Show simple item record

dc.contributor.authorMathisen, Johnny
dc.date.accessioned2008-04-02T09:42:35Z
dc.date.issued2004
dc.identifier.urihttp://hdl.handle.net/11250/143904
dc.description.abstractNORSK: Holdningene og bevisstheten blant de ansatte har stor betydning for informasjonssikkerheten i dagens bedrifter. Det er en vanlig oppfatning at menneskene og deres oppførsel faktisk betyr mer for informasjonssikkerheten enn alle mulige tekniske løsninger. Dette er velkjent også blant alle store norske bedrifter og organisasjoner. Og derfor jobber de også veldig aktivt for å heve bevisstheten og forbedre oppførselen og holdningene blant sine ansatte. Mange gjør dette ved å arrangere spesielle sikkerhetskampanjer. Men vet de noe om effekten av dette arbeidet? -Fører kampanjene virkelig til bedre holdninger og bedret oppførsel når det gjelder informasjonssikkerhet? -Kan effekten av informasjonssikkerhetskampanjer, eller annet holdningsskapende arbeid, måles? -Er det noen som måler effekten av det arbeidet de gjør eller håper og tror de bare at innsatsen deres har en positiv effekt på de ansattes oppførsel? Vi har gjort en undersøkelse blant mange norske bedrifter for å finne svarene på disse spørsmålene. Sikkerhetsledere og andre personer som jobber med bevissthet og holdninger til informasjonssikkerhet har blitt intervjuet for å frembringe nødvendig informasjon. De har blitt stilt spørsmål om hvordan de jobber med å heve bevisstheten og forbedre holdningene blant sine ansatte samt hvordan de eventuelt måler nivået på bevisstheten. Enkelte bedrifter arrangerer sikkerhetskampanjer ganske ofte mens andre sjelden aller aldri gjør det. Noen lager sine egne kampanjer mens andre bruker tilpassede versjoner av kommersielle produkter. Og enkelte bedrifter forsøker faktisk å måle nivået på bevisstheten blant sine ansatte. Dette blir gjort for eksempel gjennom interne spørreundersøkelser, interne kontroller eller trafikk-målinger i det interne datanettverket. Men ingen av organisasjonene sier at de bruker målingene systematisk for å måle effekten av det holdningsskapende arbeidet. De som foretar slike målinger bruker disse i hovedsak til å se om det er behov for spesielle sikkerhets-kampanjer. Men de intervjuede sikkerhetslederne sier at det er behov for slike målinger, og de ser fram til resultatet av dette arbeidet. For å hjelpe dem i arbeidet med å måle effekten av det holdningsskapende arbeidet har vi identifisert og definert et sett av sikkerhetsmetrikker. Dette settet er ikke ment å være et komplett sett av bevissthetsmetrikker, men forhåpentligvis kan de tjene som eksempler og gi inspirasjon til å definere andre metrikker. Metrikkene er definert i henhold til tilgjengelige maler, og de er presentert i Appendix I til slutt i denne rapporten slik at alle bedrifter og organisasjoner som ønsker det kan bruke dem. Det er viktig at metrikkene kan brukes i det praktiske arbeidet og at de gir økt verdi for de organisasjonene som bruker dem. Det er derfor viktig å prøve ut metrikkene i praksis. Dette ligger imidlertid utenfor rammene til dette prosjektet, og det vil derfor ikke beskrives i denne rapporten. Men det vil være en naturlig videreføring av det arbeidet som her er gjort.no
dc.description.abstractENGELSK: The attitudes and awareness of the employees are very important for the information security in a company of today. In fact it is a common view that the people and their behaviour mean more to information security than all technical solutions. This fact is well known by all large companies in Norway today. And therefore they work very actively in order to raise the awareness and improve the behaviour and attitudes among their employees. Many do this by arranging special security campaigns. But do they know anything about the effect of their work? -Do the campaigns really lead to better attitudes and behaviour when it comes to information security? -Can the effect of information security awareness campaigns, or any other work with awareness and attitudes, be measured? -Do someone measure the effect of their work or do they just hope and believe that their effort have a positive effect on the way the employees behave? We have done a survey in many Norwegian companies to find the answers to these questions. Security managers and other people working with awareness and attitudes to information security have been interviewed to provide the necessary information. They have been asked questions about how they work to raise the awareness and improve the attitudes among their employees and how they measure the level of awareness. Some companies arrange security campaigns quite often while others seldom or never do it. Some develop their own campaigns while others use a customized version of a commercial product. And some of the companies actually try to measure the level of awareness among their employees. This is done for instance through internal surveys, internal controls, or measurements of traffic on the internal computer network. But none of the organisations say they use the measurements systematically to measure the effect of their work. Those who use such measurements mainly use them to see if there is a need for special security awareness campaigns. But the interviewed security managers say there is a need for such measurements, and they look forward to see the results of this work. In order to help them measure the effect of the work with security awareness, we have identified and defined a set of security metrics. The set is not meant to be a complete set of awareness metrics, but hopefully they may serve as examples and give inspiration to other metric definitions. The metrics are defined according to available templates, and they are presented in Appendix I at the end of this report for all companies and organisations to use. It is important that the metrics can be used in practical work and that they give added value to the organisations using them. A practical test of the metrics is therefore very important. This is however out of the scope of this project and will not be described in this report. But it is considered a natural continuance of the work that is done here.en
dc.format.extent2213452 bytes
dc.format.mimetypeapplication/pdf
dc.language.isoengen
dc.subjectinformasjonssikkerheten
dc.subjectbedriften
dc.subjectbevissthetsmetrikken
dc.titleMeasuring Information Security Awareness. A survey showing the Norwegian way to do it.en
dc.typeMaster thesisen
dc.subject.nsiVDP::Mathematics and natural science: 400::Information and communication science: 420::Security and vulnerability: 424en


Files in this item

Thumbnail

This item appears in the following Collection(s)

Show simple item record