Key factors in making Information Security Policies Effective

Abstract

NORSK: Målet med denne oppgaven har vært å finne frem til nøkkelfaktorer som kjennetegner en effektiv policy for informasjonssikkerhet. Utfordringen har vært å finne frem til hva vi ikke vet og ikke forstår i arbeidet med å finne frem til faktorer som gjør en policy effektiv, og samtidig lage en undersøkelse god nok til å frembringe og skille ut nøkkelfaktorer av betydning. Undersøkelsen henvendte seg til ”store” virksomheter hvor informasjons- og kommunikasjons teknologi ble ansett å utgjøre en vesentlig del av den daglige aktiviteten. Fra spørreundersøkelsen ble det funnet store forskjeller hos virksomhetene som rapporterte ”høye” og ”lave” verdier på ”effekt” av sikkerhetspolicyen og ”virksomhetens sikkerhetsmessige robusthet”. Respondentene som rapporterer høye verdier yter betydelig bedre på parametrene ”personrelaterte forhold” som gir følgende nøkkelfaktorer: − Engasjement fra ledelsen − Læring /”awareness” − Holdninger − Samhandling − Måling, rapportering, oppfølging − Fokus på sikkerhetsmål som involverer arbeidsprosessene Alt arbeid konkluderer med at fokus på de menneskelige faktorer er viktig. For å oppnå effektivitet og suksess i sikkerhetsarbeidet er det avgjørende at sikkerhetspolicyen beskriver oppnålige sikkerhetsmål som involverer arbeidsprosessene. Det er en felles oppfatning blant de som har besvart undersøkelsen at de fleste sikkerhetsbrudd kan betraktes som ikke tilsiktede hendelser som kan oppfattes som feil og uhell forårsaket av mennesker. Dette er et forhold det er det viktig å være oppmerksom på i arbeidet med sikkerhetspolicyen og dens mest uttalte årsaker til sikkerhetshendelser. Virksomheter som utfører ”måling, rapportering og oppfølging” enten på virksomhetsnivå eller av sikkerhetspolicyen oppnår bedre resultater på ”effekt”. Resultatene indikerer at overvåkning og måling av det aktuelle miljøet fører til høyere nivå med hensyn på fokus og kontroll. Effektive sikkerhetsmekanismer er avhengig av et sikkerhetsbevisst miljø hvor de ansatte forstår nødvendigheten og samtidig engasjerer seg i sikkerhetsarbeidet. Bruk av bevissthetstrening for å oppnå og vedlikeholde et sikkerhetsfremmende miljø er et avgjørende element for å oppnå dette. Alle resultater understøtter at “engasjement fra ledelse” er en viktig faktor for å tilrettelegge forholdene med hensyn på målsettingen å oppnå en effektiv sikkerhetspolicy.

ENGELSK: The aim of this work is to reveal key factors that characterize an effective information security policy. The challenge has been to find out what not knowing and not understanding in the search for factors that makes a security policy effective, and to design a questionnaire good enough to obtain and distinguish the key factors of interest. The survey approached “large” organizations in which information- and communication technology (ICT) is considered being an essential part of the daily operation. The postal questionnaire, revealed considerable differences between organizations reporting “high” and “low” values on “effect” of the security policy and “organizational security robustness". Respondents reporting high values perform significantly better on the “human oriented” parameters that appear to be key factors: − Engagement from management − Learning/awareness − Cultural aspects (behaviour and attitude) − Personal bonding − Measuring, reporting, following up − Focus attainable security objectives involving the working processes All work concludes that the human side of enterprise is important. It is crucial to the effectiveness and success of the security work that the security policy describes attainable security objectives involving the working processes. It is a common agreement among the respondents that most of the security breaches can be looked upon as unintended incidents perceived as faults and accidents caused by human error. This assumption is important to be aware of related to the work with the security policy and its most pronounced causes to security breaches. Organizations that perform “measurement, reporting and following up” on either organization level, or related to security policies gain higher scores on “effect”. The results indicate that monitoring and measuring the environment in question leads to a higher level of focus and control. The implementation of effective security controls is dependent upon creating a security positive environment where employees understand and engage in the behaviour that is expected of them. The use of security awareness to create and maintain security positive behaviour is a critical element in achieving this. All results supports that “engagement from management” is an important factor in achieving appropriate conditions in the aim of making security policies effective.