Målrettet bevissthetsarbeidet for økt sikkerhet i informasjonssystemer: en tilfellestudie i Forsvaret
Abstract
NORSK: Problemeier i Forsvaret beskriver dagens metoder for beskyttelse av
informasjonssystemer som uttilstrekkelige. Beskyttelsen er myntet på erfaring av
identifiserte og kjente angrepsmetoder, og kan betegnes som reaktiv. Dette sammen
med kompleksiteten i informasjonssystemene, gir den målrettede trusselaktør store
konkurransefortrinn. Organisasjoner som ikke ønsker å bli den tapende part i kampen
om sin informasjon, må derfor identifisere og implementere nye
beskyttelsesstrategier.
Vår overordnede hypotese er at en forsvarsstrategi basert på økt kunnskap om fienden
kan bidra til et mer proaktivt informasjonssikkerhetsarbeid, og en mer effektiv
utnyttelse av tilgjengelige ressurser. Kunnskapen om fienden kan økes ved å sette
organisasjonens ansatte i bedre stand til tidlig deteksjon og rapportering av
sikkerhetstrusler og hendelser.
Vi har undersøkt om bevissthetsarbeid, i form av et skreddersydd bevissthetsprogram
mot organisasjonens behov, er redskapet som kan skape en slik organisasjon. Et
litteraturstudium er utført for å undersøke om denne problemstillingen beskrives i
litteraturen og identifisere mulige innfallsvinkler til problemet.
Forskningsspørsmålene er utledet fra problemstillingen og manglende empiriske funn
i litteraturen. Forskningsarbeidet er utført som en tilfellestudie i Forsvaret, i et miljø
med ekspertise innen beskyttelse av kritiske informasjonssystemer. Vi skisserer
mulige løsningsforslag, som bygger på litteratur og empiriske funn. Vi omtaler sentrale
utfordringer som må løses for at en eventuell implementering skal bli vellykket.
Resultatene bekrefter i stor grad problemstilingens gyldighet. Undersøkelsene
indikerer også at vår innfallsvinkel er hensiktsmessig. Det eksisterer et stort
informasjonspotensial om fienden blant organisasjonens ansatte. Skal en strategi
basert på øktfiendeforståelse gjennom økt IS-bevissthet kunne nyttegjøre seg av dette
potensialet, nevnes spesielt kommunikasjonsflyten i organisasjonen som et av de
viktigste suksesskriteriene.
Realisering av strategien krever at det gjennomføres prosjekter som fortsetter vårt
arbeid. Man må gå dypere inn i å identifisere den spesifikke informasjonen om
fienden, som behøves for å kunne forsvare informasjonssystemene. Resultater fra
denne type arbeid, sammen med en kategorisering av ansattes kunnskapsbehov, vil
være viktige innspill til hvordan man skreddersyr bevissthetsarbeidet. ENGELSK: The problem owner in the Norwegian armed forces describes the current methods
used to protect our information systems as insufficient. The protection is based on the
experience of known and identified attack methods, and can be described as reactive.
This, together with the complexity of information systems, provides the targeted threat
agent great competitive advantage. Organizations that don`t want to become the
losing party in the battle of their information must identify and implement new
protection strategies.
Our overall hypothesis is that a defense strategy based on improved knowledge of the
enemy can contribute to a more proactive information security work, and a more
efficient utilization of available resources. Knowledge of the enemy can be increased by
setting the organization's employees in a better position to early detection and
reporting of security threats and incidents.
We have investigated if information security (IS) awareness work, in the form of an IS
awareness program tailored to your organization's needs, is the tool that can create
such an organization. A literature study has been carried out to substantiate the
validity of the problem and identify possible approaches to the problem. Research
questions are derived with respect to the problem description and lack of the empirical
findings in the literature. Research work is conducted as a case study in the military, in
an environment with expertise in the protection of critical information systems. We
outline possible solution proposals, which highlight key success criteria of an
implementation of our approach.
The results confirm the validity of the problem description, and that the project
approach to the problem may be appropriate. There exists a huge information
potential, about the enemy, among the organization's employees. Particularly is the
communication flow within the organization identified as one of the most important
success criteria, to make the strategy take advantage of this information potential.
Realization of the strategy requires that project that continues our work is conducted.
We need projects aimed at identifying the organization detailed need for information
on the enemy. Results from this type of work, together with a classification of
employees' knowledge needs, will be important inputs on how to tailor the IS
awareness work.