Hvordan få en økt bevissthet rundt cybersikkerhet i små- og mellomstore bedrifter?
Abstract
I dagens samfunn er cyberangrep i stor vekst, spesielt mot små og mellomstore bedrifter(SMB). Dette er også grunnen til at disse bedriftene har blitt mer opptatt av cybersikkerhetde siste årene. Europas økonomi består i store deler av SMB og mange av de storevirksomhetene er avhengige av SMB sine produkter og tjenester. Uten tilgang på ressurseneSMB leverer vil det påvirke store deler av næringskjeder, forsyninger og økonomi. De flestevirksomheter er derfor bekymret for utviklingen av cyberangrep i SMB, spesielt da dethevdes at 1 av 5 virksomheter har blitt utsatt for en eller annen form for cyberangrep.Derfor er vi nødt til å gjøre noe med den manglende kunnskapen og bevisstheten omcybersikkerhet i bedrifter.
I løpet av denne oppgaven vil vi se nærmere på hvordan man kan bygge bevissthet i SMBfor å oppnå en bedre cybersikkerhet. Oppgaven blir gjennomført i samarbeid med enganske normal mellomstor virksomhet i form av en casestudie. Oppgaven kan ha storrelevans for virksomheter som ønsker å lære om hvordan man kan bygge bevissthet oghvordan en økt bevissthet påvirker cybersikkerhet i virksomheten.
Virksomheten vi samarbeider med er i en digitaliseringsprosess der de skal gjøre om storedeler av lagringen av og deling av informasjon. Når prosessen er ferdig vil man ha behov foret høyere kunnskapsnivå om cybersikkerhet blant de ansatte, da virksomheten i stor grader avhengig av teknologi. Vi ønsker å avdekke hvordan man kan bygge kunnskap omtemaet og hvordan økt kunnskap kan gi en bedre bevissthet. Virksomheten er bekymret forat et cyberangrep kan føre til at de ikke får utført arbeidet sitt.
I løpet av oppgaven vil vi se nærmere på hvordan ulike teorier kan brukes sammen for åbygge bevissthet. Dette vil være relevant for bruk i virksomheten som er i endigitaliseringsprosess der det trengs nye tiltak knyttet til sikker databruk og cybersikkerhet.Vi ønsker å finne ut hvordan teoriene fungerer hver for seg og om det kan fungere bedrenår vi bruker de sammen. Ved å bruke teoriene sammen vil man kunne dekke hullene somde har hver for seg og oppnå en bedre kunnskapsarena som kan være med å økebevisstheten.
Teoriene vi har tatt for oss er Trappetrinnsmodellen av Hagen et al. (2008) og soft-systemsmetoden av Checkland (1981). Modellene fokuserer hver for seg på det organisatoriske ogdet menneskelige. Trappetrinnsmodellen fungerer veldig top-down der policyer, prosedyrerog kontroller kommer fra ledelsen ned til de ansatte. Problemet med dette er at man ikkevet om de ansatte vil handle rasjonelt på problemer der de har lite kunnskap. Checklandfokuserer på en systematisk gjennomgang av problemet for å finne rotårsak, der mandanner konseptuelle modeller for å visualisere problemet ovenfor de ansatte. Dette kan føretil en bedre bevissthet og gi mer rasjonelle beslutninger i samarbeid medtrappetrinnsmodellen. Cyberattacks are in massive growth, especially towards small- and medium-sizedenterprises (SMEs). This is also the reason that these enterprises has focused more oncybersecurity over the last few years. Europe’s economy largely consists of SMEs and amany of the large enterprises rely on SMEs providing their products and services. Thesupply chain will suffer massively without access to the resources that SMEs provide, and itwould impact economies, supplies and supply chains. That is why most enterprises areconcerned for the growing trend of cyberattacks towards SME, considering there are claimsthat 1/5th of enterprises have been attacked in some sort of way. This is why we wanted tofocus on the knowledge and awareness that is missing in a lot of enterprises.
We wanted to take a closer look at how we can build awareness in SMEs to achieve a higherlevel of cybersecurity. This project has been a collaboration between a normal mediumsized enterprise and us students in the form of a case study. The project can be relevant forother enterprises that wants to learn about building awareness and how increasedawareness can impact cybersecurity within the enterprise.
The enterprise we are working with is in the middle of a digitalization process, where theyare converting a lot of data and information sharing from analog to digital. When thisprocess is done, the enterprise will have a need for a higher level of knowledge ofcybersecurity between the employees because of the increased use of technology. We wantto see how an enterprise can build knowledge about cybersecurity and how increasedknowledge can lead to improved awareness. The enterprise is worried that a cyberattackmight lead to them not being able to complete everyday tasks.
Throughout the project we want to look closer at how different theories can be usedcollaboratively to build awareness. This is relevant as the enterprise is in the middle of adigitalization process, where new measures and procedures are needed to fulfill secure useof data and cybersecurity. We want to find out how each theory work individually and ifusing them collaboratively will make them more efficient. By using the theoriescollaboratively, it will be possible to fill the gaps between them and achieve a better arenafor creating knowledge and increasing awareness.
The theories we have focused on is the Staircase-method (SCM) by Hagen et al. (2008) andSoft-systems methodology by Checkland (1981). The models focuses on the organizationaland human parts separately. The SCM works in a top-down way, where policies, proceduresand control is coming from the leaders. The issue with this is that we cannot expect theemployees to act rationally in situations where they lack knowledge. Checkland focuses on asystematic approach by analyzing the problem and finding its root cause, you will thenmake conceptual models to visualize the problem at hand to the employees. This might leadto increased awareness and more rational choices in collaboration with SCM.