NSMs grunnprinsipper i praksis

Abstract

Formålet med NSMs grunnprinsipper i praksis er å bidra til å redusere små og mellomstore bedrifter (SMB) sin sårbarhet til IKT-sikkerhetshendelser.

IKT-sikkerhetsarbeid kan være utfordrende for SMB som ofte har mindre ressurser og kompetanse enn større bedrifter. Nasjonalt cybersikkerhetssenter erfarer at dersom virksomheter i større grad hadde implementert NSMs grunnprinsipper for IKT-sikkerhet, så kunne alle hendelser vært unngått eller skaden begrenset. For å bidra til å redusere SMB sin sårbarhet til IKT-sikkerhetshendelser, vil vi derfor undersøke hvordan etterlevelsen av NSMs grunnprinsipper for IKT-sikkerhet kan økes.

Gjennom dybdeintervjuer med 11 ansatte med ansvar for IKT-sikkerhet i hver sine respektive SMB, undersøker vi hvilket forhold de har til NSMs grunnprinsipper for IKT-sikkerhet og måler til hvilken grad prinsippene etterleves. Vi ser også på forhold som påvirker etterlevelsen og hvilke utfordringer bedriftene har med IKT-sikkerhetsarbeid. I etterkant av intervjuene følger vi opp informantene med en spørreundersøkelse.

Det kommer frem at bedriftenes rutiner og prosesser for sikkerhetskopiering samsvarer med NSMs anbefalinger i lav til middels grad. Dette antyder at det er behov for å øke etterlevelsen av NSMs grunnprinsipper og det kan se ut til at informantene også så et behov for det. Vi erfarte at det som hadde størst påvirkning på informantene var bevisstgjøringen som følge av intervjuene. I etterkant av intervjuene ser vi at flere av bedriftene har eller planlegger å innføre tiltak som bedrer IKT-sikkerheten deres. Vi konkluderer med at en bevissthetsøkning av nytteverdien vil bidra til å øke etterlevelsen av NSMs grunnprinsipper for IKT-sikkerhet.

The purpose of NSM's Cyber Security Principles in practice is to help reduce the vulnerability of small and medium-sized enterprises (SMEs) to ICT security incidents.

ICT security work can be challenging for SMEs, which often have less resources and expertise than larger companies. The Norwegian National Cyber Security Center experiences that if businesses had implemented NSM's Cyber Security Principles to a greater extent, all incidents could have been avoided or the damage limited. To help reduce SMEs' vulnerability to ICT security incidents, we are therefore looking at how compliance with NSM's Cyber Security Principles can be increased.

Through in-depth interviews with 11 employees responsible for ICT security in each of their respective SMEs, we investigate what relationship they have with NSM's Cyber Security Principles and measure the extent to which the principles are adhered to. We also look at conditions that affect compliance and what challenges companies have with ICT security work. After the interviews, we follow up the informants with a survey.

The companies’ routines and processes for backup comply with NSM's recommendations to a low to medium degree. This suggests that there is a need to increase compliance with NSM's basic principles and it may appear that the informants also saw a need for this. The awareness that was raised as a result of the interviews had great impact on the informants. Following the interviews, we see that several of the companies have or are planning to introduce measures that improve their ICT security. We conclude that an increase in awareness of the utility value will help to increase compliance with NSM's Cyber Security Principles.