Ny rapport om informasjonssikkerhetskultur

Konsulentfirmaet CLTRe har publisert en ny rapport om informasjonssikkerhetskultur

Rapporten er utarbeidet med støtte fra universitetet i Ljubliana, og baserer seg på data som er innhentet i Norge og Sverige.

Metodisk har CLTRe definert informasjonssikkerhetskultur i syv dimensjoner. Disse er:

  • Avoiding risky use of internet (Behaviour)
  • Advanced security literacy (Cognition)
  • Positive attitude to control (Attitude)
  • Expressing opinions (Communication)
  • Peers avoiding risky practices (Norms)
  • Individual accountability (Responsibility)
  • Adherence to rules (Compliance)

Rapportens hovedfunn er:

  • Det er observert kjønnsforskjeller når det gjelder risikooppfattelse og kunnskap om informasjonssikkerhet, der kvinner er mindre risikovillige enn menn, mens menn har mer kunnskap om informasjonssikkehet
  • Det er observert forskjeller mellom Norge og Sverige, innenfor de områdene rapporten omhandler
  • Rapporten peker på alder som en faktor som påvirker informasjonssikkerhetskulturen
  • Lengden på tidsrommet en person har arbeidet i en bedrift er også utpekt som en faktor som påvirker sikkerhetskulturen
  • Rapporten viser også til at aksept av normene for informasjonssikkerhet reduserer risikabel atferd

Et av hovedtrekkene i metoden som CLTRe bruker, er at de aggregerer besvarelsene i indexer (et tall mellom 0-100), der en sitter igjen med én hovedindex for sikkerhetskulturen i den enkelte bedrift eller bransje. Tanken er at en skal kunne vurdere om en bedrifts sikkerhetskultur er “bedre” enn en annen. En sikkerhetskultur med indexen 42 er etter denne metoden bedre enn en sikkerhetskultur med indexen 30. Det er ikke beskrevet hvordan de ulike spørsmålene (i undersøkelsen deres) eller dimensjonene vektes, altså om noe anses å være mer tungtveiende enn andre ting.

Vi finner mange enkeltfunn i rapporten som er interessante, og flere av dem bekrefter våre funn fra studien vi publiserte i 2016. Vi anbefaler alle å lese rapporten. Den kan lastes ned (mot registrering av navn og epostadresse) her: https://get.clt.re/report/

NorSIS vurderer:

Vi er faglig uenig i at sikkerhetskultur bør beskrives normativt. En slik tilnærming bygger på en antagelse om at det finnes kulturer som er bedre enn andre. Termer som “god” og “dårlig” kultur er vanlig å bruke i en normativ tilnærming. Det er derfor ikke overraskende at CLTRe ønsker å evaluere resultatene langs en intervallskala.

NorSIS rapport om informasjonssikkerhetskultur i 2016 baserer seg derimot på en deskriptiv tilnærming. En slik tilnærming bygger på en antagelse om at kulturer er forskjellige, men at en ikke kan si at den ene kulturen er bedre enn den andre. Norge har ulik sikkerhetskultur enn det Sverige har, men ingen av dem er bedre enn den andre. NorSIS mener at en slik tilnærming er riktig, fordi bedrifter og bransjer har ulike behov og står overfor sine unike sikkerhetsutfordringer. Å gjøre en matematisk sammenligning av to bedrifter er derfor uhensiktsmessig slik vi ser det. Les gjerne mer om normativ og deskriptiv tilnærming til kulturbegrepet her: https://folk.uio.no/sigurds/kulturanalyse/Kulturbegrepet.html 

Dette betyr likevel ikke at en ikke kan betrakte deler av sikkehetskultur som normative fenomener. Adferd er et slikt fenomen. Vi har, grovt sett, en faglig enighet om hva som er sikker digital adferd. Vi kan beskrive en ideell adferd, og evaluere hvor nær adferden til en bedrifts ansatte er til dette idealet. En kan gjerne bruke indexer for akkurat dette.

Spørsmålet er da: Er dette bare flisespikkeri? Spiller det noen rolle om noen sier sikkerhetskultur, men mener sikker adferd? De henger jo beviselig sammen?

Akkurat her mener NorSIS at en skal være veldig tydelig på begrepsbruken, nettopp fordi det er to helt ulike metodiske tilnærminger til det videre arbeidet.

NorSIS minner om at vi gjennomfører en workshop om informasjonssikkehetskultur i Oslo den 31.mai. Det er fremdeles noen plasser igjen, påmelding kan dere gjøre her: https://response.questback.com/norsis/sikkerkultur2017