Koronapandemiens påvirkning på personlig datasikkerhet

Abstract

Dagens trusselbilde mot norske virksomheter er i stadig endring, og det fremkommer kontinuerlig nye sårbarheter en må beskytte seg mot. Bedrifter må derfor opprettholde tilstrekkelig informasjonssikkerhet. Med informasjonssikkerhet menes sikring av måten en behandler en virksomhets informasjonsverdier, ved å ta vare på dens konfidensialitet, integritet og tilgjengelighet. For samfunnskritiske organisasjoner vil det være spesielt viktig å opprettholde tilstrekkelig datasikkerhet på et personlig nivå hos alle ansatte. En sikkerhetsinstruks presenterer de retningslinjene en må forholde seg til, og tar for seg de viktigste punktene en virksomhet anser som essensielt for å opprettholde god sikkerhet. Denne bør derfor være utarbeidet i takt med dagens endrede trusselbilde, men hvilken betydning har det dersom den ikke er det? Koronapandemien kom til Norge i mars 2020, og over natten ble store deler av Norges befolkning tvunget til å jobbe hjemmefra. Samtidig ble det registeret nye sårbarheter direkte rettet mot hjemmekontor og digital samhandling. Casebedriften oppgaven baserer seg på har samtidig gjennomgått en stor endringsprosess, og befinner seg nå i en transisjonsfase. Med denne oppgaven vil vi forsøke å besvare hvordan en sikkerhetsinstruks kan påvirke en organisasjon i endring under koronapandemien?

Denne oppgaven tar utgangspunkt i casestudie som forskningsdesign, hvor vi har brukt kvalitative data i form av semistrukturerte intervju som vårt datagrunnlag. Dette skal i oppgaven settes i sammenheng med relevant teori, for å kunne besvare oppgavens problemstilling. Det er også for å knytte teorien til en kontekst, samtidig som teorien underbygger våre resultater. Da vi samtidig har benyttet oss av en abduktiv tilnærming har vi dynamisk beveget oss mellom empiri og teori gjennom forskningsprosessen. Dette har medført at arbeidet med utvikling av problemstilling har vært en iterativ og kontinuerlig prosess. På bakgrunn av hjemmekontor og mangelfull opplæring, i sammenheng med virksomhetens nåværende sikkerhetsinstruks, risikerer casebedriften at nyansatte ikke blir en del av sikkerhetskulturen. Vår oppgave fremmer viktigheten av en tydelig og godt formulert instruks, og rapporten retter et søkelys mot at hjemmekontor kan ha vært negativt for sikkerhetskulturen til virksomheter med sensitiv informasjon i sine systemer.

Today's threat to Norwegian companies is constantly changing, and new vulnerabilities are continually emerging. Organizations should protect themself from these vulnerabilities and maintain adequate information security. Information security means securing the way one treats a company's information values by taken care of its confidentiality, integrity, and availability. For socially critical organizations, it will be essential to maintain adequate data security on a personal level for all employees. A security instruction presents guidelines one must adhere to and addresses the most critical subjects a business considers essential for maintaining sufficient data security. Organizations should develop security instruction in line with today's changing threat picture, but what significance does it have if it's not? The coronavirus pandemic came to Norway in March 2020, and overnight, Norway's population was forced to work from home. Simultaneous new vulnerabilities were registered directly aimed at home offices and digital interaction. Our assignment's case organization also had a significant change process and is now in a transition phase. With this assignment, we will try to answer how a security instruction can affect an organization in change during the coronavirus pandemic?

This thesis is based on a case study as a research design, where we have used qualitative data in the form of semi-structured interviews as our data sources. The data will be put in context with relevant theory to answer the thesis question and support our results. As we have also used an abductive approach, we have dynamically moved empiricism and theory through the research process. The work of developing the thesis problem has therefore been an iterative and continuous process. Our assignment shows that the case organizations' security instruction may have a considerable impact on the organization's security culture. New employees do not become part of the culture due to home offices and inadequate training. It emphasizes the importance of clear and well-formulated instructions. The thesis also focuses on the fact that home offices may have been harmful to the security culture of companies with sensitive information in their systems.