High level information security risk in higher education

Abstract

Identifisere verdier, trusler og sårbarheter er avgjørende når du vurderer risikoer i organisasjoner. Flere av de mest kjente informasjonssikkerhetsrisiko rammeverkene som ISO/IEC 27005, NIST SP 800-39 og OCTAVE bruker dette i sine rammeverk. Hensikten med denne masteroppgaven er å evaluere hvilke informasjonssikkerhetsrisikoer som truer høyere utdanningsinstitusjoner og vurdere oppfatningen av informasjonssikkerhetsrisiko på ledernivå ved Norges teknisk-naturvitenskapelige universitet (NTNU). Denne masteroppgaven benyttet seg av kvalitative og kvantitative forskningsmetoder som litteraturstudie, spørreundersøkelse og intervjuer for å identifisere verdifulle informasjonsverdier, trusler og sårbarheter som er fremtredende i høyere utdanningsinstitusjoner. Litteraturstudien gjennomførte 82 gjennomlesninger av forskjellige litteraturkilder fra akademiske artikler, nyhetsartikler, nettsider og rapporter. Spørreundersøkelsen hadde 107 deltakere som inkluderte dekaner, institusjonsledere og annet leder støttepersonell på fakultetsnivå ved NTNU. Intervjuet hadde 13 deltakere fra den øvre administrative ledelses nivået som administrerer kjerneoppgavene ved NTNU. Dette prosjektet ble gjort i samarbeid med personell fra seksjonen of Digital Sikkerhet ved NTNU, som gjennomførte en omfattende risiko- og sårbarhets analyse av NTNU, våren 2020. Noe av resultatet som blir presentert i dette prosjektet vil også bli inkludert in deres endelige sluttrapport. Resultatene fra dette prosjektet viser at den generelle informasjonssikkerhetsrisikoen som er identifisert i litteraturstudiet og på ledernivå ved NTNU, deler en høy grad av likhet. Trusler basert på “Organiserte kriminelle ” og “ Menneskelig feil ” var blant de mest fremtredende truslene i høyere utdanning. Disse truslene kan utnytte aktuelle sårbarheter i høyere utdanning som inkluderer: Mangel på informasjonssikkerhets kunnskap, bevissthet, holdning, kultur og manglende ressurser. Verdifulle informasjonsverdier i høyere utdanning relatert til “Graduation measures”, “Stakeholder satisfaction”, “Employee & HR” og “Enrollment” ble identifisert som de mest verdifulle og misbruk av disse ville være kritiske for høyere utdanningsinstitusjoner. Kombinasjonen av disse tre faktorene illustrerer en oversikt over informasjonssikkerhetsrisikoen som er relevant for høyere utdanningsinstitusjoner.

Identifying assets, threats and vulnerabilities is essential when assessing therisk in an organisation. Several of the most renowned information security risk assessment frameworks like ISO/IEC 27005, NIST SP 800-39 and OCTAVE has this assessment in their framework. The purpose of this master thesis is to evaluate what information security risk currently threatening higher educational institutions and assess the information security risk perception of the managerial level at the Norwegian University of Science and Technology (NTNU). This master thesis utilized qualitative and quantitative research methods like literature study, survey and interviews to identify valuable information assets, threats and vulnerabilities that are prominent in higher educational institutions. The literature study conducted 82 reviewers of different literature sources including academic papers, articles, websites and white papers. The survey had 107 participants which included deans, institution leaders and other managerial support personnel at faculty level at NTNU. The interview had 13 participants from the top administrative management who manage the core tasks at NTNU. This project was done in collaboration with personnel from the Digital Security Section at NTNU, which conducted an extensive risk assessment of NTNU, in the spring of 2020. Some of the result presented in this thesis will also be featured in their final risk assessment. The findings from this project show that the overall information security risk identified in the literature study and at the managerial level at NTNU shares a high degree of likeness and similarities. Threat based on “Organized criminals” and “Human error” were among the topmost prominent threats in higher education. These threats can exploit prominent vulnerabilities in higher education which includes: Lack of information security knowledge, awareness, attitude, culture and insufficient resources. Valuable information assets in higher education relating to “Graduation measures”, “Stakeholder satisfaction”, “Employee & HR” and “Enrollment” were identified as the most valuable and abuse of these would be critical to higher education institutions. The combination of these three factors illustrate an overview of the information security risk relevant for higher educational institutions.