| dc.description.abstract | Teknologibransjen gjennomgår en revolusjon. Med innovasjon og ny teknologi kommer også stadig nye trusler. For eksempel er norske bedrifter, organisasjoner og offentlige sektorer i stadig større grad ofre for avanserte digitale angrep, med derav følgende store økonomiske konsekvenser. Den norske regjeringen har også et økende fokus på digital sikkerhet og lanserte f.eks. i januar 2019 en Nasjonal strategi for digital sikkerhet.
De siste årene har det vært fokus på oppstartbedrifter i Norge, såkalte «startups». Disse kan defineres som en midlertidig organisasjon laget for å finne ut og skape en repeterbar og skalerbar forretningsmodell, og defineres av noen som en «mental tilstand». Oppstartbedriftene har fått økende oppmerksomhet fra både offentlig og privat næring samt sluttbrukere, noe som har resultert i økte investeringer. Slike bedrifter kan imidlertid preges av få ressurser og en spontan og løst definert arbeidsprosess hvor hovedfokuset er å få produktet til markedet raskt, noe som kan gjøre dem spesielt sårbare.
Tidligere forskning har fokusert på sikkerhetsrammeverk, sikkerhet i agile utviklingsprosess, undersøkt hvordan små og mellomstore bedrifter arbeider med informasjonssikkerhet og en studie har tatt en teknisk tilnærming til å teste noen oppstartbedrifter mot kjente sårbarheter. Imidlertid har det vært lite forskning om hvordan oppstartbedrifter jobber med informasjonssikkerhet. Spesielt er det ingen systematisk informasjon om hvordan forskjellige norske oppstartbedrifter jobber med sikkerhet på både et generelt og spesifikt nivå; f.eks. hva de egentlig gjør for å redusere sin risiko mot f.eks. dataangrep eller datalekkasjer. Forskning har også indikert at motivasjonsfaktorer er viktige når man arbeider med sikkerhet i organisasjoner generelt, men lite er kjent om ulike motivasjonsfaktorer er involvert i oppstartbedriftenes arbeid med informasjonssikkerhet.
Denne utprøvende casestudien er den første som undersøker ulike aspekter av informasjonssikkerhet i norske oppstartbedrifter, og tar hensyn til både tekniske, organisatoriske og motivasjonsfaktorer. Først ble det gjennomført en gjennomgang av noen potensielle relevante rammeverk og veiledere for informasjonssikkerhet. Temaer som ble identifisert av denne gjennomgangen ble kategorisert og dannet grunnlag for hypotesegenerering knyttet til informasjonssikkerhetspraksiser i norske oppstartbedrifter, og utvikling av en anvendbar intervjuguide. Disse hypotesene ble deretter testet gjennom intervjuer av fire norske oppstartbedrifter, for å identifisere elementer av deres sikkerhetsaktiviteter og deres motivasjon for å utføre disse.
Gjennomgangen av eksisterende potensielle relevante veiledninger og rammeverk knyttet til informasjonssikkerhet identifiserte eksisterende materialer som hadde elementer av relevans for sikkerhet i oppstartbedrifter. Imidlertid dekket ikke noen av disse alle emner som ble rapportert som viktige for oppstartbedriftene. Mange aspekter av oppstartbedriftenes praksiser relatert til sikkerhet ble også dekket av veilederne og rammeverkene. Intervjuene identifiserte f.eks. at oppstartbedriftene vanligvis hadde etablert noen elementer av systematikk for sikkerhetsadministrasjon, og sørget for at en person (intern i ledelsen eller ekstern ekspert) støtter ledelsen i sikkerhetsspørsmål. Opplæring og bevissthet om informasjonssikkerhet var viktig, men oppstartbedriftene varierte i hvordan opplæring av ansatte ble utført. Media fokuserer ofte på de digitale angrepene og økonomiske konsekvenser, mens denne studien fant ut at motivasjonsfaktorer spiller en viktig rolle. Det ble funnet at eksterne faktorer (for eksempel GDPR-bøter, omdømmeskade og at kunder stolte på dem), samt interne motivasjonsfaktorer (f.eks. entreprenørånd og en tro på produktet de lager) spilte viktige roller for hvordan oppstartbedriftene jobber med sikkerhet.
Studien konkluderer med at oppstartbedrifter, som ofte er preget av en løst definert arbeidsprosess og mangel på ressurser, har et behov for skreddersydde retningslinjer tilpasset oppstartbedriften og deres arbeidsform og virkelighet. Videre kan etableringen av felles læringsplattformer og en delingskultur mellom oppstartbedrifter for temaet sikkerhetsproblemer foreslås. I tillegg er det viktig at de ansattes motivasjonsfaktorer tas i betraktning når man utvikler disse nye retningslinjene og plattformer for deling, med det overordnede målet å redusere sikkerhetsutfordringer i eksisterende og fremtidige oppstartbedrifter. | |
| dc.description.abstract | The technology industry is undergoing a revolution. New technology leads to an increase in innovation and establishment of startups. However, new technology are accompanied by new threats. For instance, Norwegian companies, organizations and public sectors are increasingly victims of advanced information security attacks, with major economic consequences. The Norwegian government has an increasing general focus on information security by e.g. launching a National Cyber Security Strategy.
The last couple of years there has been focus on startups in Norway. Startups, which are temporary organization designed to search for a repeatable and scalable business model, and by some defined as a state of mind, have received increasing public and end user attention, resulting in increased investments. However, startups may be characterized by little resources and an ad-hoc working process with the goal of getting the product to the market fast, which make them particularly vulnerable.
Previous research has focused on security frameworks, security in agile development process, investigated how SMEs work with information security and one study has taken a technical approach to test some startups against known vulnerabilities. However, little research has specifically addressed information security issues in startups. In particular, there is no systematic information about how different Norwegian startups work with security on an overall and specific level; e.g. what they actually do to reduce their vulnerability to e.g. cyberattacks. Although research has indicated that motivational factors are important when working with security in organizations in general, little is known about motivations in startups to work with information security.
This exploratory case study is the first to investigate different aspects of information security in Norwegian startups, taking both technical, organizational and motivational aspects into account. First, a review of some potential relevant frameworks and guides was performed. Important topics identified by the review of existing guides and frameworks regarding information security helped to form the hypotheses. The main topics were categorized and aided the work to develop an applicable interview guide. These hypotheses were then tested by semi-structured interviews of four Norwegian startups, in order to identify elements of their security activities and their motivation to perform these.
The review of existing potential relevant materials for guides and frameworks related to information security identified existing materials which had elements of relevance for security in startups. However, the entire guides were not covering all topics reported as important by the startups. Much of their practical day to day work covered some of the important aspects mentioned in the guidelines or frameworks. The interviews identified that the startups typically had established some elements of systematics for security management, and made sure that a person (internal in the management or external expert) supported the management in security issues. Training and awareness around information security was of importance, but the startups varied in how the training of employees was conducted. Interestingly, while media focus on the cyberattacks and economic consequences, this study found that external factors (e.g. GDPR fines, reputational damage and customers trust), as well as internal motivational factors (e.g. entrepreneurial spirit, a belief in the product they are making) play important roles for how startups are working with security.
In conclusion, in light of the ad-hoc process and lack of resources typically seen in startups, the results here indicate that there is a need for specific guidelines designed for startups tailormade for their way of working. Furthermore, the creation of platforms and a sharing culture between startups for security issues can be suggested. Importantly, the employees’ motivational factors need to be taken into account when developing these new guidelines and sharing platforms, with the ultimate goal to reduce vulnerability related to security issues in existing and future startups. | |
