Opplæring, tilsyn, regelverk - gir det bedre informasjonssikkerhet?

Abstract

NORSK: Denne masteroppgaven tar en nærmere titt på hvilke effekter opplæring, tilsyn og et regelverk har å si for informasjonssikkerheten. Det er ikke alltid slike tiltak lykkes og ved å benytte energibransjen forsøker vi å finne ulike faktorer som spiller inn. Vi finner da ut om slike tiltak gir bedre informasjonssikkerhet slik at også andre kan benytte seg av liknende tiltak. For å kunne finne svar på dette har vi valgt å gjennomføre ulike undersøkelser i form av en spørreundersøkelse og noen intervju. Undersøkelsene ble gjennomført hos utvalgte IT-sikkerhetsleder i energibransjen i Norge som hadde gjennomført kurs i regi av NVE. Totalt ble 40 ulike besvarelser samlet inn. Her ble alder, erfaring, virksomhet, holdninger rundt emnene opplæring, tilsyn og regelverk kartlagt. Rapportens bidrag er å gi nye erfaring rundt opplæring, tilsyn og regelverk som sikkerhetstiltak. Og for å se om sikkerheten bedres med bevisstgjøring. Rapporten vil samtidig avdekke situasjonen innenfor informasjonssikkerhet hos energibransjen som anses å være viktig for samfunnet. På bakgrunn av gjennomført studie, kommer det frem at opplæring, tilsyn og regelverk gir bedre informasjonssikkerhet enn gjennomsnittet. Spesielt sikkerhetskulturen bedres med opplæring og tilsyn er en god motivasjonsfaktor for å arbeide med sikkerhet. Men det er viktig å ha klare og lett forståelige regler tilknyttet dette.

ENGELSK: This master’s thesis report takes a closer look at what the effects of education, revision and laws have on information security. It’s not always such means succeed giving better security. We take a closer look at the electric power business. And from our work we find if such means give the wanted effect and if maybe other in similar situations should do the same. To find answers to this, we based our investigation on a questionnaire and some interviews. The questionnaire was conducted on some of the head of security in the electric power business in Norway. And in addition had been at one of the two educational courses NVE was in charge of in end 2006. A total of 40 respondents answered questions about their own age, experience, business, motivation. This thesis has its contribution in giving new information on education, revision and laws and its effect on information security. At the same time, the situation in the electric power business will be reviled. It’s important to have in mind that the electric power business is very important for the society to work. On behalf of the study that has been carried out, it has been revealed that education, revision and laws does improve the security in general. In special, the security culture is improved with such measures and the revision is a good motivator. Laws should be easy to comprehend also if used.