A Cybersecurity Maturity Model for Digitally Transformed Organizations

A Cybersecurity Maturity Model for Digitally Transformed Organizations. Masters thesis, King Fahd University of Petroleum and Minerals.

[img] PDF
Malek Zeibak Thesis - Cybersecurity Maturity Model for Digitally Transforme Orgs.pdf - Accepted Version
Restricted to Repository staff only until 27 December 2023.

Download (4MB)

Arabic Abstract

يمثل الأمن السيبراني مصدر قلق كبير للمنظمات ، ويرجع ذلك إلى التحولات والتحسينات التكنولوجية المستمرة والكم الهائل من البيانات الضخمة. ومع هذه التحديثات المستمرة ، أصبح التحول الرقمي أولوية للعديد من المنظمات في جميع الأحجام والمجالات لمواكبة العالم المتغير باستخدام التقنيات المبتكرة. يتطلب تحديد ما إذا كانت هذه المنظمات تطبق أفضل الممارسات التي تضمن أمن المعلومات نماذج للقياس مثل نماذج التقييم وقياس النضج، والتي تهدف إلى تقييم ما يمكن قياسه وإعطاءه مستوى نضج معين بناء على التقييم. على الرغم من أن المنظمات تتنافس فيما بينها لمواكبة التطور والحفاظ على مراكز الصدارة ، إلا أن التقنيات الحديثة تأتي مع تحديات ومخاطر متجددة في مجال الأمن السيبراني. يعد قياس الأمن السيبراني في المنظمات التي تم تحولها وتمكينها رقميًا أمرًا جديرًا بالملاحظة والبحث نظرًا لأهمية التقنيات المعتمدة ، خاصة مع تزايد حجم البيانات. تم تطوير وإصدار العديد من نماذج النضج على مر السنين ، بأهداف مختلفة وجودة مختلفة في تصميمها وتنفيذها. وبالرغم من ذلك ، لا توجد نماذج نضج للأمن السيبراني لتقييم المنظمات المتحولة رقميا مما يزيد من الحاجة إلى تطوير نموذج يقيس مستوى الأمن السيبراني لهذه المنظمات. الهدف الرئيسي من هذه الدراسة هو تطوير نموذج جديد يهدف إلى قياس نضج الأمن السيبراني للمؤسسات والمنظمات التي تحولت أو في مسيرتها للتحول الرقمي. بالإضافة إلى ذلك ، يهدف النموذج إلى تقديم تقييم يتعلق بأفضل الممارسات الأمنية مع أهداف قابلة للتخصيص للمؤسسات ذات الأحجام والمجالات المختلفة. من أجل تحقيق هذا الهدف ، تم إجراء مراجعتين من النوع MLRs للدراسات والنماذج المتوفرة لتحديد نماذج النضج المتاحة وأفضل الممارسات من كل من الأبحاث الرسمية والغير رسمية. بعد تحليل 165 دراسة أولية ، تم الانتهاء من تطوير النموذج ، مع سبع فئات للأمن السيبراني تم تحديدها على أنها مجالات القدرة و 22 مجالا للممارسة. إضافة إلى ذلك ، تم تطوير أداة تقييم تدعم التقييم الذاتي. أخيرًا ، تم إجراء ثلاث دراسات حالة من أجل تقييم النموذج في مجالات مختلفة ، وأظهرت النتائج الأولية الجيدة أن النموذج قابل للتطبيق وقابل للتخصيص مع القدرة على تحديد مستوى الأمن السيبراني للمنظمات المتحولة رقمياً. إضافة إلى تقييم النموذج من قبل بعض المختصين والحصول على تقييمهم المتعلق ببنية النموذج وإمكانية تطبيقه في الحالات العملية في سوق العمل.

English Abstract

Cybersecurity is a big concern for organizations, primarily due to the continued technological shifts and upgrades and the vast volumes of big data. With technological renovations, digital transformation became a priority of many organizations of all sizes and domains to catch up with the changing world using innovative technologies. Determining whether these organizations apply the best security practices requires measurements like maturity and assessment models, which intend to evaluate what is measurable and give a certain level of maturity. Although competitive organizations intend to catch up with trends and keep themselves ahead of their compatibles, new technologies come with cybersecurity vulnerabilities and risks. Measuring cybersecurity in digitally enabled or digitally transformed organizations is noteworthy due to the criticality of the adopted technologies, especially with the increased data in value and volume. Many maturity models were developed and released over the years, with different goals and various qualities in their design and implementation. However, there is no cybersecurity maturity models related to digitally enabled or transforming organizations. Such models' absence increases the urge to develop a cybersecurity maturity model for digitally transformed organizations. The main objective of this study is to develop a maturity model that measures cybersecurity maturity for digitally transformed organizations. In addition, the model aims to provide an assessment method for security best practices with customizable objectives for organizations of different sizes and domains. In order to achieve the objective, two Multivocal Literature Reviews (MLRs) were conducted to identify the available maturity models and best practices from both formal literature and grey literature. After analyzing 165 primary studies, the model development was completed, with seven cybersecurity categories identified as the model’s capability areas and 22 practice areas. Moreover, an assessment tool was also developed to support self-assessment. Finally, the model evaluation was done in two types. The first evaluation is by conducting three case studies on different domains, showing initial promising results with the ability to identify the maturity level of an organization. The second evaluation was by some experts and got their feedback about the model structure and applicability.

Item Type: Thesis (Masters)
Subjects: Computer
Management and Marketing
Research > Information Technology
Department: College of Computing and Mathematics > Information and Computer Science
Committee Advisor: Alshayeb, Mohammad
Committee Members: Niazi, Mahmood and Baslyman, Malak
Depositing User: MALEK AL ZEIBAK (g201707350)
Date Deposited: 28 Dec 2022 07:37
Last Modified: 28 Dec 2022 07:37
URI: http://eprints.kfupm.edu.sa/id/eprint/142257