God praksis for måling av informasjonssikkerhetsnivå

Abstract

NORSK: Rapporten søker å avdekke parametere som påvirker hva som er god praksis for måling av informasjonssikkerhetsnivå i virksomheter, som antas «å være ledende» innen informasjonssikkerhet. For å finne ut hvordan virksomheter i dag måler informasjonssikkerhet må det undersøkes hva som utføres i praksis i næringslivet. En spørreundersøkelse er gjennomført og supplert med enkelte intervjuer av sikkerhetsledere. Besvarelsene er fra 49 europeiske virksomheter, hvor IT antas å utgjøre en vesentlig del av, eller er tett integrert i forretningsprosessene. 23 av virksomhetene er fra Norge, 17 er fra andre nordiske land og 9 fra andre land i Europa. Disse representerer store virksomheter i nordisk sammenheng, med egne ansatte innen informasjonssikkerhet og med medlemskap i sikkerhetsorganisasjoner. Den gjennomførte studien i rapporten knyttes også til relevant litteratur og forskning innen temaene informasjonssikkerhet, samt måling generelt og av informasjonssikkerhet. Et av rapportens bidrag er en beskrivelse av hva som kjennetegner virksomheter som måler informasjonssikkerhet. I alt 67 % av virksomhetene i spørreundersøkelsen måler eget nivå for informasjonssikkerhet. Statistiske analyser viser at finansielle og tjenesteytende bransjer måler informasjonssikkerhet mer enn andre bransjer. Virksomheter som har utkontraktert hele eller deler av sine IT funksjoner er også mer opptatt av å måle informasjonssikkerhetsnivå. Det samme er virksomheter som har ansatt egen sikkerhetsleder eller har flere enn fem ansatte i sentral sikkerhetsenhet. I tillegg ser det ut til at måling generelt, og spesielt bruk av balansert målstyring, inspirerer til måling av informasjonssikkerhetsnivå. Rapporten gir også en oversikt over hvilke metoder som benyttes i praksis for måling av informasjonssikkerhetsnivå. Mange virksomheter fra spørreundersøkelsen benytter flere metoder, og 85 % benytter kvantitative målemetoder. Egenutviklede metoder benyttes av mange, og medlemmer av Information Security Forum benytter i stor grad metoder herfra. De som måler gjør det mot hele virksomheten og mot IT-avdelingen. Virksomhetene vurderer at de viktigste formålene for måling er å kommunisere status til ledelsen, samt å vise til samsvar med standarder for informasjonssikkerhet. De som ikke måler begrunner dette med at ledelsen ikke etterspør det. Hele 67 % av virksomhetene som måler rapporterer status til toppledelsen. De viktigste vurderte effektene av måling, anses å være økt involvering av ledelsen og bedrede holdninger til informasjonssikkerhet. Bedre beskyttelse av informasjonen blir rangert sist som en effekt av måling. Måling av informasjonssikkerhet anses ut fra dette primært å være et ledelsesverktøy og bare sekundært gi økt informasjonssikkerhet. Rapporten bidrar til slutt med å skissere et forslag til en prosess for måling av informasjonssikkerhet. Den er laget ut fra tilgjengelig relatert arbeid, resultater fra spørreundersøkelsen og intervjuene, samt egne erfaringer. Prosessen er ment å bidra i utviklingen av «god praksis» for måling av informasjonssikkerhetsnivå.

ENGELSK: This report seeks to disclose what is considered to be good practice, in measuring information security levels, within organizations which deem “to be in the lead” in information security. To find out how organizations measure their information security a research of what is actually practiced in business today is necessary. A survey is carried out over 49 European organizations, where IT is considered to play an important role, or is closely integrated in the business. The survey is supplemented with a few interviews of security managers. 23 of the organizations are from Norway, 17 from other Nordic countries and 9 are from other countries in Europe. These represent large organizations from a Nordic view. They have their own security staff and are members in security organizations. The careful study in the report is also tied to relevant literature and research within the subject of information security, measurements in general and for information security. One of the reports contributions is to describe what characterizes organizations that measure information security. In all 67% of the companies in the survey measure their own level of information security. Statistical analysis shows that financial and service related branches more often measures information security than others. Organizations that have outsourced all, or part of, their IT functions do measure information security more often. And organizations that have security manager or have more than five employees in central security positions, measure security more often than others. In addition it appears that measurement in general and especially the use of balanced scorecard is an inspiration to the measuring of information security levels. The report also gives a general view over which methods are used in practice for the measuring of information security levels. Many organizations from the survey use several methods and 85% use quantitative measurement methods. Self made methods are used by many and members of the Information Security Forum make use of methods from this organization. Organizations that measure information security intends to measure the whole company and the IT department. The organizations consider that the most important purpose for measuring is to communicate status to management, and show compliance to information security standards. Those that do not measure excuse it by replying that management has not requested it. A total of 67% of organizations that measure, report the status to topmanagement. The most important considered effect of the measuring seems to be increased involvement by managers and improved attitudes to information security. Better protection of information comes last on the list as an effect of measuring. The measuring of information security appears to show that it is, primarily, a management tool and only subsequently accounts for an improvement of the information security. Summarizing available research, results from this survey and interviews together with own experience the report concludes by outlining a proposal for the measurement of information security. The process is meant as a contribution to the development of “good practice” measuring information security level.