίζει κρίσιμες δραστηριότητες και αλληλεξαρτήσεις και ποσοτικοποιεί πιθανές διαταραχές και τις επιπτώσεις τους, εξάγοντας χρήσιμες πληροφορίες από αρχεία καταγραφής συμβάντων και ψηφιακά ίχνη επιχειρησιακών λειτουργιών. Η ενσωμάτωση της εξόρυξης διαδικασιών αποδεικνύεται κρίσιμη σε αυτό το πλαίσιο, καθώς αποκαλύπτει τις περίπλοκες αλληλεξαρτήσεις μεταξύ στοιχείων που συχνά αντιμετωπίζονται ως μεμονωμένες οντότητες και καθιερώνει μια βάση αναφοράς για την αξιολόγηση κινδύνου που είναι ακριβής ως προς την καθημερινή χρήση των συστημάτων. Οι μέθοδοι επικυρώνονται μέσω μελετών σε διάφορα πλαίσια, όπου διαπιστώθηκαν βελτιώσεις στην ακρίβεια, την αποτελεσματικότητα και την απόκριση σε σύγκριση με τις παραδοσιακές αναλύσεις. Μέσω αξιολογήσεων, συγκριτικών αναλύσεων και συνεντεύξεων με ειδικούς, διαπιστώνεται ότι οι πληροφορίες που προκύπτουν διευκολύνουν τη δυναμική χαρτογράφηση των κινδύνων σε συγκεκριμένες δραστηριότητες της διαδικασίας, επιτρέποντας τη συνεχή, βασισμένη σε δεδομένα αξιολόγηση και τον σχεδιασμό μέτρων μετριασμού. Η έρευνα αυτή ουσιαστικά γεφυρώνει το χάσμα μεταξύ της διαχείρισης επιχειρησιακών διαδικασιών και της αξιολόγησης κινδύνων στον τομέα της κυβερνοασφάλειας, εισάγοντας μεθόδους που ενσωματώνουν την εξόρυξη διαδικασιών και τη μοντελοποίηση επιπτώσεων. Η αξιολόγηση των προτεινόμενων μεθοδολογιών όχι μόνο επιβεβαιώνει αυτό, αλλά και αναδεικνύει την ικανότητα τέτοιων προσεγγίσεων να συνοψίζουν εκατομμύρια εγγραφές σε απλά, ερμηνεύσιμα γραφήματα μέσα σε δευτερόλεπτα και να προσφέρουν στους επαγγελματίες της κυβερνοασφάλειας τη δυνατότητα να ενημερώνουν συνεχώς τις αξιολογήσεις τους καθώς διατίθενται νέες πληροφορίες. Το αποτέλεσμα είναι ένα σημαντικό βήμα προς δυναμικές, ανθεκτικές στρατηγικές κυβερνοασφάλειας που ευθυγραμμίζονται με τις πραγματικές λειτουργικές ροές εργασίας.