160 likes | 292 Views
Opplæring, tilsyn, regelverk. - gir det bedre informasjonssikkerhet?. Tom-Andre Skar tom.skar@hig.no 8. juni 2007. Agenda . Introduksjon Metoder Datagrunnlag Resultater Oppsummering og konklusjon Spørsmål. Problembeskrivelse. Økende bruk av info. sikkerhet Energisektoren
E N D
Opplæring, tilsyn, regelverk - gir det bedre informasjonssikkerhet? Tom-Andre Skar tom.skar@hig.no 8. juni 2007
Agenda • Introduksjon • Metoder • Datagrunnlag • Resultater • Oppsummering og konklusjon • Spørsmål
Problembeskrivelse • Økende bruk av info. sikkerhet • Energisektoren • Forskrifter • Lover • Veiledninger • Tilsyn • Opplæring • NorSiS har deltatt på 2 kurs
Forskningsspørsmål • Opplæring, tilsyn, regelverk - gir det bedre informasjonssikkerhet? • Viser energibransjen en forskjell fra andre undersøkelser som for eksempel Mørketallsundersøkelsen? Med tanke på sikkerhetshendelser, sikringstiltak etc. • Bør sammenlignbare bransjer og enkeltbedrifter gjennomføre lignede tiltak?
Relatert arbeid • Tidligere undersøkelser gjort av: • CSI/FBI (USA) • DTI (England) • BSI (Tyskland) • Ernest & Young (Global) • Mørketallsundersøkelsen 2006 • Bas 3
Standarder • ISO 17799 • Information Security Forums Standard of Good Practice (ISF) • CobiT fra ISACA • The IT Baseline Protection Manual (BSI) ”Fokus på innholdet i prosessen i stedet for prosessen i seg selv.”
Sikkerhetskultur • Holdninger • Motivasjon
Metoder • Litteratur • Spørreundersøkelse • Internet • Intervju • Telefon • Dataanalyse
Datagrunnlag • Få kvinner • Produksjon / nettselskap • Alder • Erfaring • Når de sist hadde opplæring • Generelle holdninger til sikkerhet
Resultater • Over 1/3 av respondentene sa de ble pålagt av arbeidsgiver • Økt forståelse -> mer opplæring • Ingen flere hendelser oppdaget som følge av kurset, men flere oppgaver i gangsatt
Ønsker mer kontroll og tilsyn. Har en god effekt • Bedre regelverk, ikke alle har alle krav oppfylt • De som ikke kjenner til standarder er heller ikke medlem i noe fora
Regler virker inn på holdninger og atferd • Ingen endring på motivasjonen • Pålagt • Tvang-indeks • Holdninger • Forståelse
Virksomheten • Nettselskapene som er mer avhengig av IT utkontrakterer mer • ½ har opplæring og holdningskapende aktiviteter • De som rangerer seg selv bedre enn gjennomsnittet har også opplæring av ansatte • 9/10 rapportere om hendelser o.l.
Effekt • Paranoia
Oppsummering og konklusjon • Større bevisthetsnivå • Storebroreffekt • Kontinuitet