Sikkerhetskultur ved NTNU

Ellestad, Joakim Nereng; Lilja, Magnus Lien; Gustad, Anders Gjengstø; Skuggerud, Espen Stårvik

Ellestad, Joakim Nereng; Lilja, Magnus Lien; Gustad, Anders Gjengstø; Skuggerud, Espen Stårvik

Bachelor thesis

View/Open

no.ntnu:inspera:2326704.pdf (5.605Mb)

URI

http://hdl.handle.net/11250/2617762

Date

2019

Metadata

Show full item record

Collections

Institutt for informasjonssikkerhet og kommunikasjonsteknologi [1606]

Abstract

Oppgaven har som hovedmål å gjøre en litteraturstudie av eksisterende rammeverk, finne bestepraksis, for måling av sikkerhetskultur og gjennomføre en måling på IT-avdelingen ved NTNU. Resultatet av målingen ligger i grunn for å utvikle tiltak for å bedre sikkerhetskulturen. Oppgaven starter med å adressere relevant teori og begreper som vil ligge til grunn for videre arbeid med oppgaven. Videre vil litteraturanalysen og intervju med eksperter ligge til grunn for å adressere bestepraksis og valg av rammeverk. Det valgte rammeverket brukes for å gjennomføre en måling av sikkerhetskultur på IT-avdelingen ved NTNU. Til slutt konkluderer oppgaven med at bruken av rammeverket Information Security Culture Framework (ISCF) har vært vellykket. Bestepraksis for indikatorer kan sies å være stort sett basert på Schein og Robbins modeller og bruken av kvantiative måle metoder har vært brukt svært suksessfult i flere rammeverk. Resultatet fra målingen har identifisert flere viktige forbedringsområder: styring av informasjonsverdier, opplæring, kurs/trening og avdelingsstruktur.

The purpose of this paper is to do a study of existing literature, identify best practice in the field of information security culture and conduct a survey on the IT-department at NTNU. Results from the survey is used to develop a set of actions to improve the security culture. The paper starts by adressing relevant theory and terms which creates the basis for assessing the research topics. The literature analysis together with interviews with experts are key elements for assessing best practice and choosing a framework. The chosen framework is used to conduct a information security culture survey on IT-departement at NTNU. The results show that using Information Security Culture Framework (ISCF) have been deployed successfully. Best practice for indicators can be said to be based on models by Schein and Robbins and quantitative methods have been used successfully by several frameworks. Results from the survey have identified room for improvements: asset management, education and training and program organisation.

Publisher

NTNU