Utilisation of the perceived benefits of training new employees in information security

Abstract

Kunnskap og opplæring er en avgjørende del av å skape en bevissthet rundt informasjonssikkerhet og å skape atferdsendring. I Norge er det ingen opplæring eller utdanning i informasjonssikkerhet på skolen eller som på andre måter er rettet mot den yngre befolkningen. Dette betyr at når de blir ansatt i en bedrift, står de nyansatte uten erfaring i informasjonssikkerhet og utgjør en potensiell risiko mot bedriften. Løsningen på dette problemet er ganske enkelt å trene de nyansatte i informasjonssikkerhet når de starter. Denne løsningen gir også fordeler ved at de nyansatte kan læres opp i oppgavene på en sikker måte fra starten, og trenger ikke læres opp på nytt i etterkant. De nyansatte kan bli introdusert i informasjonssikkerhetskulturen fra starten og kan formes deretter. Selv med alle fordelene, og informasjon som peker på tidlig trening i informasjonssikkerhet for nyansatte som et kritisk punkt, gjør ikke alle bedrifter det. Dette forskningsprosjektet tar sikte på å avdekke hvordan og hvorfor nyansatte blir opplært i informasjonssikkerhet, hvilke mangler opplæringen eventuelt har, og hvorfor de nyansatte eventuelt ikke blir opplært i informasjonssikkerhet. For å finne svarene ble det gjennomført tre runder med informasjonsinnsamling. Første runde var en case-studie på læringsmateriellet ulike selskaper brukte når de lærte opp nyansatte i informasjonssikkerhet. Denne case-studien er i hovedsak rettet mot å finne svar på spørsmålet om "hvordan nyansatte er opplært i informasjonssikkerhet"? Den andre runden var intervju med utviklerne av opplæringsprogrammet i informasjonssikkerhet og de som administrerte gjennomføringen av opplæringsprogrammet. Intervjuene fokuserte på å få svar på spørsmålet "hvorfor nyansatte er opplært i informasjonssikkerhet, eventuelt hvorfor ikke"? Til slutt ble en spørreundersøkelse brukt til å styrke funnene fra case-studien og intervjuene. Det første av funnene er at all opplæring i informasjonssikkerhet utført av bedriftene var i form av nettbaserte kurs utført individuelt av de nyansatte. Årsaken til dette var at ressursbruken for andre løsninger var høy, og det var begrensninger på den tildelte tiden for opplæring i informasjonssikkerhet for de ansatte. Det andre funnet er at informasjonssikkerhetspersonellet utviklet opplæringsprogrammet i informasjonssikkerhet uten pedagogiske ressurser. I praksis betyr dette at innholdet og emnene i informasjonssikkerhetsopplæringen er god, men at metodene og teknikkene som brukes til å formidle kunnskap, og endre oppførselen, til de nyansatte var mindre effektive. Det siste funnet er mot selskapene som ikke lærer opp sine nyansatte i informasjonssikkerhet. Dette problemet kommer ikke fra mangler hos informasjonssikkerhetsavdelingen, men fra selskapet generelt. Nærmere bestemt hadde informasjonssikkerhetsavdelingen problemer med ressursbruk og autoritet utenfor egen avdeling. Problemet hadde eksistert i alle selskapene, men hadde blitt løst ved hjelp av skriftlige avtaler mellom informasjonssikkerhet avdelingen og toppledelsen.

nowledge and training are crucial parts of obtaining an information security awareness and creating a behavioral change. In Norway, no information security training or education is done at school or in other ways targeting the younger population. This means that when they get hired by a company, the new employees stand without any information security experience and pose a potential risk towards the company. The solution to this problem is simply training the new employees in information security when they start working. This solution also provides benefits in that the new employees can learn their tasks in a secure way from the start, and do not need to relearn their tasks. The new employees can be introduced into the information security culture from the start and molded to this effect. Even with all the advantages, and information pointing to early information security training of new employees as a critical point, not every company does so. This research project aims to uncover not only how and why new employees are trained in information security, but also potential faults in the training, and potentially why the information security training is missing. In order to find the answers, there were three rounds of information gathering. Firstly, a case study was conducted on the learning material different companies used when training their new employees in information security. This case study aimed mostly at finding the answers to the question of "how new employees are trained in information security?" Secondly, an interview with the people who developed the information security training program and who supervised the execution of the training program was conducted. The interview focused at answering the question "why new employees are trained in information security, or potentially why not?" Lastly, a questionnaire was used to strengthen the findings of the case study and interviews. The first of the findings tell that all information security training done by the companies, is in the form of online courses done individually by the new employees. The reason for this was the resource usage for any other solution being high, and limitations to the time allocated for information security training of the regular employees. The second finding is that the information security personnel develop the information security training program, without educational resources. In practice, this means that the content and topics of the information security training are good, but the methods and techniques used to impart knowledge to, and change the behavior of the new employees are somewhat lacking. The last finding is towards the companies who do not train their new employees in information security. This problem does not come from a lack of interest from the information security department, but from the company in general. More specifically the information security department had problems with jurisdiction and authority outside of their own department. The problem had existed in all the companies but was solved using written contracts between the information security department and the top management.