Marte Tårnes ved NTNU har utført en intervjustudie for å finne ut hvordan virksomheter måler informasjonssikkerhet.
Måling av informasjonssikkerhet er vanskelig og utfordrende, men er en viktig del av informasjonssikkerhetsarbeidet. Hovedproblemet er at det er vanskelig å sette en verdi på noe som er så abstrakt som sikkerhet. Verdi på eiendeler kan i stor grad fastsettes på en enkel måte, med unntak av goodwill og ansattkompetanse. Andre vanskelige ting å måle er trusler og sårbarheter, dette avhenger av flere faktorer utenfor virksomhetens kontroll. Informasjonsinnhenting og forstå denne, kan være et problem for mange, også hvilke konsekvenser dette får for virksomheten. Et resultat av dette gjør slike målinger subjektive.
Det er uansett viktig for å finne ut hvor man skal sette inn tiltak, hva som er sårbart for virksomheten og hvor sikker virksomheten faktisk er. Måling av informasjonssikkerhet gir ikke bare bedre sikkerhet, men kan også spare penger ved at man innfører de rette sikkerhetstiltakene og forkaster de unødvendige.
Tårnes sin undersøkelsen viser til intervjuer med virksomheter fra medium til stor størrelse. De viktigste funnene er:
• Alle har målinger på informasjonssikkerhet, men ingen har satt det i system.
• Alle kjenner til ISO 27000-familien som standarder, men forholder seg kun til ISO 27001 og 27000.
• ISO 27004 som håndterer måling av informasjonssikkerhet var det ingen som hadde hørt om.
• For de statlige virksomhetene er det pålagte krav som har fått de til å implementere ISO 27000-standardene.
• Det er hovedsakelig informasjonssikkerhetsansvarlig som initierer aktiviteter i forhold til måling, hvilket medfører manglende ledelsesforankring.
NorSIS anbefaler:
- Les NorSIS sin veiledning for risikostyring. http://norsis.no/veiledninger/Risikostyring.html
- Eksempel for kommuner. http://norsis.no/veiledninger/ledelse/Risiko/Eksempel_pa_risiko_for_kommune.html
- Eksempel for bedrifter. http://norsis.no/veiledninger/ledelse/Risiko/Eksempel_pa_risiko_for_bedrift.html
Les mer:
- Les SINTEF sin artikkel om studien på sintef.no. http://infosec.sintef.no/2012/12/intervjustudie-maling-av-informasjonssikkerhet/
- Les hele studien hos sintef.no. http://infosec.sintef.no/wp-content/uploads/2012/12/20121217-Marte-Taarnes-prosjekt-maaling-av-infosikkerhet.pdf
- Les SANS sin veiledning for måling av informasjonssikkerhet hos sans.org. http://www.sans.org/reading_room/whitepapers/auditing/guide-security-metrics_55
Informasjon fra NorSIS er hentet fra flere kilder. NorSIS vurderer informasjon før publisering, men NorSIS kan ikke holdes ansvarlig for skade eller tap som kan oppstå som følge av ukorrekt, manglende eller utilstrekkelig informasjon.