• norsk
    • English
  • English 
    • norsk
    • English
  • Login
View Item 
  •   Home
  • Fakultet for informasjonsteknologi og elektroteknikk (IE)
  • Institutt for informasjonssikkerhet og kommunikasjonsteknologi
  • View Item
  •   Home
  • Fakultet for informasjonsteknologi og elektroteknikk (IE)
  • Institutt for informasjonssikkerhet og kommunikasjonsteknologi
  • View Item
JavaScript is disabled for your browser. Some features of this site may not work without it.

Key factors in making Information Security Policies Effective

Wold, Gullik
Master thesis
Thumbnail
View/Open
Wold - Key factors in making information security policies e.pdf (601.0Kb)
URI
http://hdl.handle.net/11250/143908
Date
2004
Metadata
Show full item record
Collections
  • Institutt for informasjonssikkerhet og kommunikasjonsteknologi [2415]
Abstract
NORSK:

Målet med denne oppgaven har vært å finne frem til nøkkelfaktorer som kjennetegner en

effektiv policy for informasjonssikkerhet. Utfordringen har vært å finne frem til hva vi ikke vet

og ikke forstår i arbeidet med å finne frem til faktorer som gjør en policy effektiv, og samtidig

lage en undersøkelse god nok til å frembringe og skille ut nøkkelfaktorer av betydning.

Undersøkelsen henvendte seg til ”store” virksomheter hvor informasjons- og kommunikasjons

teknologi ble ansett å utgjøre en vesentlig del av den daglige aktiviteten.

Fra spørreundersøkelsen ble det funnet store forskjeller hos virksomhetene som rapporterte

”høye” og ”lave” verdier på ”effekt” av sikkerhetspolicyen og ”virksomhetens sikkerhetsmessige

robusthet”. Respondentene som rapporterer høye verdier yter betydelig bedre på

parametrene ”personrelaterte forhold” som gir følgende nøkkelfaktorer:

− Engasjement fra ledelsen

− Læring /”awareness”

− Holdninger

− Samhandling

− Måling, rapportering, oppfølging

− Fokus på sikkerhetsmål som involverer arbeidsprosessene

Alt arbeid konkluderer med at fokus på de menneskelige faktorer er viktig. For å oppnå

effektivitet og suksess i sikkerhetsarbeidet er det avgjørende at sikkerhetspolicyen beskriver

oppnålige sikkerhetsmål som involverer arbeidsprosessene.

Det er en felles oppfatning blant de som har besvart undersøkelsen at de fleste sikkerhetsbrudd

kan betraktes som ikke tilsiktede hendelser som kan oppfattes som feil og uhell forårsaket av

mennesker. Dette er et forhold det er det viktig å være oppmerksom på i arbeidet med

sikkerhetspolicyen og dens mest uttalte årsaker til sikkerhetshendelser.

Virksomheter som utfører ”måling, rapportering og oppfølging” enten på virksomhetsnivå eller

av sikkerhetspolicyen oppnår bedre resultater på ”effekt”. Resultatene indikerer at overvåkning

og måling av det aktuelle miljøet fører til høyere nivå med hensyn på fokus og kontroll.

Effektive sikkerhetsmekanismer er avhengig av et sikkerhetsbevisst miljø hvor de ansatte

forstår nødvendigheten og samtidig engasjerer seg i sikkerhetsarbeidet. Bruk av bevissthetstrening

for å oppnå og vedlikeholde et sikkerhetsfremmende miljø er et avgjørende element for

å oppnå dette.

Alle resultater understøtter at “engasjement fra ledelse” er en viktig faktor for å tilrettelegge

forholdene med hensyn på målsettingen å oppnå en effektiv sikkerhetspolicy.
 
ENGELSK:

The aim of this work is to reveal key factors that characterize an effective information security

policy. The challenge has been to find out what not knowing and not understanding in the

search for factors that makes a security policy effective, and to design a questionnaire good

enough to obtain and distinguish the key factors of interest.

The survey approached “large” organizations in which information- and communication

technology (ICT) is considered being an essential part of the daily operation.

The postal questionnaire, revealed considerable differences between organizations reporting

“high” and “low” values on “effect” of the security policy and “organizational security

robustness". Respondents reporting high values perform significantly better on the “human

oriented” parameters that appear to be key factors:

− Engagement from management

− Learning/awareness

− Cultural aspects (behaviour and attitude)

− Personal bonding

− Measuring, reporting, following up

− Focus attainable security objectives involving the working processes

All work concludes that the human side of enterprise is important. It is crucial to the

effectiveness and success of the security work that the security policy describes attainable

security objectives involving the working processes.

It is a common agreement among the respondents that most of the security breaches can be

looked upon as unintended incidents perceived as faults and accidents caused by human error.

This assumption is important to be aware of related to the work with the security policy and its

most pronounced causes to security breaches.

Organizations that perform “measurement, reporting and following up” on either organization

level, or related to security policies gain higher scores on “effect”. The results indicate that

monitoring and measuring the environment in question leads to a higher level of focus and

control.

The implementation of effective security controls is dependent upon creating a security

positive environment where employees understand and engage in the behaviour that is

expected of them. The use of security awareness to create and maintain security positive

behaviour is a critical element in achieving this.

All results supports that “engagement from management” is an important factor in achieving

appropriate conditions in the aim of making security policies effective.
 

Contact Us | Send Feedback

Privacy policy
DSpace software copyright © 2002-2019  DuraSpace

Service from  Unit
 

 

Browse

ArchiveCommunities & CollectionsBy Issue DateAuthorsTitlesSubjectsDocument TypesJournalsThis CollectionBy Issue DateAuthorsTitlesSubjectsDocument TypesJournals

My Account

Login

Statistics

View Usage Statistics

Contact Us | Send Feedback

Privacy policy
DSpace software copyright © 2002-2019  DuraSpace

Service from  Unit