Key factors in making Information Security Policies Effective
Abstract
NORSK:
Målet med denne oppgaven har vært å finne frem til nøkkelfaktorer som kjennetegner en
effektiv policy for informasjonssikkerhet. Utfordringen har vært å finne frem til hva vi ikke vet
og ikke forstår i arbeidet med å finne frem til faktorer som gjør en policy effektiv, og samtidig
lage en undersøkelse god nok til å frembringe og skille ut nøkkelfaktorer av betydning.
Undersøkelsen henvendte seg til ”store” virksomheter hvor informasjons- og kommunikasjons
teknologi ble ansett å utgjøre en vesentlig del av den daglige aktiviteten.
Fra spørreundersøkelsen ble det funnet store forskjeller hos virksomhetene som rapporterte
”høye” og ”lave” verdier på ”effekt” av sikkerhetspolicyen og ”virksomhetens sikkerhetsmessige
robusthet”. Respondentene som rapporterer høye verdier yter betydelig bedre på
parametrene ”personrelaterte forhold” som gir følgende nøkkelfaktorer:
− Engasjement fra ledelsen
− Læring /”awareness”
− Holdninger
− Samhandling
− Måling, rapportering, oppfølging
− Fokus på sikkerhetsmål som involverer arbeidsprosessene
Alt arbeid konkluderer med at fokus på de menneskelige faktorer er viktig. For å oppnå
effektivitet og suksess i sikkerhetsarbeidet er det avgjørende at sikkerhetspolicyen beskriver
oppnålige sikkerhetsmål som involverer arbeidsprosessene.
Det er en felles oppfatning blant de som har besvart undersøkelsen at de fleste sikkerhetsbrudd
kan betraktes som ikke tilsiktede hendelser som kan oppfattes som feil og uhell forårsaket av
mennesker. Dette er et forhold det er det viktig å være oppmerksom på i arbeidet med
sikkerhetspolicyen og dens mest uttalte årsaker til sikkerhetshendelser.
Virksomheter som utfører ”måling, rapportering og oppfølging” enten på virksomhetsnivå eller
av sikkerhetspolicyen oppnår bedre resultater på ”effekt”. Resultatene indikerer at overvåkning
og måling av det aktuelle miljøet fører til høyere nivå med hensyn på fokus og kontroll.
Effektive sikkerhetsmekanismer er avhengig av et sikkerhetsbevisst miljø hvor de ansatte
forstår nødvendigheten og samtidig engasjerer seg i sikkerhetsarbeidet. Bruk av bevissthetstrening
for å oppnå og vedlikeholde et sikkerhetsfremmende miljø er et avgjørende element for
å oppnå dette.
Alle resultater understøtter at “engasjement fra ledelse” er en viktig faktor for å tilrettelegge
forholdene med hensyn på målsettingen å oppnå en effektiv sikkerhetspolicy. ENGELSK:
The aim of this work is to reveal key factors that characterize an effective information security
policy. The challenge has been to find out what not knowing and not understanding in the
search for factors that makes a security policy effective, and to design a questionnaire good
enough to obtain and distinguish the key factors of interest.
The survey approached “large” organizations in which information- and communication
technology (ICT) is considered being an essential part of the daily operation.
The postal questionnaire, revealed considerable differences between organizations reporting
“high” and “low” values on “effect” of the security policy and “organizational security
robustness". Respondents reporting high values perform significantly better on the “human
oriented” parameters that appear to be key factors:
− Engagement from management
− Learning/awareness
− Cultural aspects (behaviour and attitude)
− Personal bonding
− Measuring, reporting, following up
− Focus attainable security objectives involving the working processes
All work concludes that the human side of enterprise is important. It is crucial to the
effectiveness and success of the security work that the security policy describes attainable
security objectives involving the working processes.
It is a common agreement among the respondents that most of the security breaches can be
looked upon as unintended incidents perceived as faults and accidents caused by human error.
This assumption is important to be aware of related to the work with the security policy and its
most pronounced causes to security breaches.
Organizations that perform “measurement, reporting and following up” on either organization
level, or related to security policies gain higher scores on “effect”. The results indicate that
monitoring and measuring the environment in question leads to a higher level of focus and
control.
The implementation of effective security controls is dependent upon creating a security
positive environment where employees understand and engage in the behaviour that is
expected of them. The use of security awareness to create and maintain security positive
behaviour is a critical element in achieving this.
All results supports that “engagement from management” is an important factor in achieving
appropriate conditions in the aim of making security policies effective.