Digital sikkerhet: Hvordan jobbes det fra ledelsens side med prosedyrer og bevissthet i selskapet?
Master thesis
Permanent lenke
https://hdl.handle.net/11250/3123935Utgivelsesdato
2023Metadata
Vis full innførselSamlinger
Sammendrag
Denne masteroppgaven tar for seg hvordan det arbeides med digital sikkerhet hos et selskap i den maritime næringen. Problemstillingen tar for seg hvordan det arbeides fra ledelsens side med prosedyrer og bevissthet rundt digital sikkerhet i selskapet. Det har blitt gjennomført seks kvalitative intervju med ledere i selskapet, funnene som kommer frem blir presenter i empiri og blir i drøfting sett på opp mot den relevante teori som er blitt vektlagt i denne masteroppgaven.For å besvare problemstillingen har det blitt tatt utgangspunkt i organisasjonsanalyse, med pentagonmodellen, for å behandle funnene. For å besvare problemstillingen har en sett på følgende forskingsspørsmål: Hva legges i digital sikkerhet, sett fra ledelsens perspektiv? Hvordan er den formelle strukturen til selskapet? Hvordan arbeides det med standarder og teknologi fra ledelsen sin side? Hvordan arbeides det med bevissthet av digital sikkerhet fra ledelsens side? Hvordan oppleves sikkerhetskulturen av ledelsen? De ansatte er en viktig brikke i arbeidet med digital sikkerhet og deres bevissthet og forståelse er avgjørende for å ha en god sikkerhetskultur i selskapet. Selskapet har stort fokus på digital sikkerhet, det oppfattes å være godt etablert hos ledelsen, men nedover i organisasjonen ser en at arbeidsoppgaver som oppleves å bringe selskapet fremover prioriteres fremfor arbeid med digital sikkerhet. Selskapet arbeider med å øke bevisstheten til de ansatte, det vises til opplæring i form av simuleringer, kurs og presentasjoner for å øke de ansattes kunnskap om digital sikkerhet slik at de er bedre rustet til å håndtere digital sikkerhet risikoer de møter i hverdagen. Blant annet ser en på simuleringer av mistenkelig e-post, som gjennomføres av selskapet, at en etter flere runder med slike tester merker at tallet på de som lar seg lure er gått ned, men at det fremdeles er en vei å gå for å komme dit en ønsker å være. En er aldri sterkere enn det svakeste ledd, og det er noe en kontinuerlig må arbeide med for å styrke. Det kommer frem at det ikke er definerte prosedyrer i selskapet når det gjelder digital sikkerhet, men at det er retningslinjer og anbefalinger, i tillegg til at noen programvarer er med på å påvirke hvordan de ansatte forholder seg til digital sikkerhet i hverdagen. This master's thesis addresses how digital security is managed within a company in the maritime industry. The research question investigates how the management deals with procedures and awareness around digital security in the company. Six qualitative interviews with company leaders have been conducted, with the findings presented in the empirical data and discussed in light of the relevant theory emphasized in this thesis.To answer the research question, organizational analysis, with the pentagon model, was used to process the findings. The following research questions were examined: What is understood by digital security from the management’s perspective? What is the formal structure of the company? How does management work with standards and technology? How does management work to raise awareness of digital security? How is the security culture perceived by the management?Employees play a vital role in digital security efforts, and their awareness and understanding are crucial for a robust security culture within the company. The company has a strong focus on digital security, which seems to be well-established at the management level, but further down the organization, tasks perceived as advancing the company are often prioritized over digital security efforts.The company endeavors to increase employee awareness, pointing to training in the form of simulations, courses, and presentations to enhance their knowledge of digital security, better preparing them to handle digital security risks encountered in their daily routines. For instance, after several rounds of simulated phishing email tests conducted by the company, there has been a noticeable decrease in the number of employees who fall for these scams, though there is still progress to be made to reach the desired level of awareness. A chain is only as strong as its weakest link, and there is a constant need for work to strengthen this area.It is revealed that there are no defined procedures in the company concerning digital security, but guidelines and recommendations exist. Additionally, some software influences how employees deal with digital security in their day-to-day activities.