Improving Security Awareness and Ownership using a method based on Action Research
ENGELSK: Despite the security training and hours spent in educating users, security tests implemented by the security department show that employees in Norsk Tipping have broken the security guidelines stated in the overall security policy. The security education has been done in large groups of employees and the security department wants to develop the security education and test a new method for awareness training in Norsk Tipping. One of the key features in this education is that the employees should be able to participate more in the education and to have the opportunity for a security dialogue in the organization.
The hypothesis for this thesis is that a method based on action research can improve security awareness amongst the employees. Based on literature review and the guidelines provided from the security department a method based on principles from action research seemed promising and would be suitable as method for the security department in Norsk Tipping.
The method that was designed in this project was based on four small-group interventions with employees and their line manager in Norsk Tipping. The core concepts in these sessions were co-generation of knowledge and have opportunity to discuss situations provided by the employees. This should make the content more understandable for the employees. By adopting security categories from the ISO/IEC 27001 standard and a cognitive classification from the educational research the method was intuitive and adjustable for Norsk Tipping.
The project resulted in a method that was easy to understand for the participants. The evaluation identified that all of the employees found this method positive and several of the employees explained that the dialogue was interesting and the content was more understandable. The group interventions also identified several areas where employees should improve awareness. The security department did also get new knowledge about the different roles to the participants. The method can be used to adjust the security education for the employees in the future. NORSK: På tross av kontinuerlig sikkerhetsopplæring så har sikkerhetstester implementert av sikkerhetsavdelingen i Norsk Tipping avdekket brudd på sikkerhetsbestemmelse blant de ansatte. Sikkerhetsopplæringen har blitt gjennomført med store grupper ansatte og sikkerhetsavdelingen ønsket å teste ut en ny metode for å øke sikkerhetsbevissthetene blant de ansatte i Norsk Tipping. Viktige elementer i opplæringen var at de ansatte skulle være mer involvert i opplæringen og det var ønske om få en bedre sikkerhetsdialog med de ansatte.
Hypotesen for dette prosjektet er at metode basert på action research kan øke sikkerhetsbevisstheten blant de ansatte i Norsk Tipping. Etter å ha gjennomført litteraturstudie og diskutert retningslinjene med sikkerhetsavdelingen virket en metode basert på prinsipper fra action research lovende og interessant.
Metoden som har blitt designet i dette prosjektet er basert på fire gruppebaserte intervensjoner med ansatte og deres linjeledere i Norsk Tipping. Viktige elementer i intervensjonene har vært og sammen skape ny kunnskap og ha muligheten til å diskutere kjente situasjoner fra de ulike rollene til deltagerne. Ved å hente sikkerhetskategorier fra ISO/IEC 27001 standarden og en kognitiv klassifisering fra pedagogisk forskning ble metoden intuitiv og mulig å tilpasse til Norsk Tipping.
Prosjektet resulterte i en metode som var enkel å forstå for deltagerne. Evalueringen av metoden identifiserte at alle deltagerne synes at metoden var positiv og flere deltagere forklarte at dialogen i intervensjonene var interessant og at innholdet var enkelt å forstå. Gruppeintervensjonene identifiserte også flere områder hvor de ansatte burde forbedre sikkerhetsbevisstheten. I tillegg lærte sikkerhetsavdelingen nye aspekter ved de ulike rollene til deltagerne. Dette gjør at metoden kan brukes for å tilpasse sikkerhetsopplæringen til de ansatte i fremtiden.