High level information security risk in higher education
Master thesis
Permanent lenke
https://hdl.handle.net/11250/2781169Utgivelsesdato
2020Metadata
Vis full innførselSamlinger
Sammendrag
Identifisere verdier, trusler og sårbarheter er avgjørende når du vurderer risikoer iorganisasjoner. Flere av de mest kjente informasjonssikkerhetsrisiko rammeverkenesom ISO/IEC 27005, NIST SP 800-39 og OCTAVE bruker dette i sine rammeverk.Hensikten med denne masteroppgaven er å evaluere hvilke informasjonssikkerhetsrisikoer som truer høyere utdanningsinstitusjoner og vurdere oppfatningen avinformasjonssikkerhetsrisiko på ledernivå ved Norges teknisk-naturvitenskapeligeuniversitet (NTNU).Denne masteroppgaven benyttet seg av kvalitative og kvantitative forskningsmetoder som litteraturstudie, spørreundersøkelse og intervjuer for å identifisere verdifulle informasjonsverdier, trusler og sårbarheter som er fremtredendei høyere utdanningsinstitusjoner. Litteraturstudien gjennomførte 82 gjennomlesninger av forskjellige litteraturkilder fra akademiske artikler, nyhetsartikler, nettsider og rapporter. Spørreundersøkelsen hadde 107 deltakere som inkluderte dekaner,institusjonsledere og annet leder støttepersonell på fakultetsnivå ved NTNU. Intervjuet hadde 13 deltakere fra den øvre administrative ledelses nivået som administrerer kjerneoppgavene ved NTNU. Dette prosjektet ble gjort i samarbeidmed personell fra seksjonen of Digital Sikkerhet ved NTNU, som gjennomførte enomfattende risiko- og sårbarhets analyse av NTNU, våren 2020. Noe av resultatetsom blir presentert i dette prosjektet vil også bli inkludert in deres endelige sluttrapport.Resultatene fra dette prosjektet viser at den generelle informasjonssikkerhetsrisikoen som er identifisert i litteraturstudiet og på ledernivå ved NTNU, deler enhøy grad av likhet. Trusler basert på “Organiserte kriminelle ” og “ Menneskeligfeil ” var blant de mest fremtredende truslene i høyere utdanning. Disse truslenekan utnytte aktuelle sårbarheter i høyere utdanning som inkluderer: Mangel påinformasjonssikkerhets kunnskap, bevissthet, holdning, kultur og manglende ressurser. Verdifulle informasjonsverdier i høyere utdanning relatert til “Graduationmeasures”, “Stakeholder satisfaction”, “Employee & HR” og “Enrollment” ble identifisert som de mest verdifulle og misbruk av disse ville være kritiske for høyereutdanningsinstitusjoner. Kombinasjonen av disse tre faktorene illustrerer en oversikt over informasjonssikkerhetsrisikoen som er relevant for høyere utdanningsinstitusjoner. Identifying assets, threats and vulnerabilities is essential when assessing theriskin an organisation. Several of the most renowned information security risk assessment frameworks like ISO/IEC 27005, NIST SP 800-39 and OCTAVE has thisassessment in their framework. The purpose of this master thesis is to evaluatewhat information security risk currently threatening higher educational institutions and assess the information security risk perception of the managerial levelat the Norwegian University of Science and Technology (NTNU).This master thesis utilized qualitative and quantitative research methods likeliterature study, survey and interviews to identify valuable information assets,threats and vulnerabilities that are prominent in higher educational institutions.The literature study conducted 82 reviewers of different literature sources including academic papers, articles, websites and white papers. The survey had 107 participants which included deans, institution leaders and other managerial supportpersonnel at faculty level at NTNU. The interview had 13 participants from thetop administrative management who manage the core tasks at NTNU. This project was done in collaboration with personnel from the Digital Security Section atNTNU, which conducted an extensive risk assessment of NTNU, in the spring of2020. Some of the result presented in this thesis will also be featured in their finalrisk assessment.The findings from this project show that the overall information security riskidentified in the literature study and at the managerial level at NTNU shares ahigh degree of likeness and similarities. Threat based on “Organized criminals”and “Human error” were among the topmost prominent threats in higher education. These threats can exploit prominent vulnerabilities in higher educationwhich includes: Lack of information security knowledge, awareness, attitude, culture and insufficient resources. Valuable information assets in higher educationrelating to “Graduation measures”, “Stakeholder satisfaction”, “Employee & HR”and “Enrollment” were identified as the most valuable and abuse of these wouldbe critical to higher education institutions. The combination of these three factorsillustrate an overview of the information security risk relevant for higher educational institutions.