Bruk av rotårsaksanalyse i informasjonssikkerhet

Abstract

Tilnærming til problemer i informasjonssikkerhet (IS) er å identifisere risiko og velge et risikoreduserende tiltak basert på en risikovurdering (RV), eller hendelseshåndtering for problemer som forekommer hyppig. Tilnærmingene har sine begrensninger.Rapporten benyttet rotårsaksanalyse (RCA) på tre caser innen IS for å grave dypere ned i problemet med mål om å eliminere det i sin helhet. Vi besvarer forskningsspørsmålet: Hvor stor nytteverdi har RCA innenfor fagfeltet informasjonssikkerhet?, og underspørsmål: (i) Er det kostnadseffektiv å bruke RCA innen informasjonssikkerhet? (ii) Hvordan fungerer RCA på et tabletop case? (iii) Hvordan fungerer RCA med mye ressurser og tid? (iv) Hvordan fungerer RCA med begrenset ressurser og tid? RCA er lite brukt innen IS som er bakgrunnen for denne oppgaven. Vi konkluderte at RCA fungerer bra som en læringsprosess på tabletop, kun teknisk dokumentasjon er ikke tilstrekkelig, da kontakt med nøkkelpersoner er kritisk for analysen. RCA med mye tid og ressurser ga ekstra innsikt i problemet og førte til svært forskjellige tiltak samenliknet med risikovurdering. Når vi gjennomførte RCA med begrenset tid og ressurser ga det resultater, men vi fant at RCA ikke ble utnyttet til sitt fulle. Vi så at RCA ga resultater i form av rotårsaker for DDoScaset, disse var mer på den administrative siden. Arbeidet vårt belyste RCAs begrensninger i forhold til de tekniske aspektene av IS.

Common approach to problems in information security (IS) is to identify risk and choose risk reducing measures based on risk assessment. This report used root cause analysis (RCA) on three IS case studies to dig deeper into the issue with the goal of eliminating it entirely. We answer the following research questions: How usefull is root cause analysis in the field of information security?, and the following sub-questions: (i) Is it cost effective to use root cause analysis in information security? (ii) How well works root cause analysis on a tabletop case? (iii) How well works root cause analysis on a case with a lot of resources and time? (iv) How well works root cause analysis on a case with limited resources and time? Root cause analysis is rarely used in IS which is the main basis for this task. We conclude that RCA works well as learning prosess on tabletop, but only technical is not suficent far a full prosess since contact with key persons is critical. RCA with a lot of resources gave oss extra insight in the problem and lead to different measures compared to risk assessment. When we completed the RCA with limited time and resources we got results, but we found that RCA hadn’t been used to its full potensial. We also found that RCA gave results in the form of root causes for the the DDoS case, these where more adminastrative related. Our work also highlited RCAs limitations in relation to the technical aspects of IS.