Security governance: the board's responsibility

Abstract

I denne master oppgaven vil det bli undersøkt hvordan virksomheter jobber med evaluering som et element i sin sikkerhetsstyring, og hvilke potensiale som ligger i denne prosessen for å sikre effektiv styring og kontroll med virksomhetens sikkerhetsnivå og etterlevelse. Denne oppgaven baserer seg på kvalitativ metode og tar i bruk intervjuer for å få svar på spørsmål knyttet til erfaringer ulike virksomheter og kontroll myndigheter har og i hvilken grad evalueringsprosessen blir brukt og gir verdi. Videre vil svarene gitt i intervjuene bli brukt for å svare på de ulike forskningsspørsmålene gitt i denne master oppgaven.

Undersøkelsen avslører at det er svært få virksomheter som er kjent med styringsprosessene slik de er addressert i ISO 27014. Videre, flere virksomheter har ikke de riktige redskapene, som verktøy og prosesser, som gir et godt datagrunnlag for evaluering av sikkerhetstilstand. I all hovedsak er det konsernledelsen som deltar i ledelsens gjennomgang. I tillegg til dette, grunnet mangel på kultur, modenhet og kompetanse, er det vanskelig for virksomhetene å forstå hvordan de kan nyttiggjøre evalueringsprosessen. Dette kan også være en årsak til hvorfor det varierer med samsvar mellom virksomhetene og kontroll myndighetene.

Basert på datainnsamlingen i denne undersøkelsen vil det styrende organet ha betydelig nytte av å ta i bruk ISO 27014, og evalueringsprosessen spesielt, for å forstå trusselbildet og bestemme styringsområder og kriterier for evaluering av sikkerhetsytelse. Videre vil ISO 27014 gi en stor potensiell gevinst ved etablering av en «kommunikasjonsbro» mellom styret og toppledelsen. Til en viss grad kan dette leveres av evalueringsprosessen, håndtert av det styrende organet selv, eller en bedrifts GRC-funksjon.

The aim for this master thesis is to examine how companies work with evaluation as an element of their security governance and what potential lies in this process to ensure effective governance and control of the business' security level and compliance. This thesis is based on qualitative research and uses interviews to determine which experiences different companies and controlling authorities have and to what extent the evaluation process is used and provides value. Furthermore, the answers provided in the interviews will be used to answer the different research questions given in this master thesis.

The research revealed that very few companies are familiar with the governance processes as they are addressed in ISO 27014. Furthermore, several companies do not have the right equipment, such as tools and processes, that provide a reasonable data basis to evaluate the state of security. Mainly, it is the top management that participates in the management review. In addition, due to a lack of culture, maturity, and competence, it is difficult for companies to understand how to utilize the evaluation process. This may also be why the companies and the controlling authorities vary in correspondence.

Based on the data collection in this study, the governing body will significantly benefit from adopting ISO 27014, and the evaluation process in particular, to understand the threat picture and determine areas of governance and criteria for evaluating security performance. Furthermore, ISO 27014 will provide a great potential gain when establishing a “communication bridge” between the board and the top management. To a certain extent, this could be delivered by the evaluation process, handled by the governing body itself, or a corporate GRC function.