ISACAs julemøte Hvordan kan organisasjonen påvirke informasjonssikkerheten? - sikkerhetsledelses perspektiv Dr.ing stipendiat Inst. for industriell økonomi og teknologiledelse, NTNU http://www.iot.ntnu.no/users/albrecht/ eirik.albrechtsen@iot.ntnu.no 1 Dr.ing arbeid 2 IT risk management Teoretisk rammeverk: MTO perspektiv Hva er IT risiko? Hvordan redusere risikoen til et akseptabelt nivå risk management strategier Case-studie av IT-sikkerhetsansvarlig Mer info på: www.iot.ntnu.no/users/albrecht/ 1
Hvordan kan organisasjonen påvirke informasjonssikkerheten? Et spørsmål det er umulig å svare på i løpet av så kort tid som det kan skrives flere avhandlinger om Sett fra forskningens ståsted Tradisjonelt fokus: teknologiske løsninger og problemer byråkratisk tankegang/tro på strukturell organisasjon lite fokus på organisatoriske forhold Akademisk presentasjon. Teori Hvorfor påvirker organisasjonen informasjonssikkerhetsnivået 3 Hvordan kan organisasjonen påvirke informasjonssikkerheten? En organisasjon er et komplekst og omfattende system med mange komponenter Alt som kan sies å være en del av organisasjonen vil kunne påvirke informasjonssikkerheten Kontekstavhengig For eksempel størrelse, omgivelser, IT avhengighet, type virksomhet, etc Ikke noe fasitsvar på spørsmålet 4 2
Hvordan kan organisasjonen påvirke informasjonssikkerheten? 5 Noen org.forhold som kan påvirke sikkerhetsnivået Konseptet organisatoriske forhold har et stort omfang i forhold til innhold og forståelse Sikkerhetskultur Press mot sikkerheten fra andre virksomhetsområder Org.læring etter uønskete hendelser Strategier for sikkerhetsledelse Bruk av retningslinjer/regler for adferd 6 3
7..enda flere org.forhold som påvirker Kunnskap/kompetanse Kommunikasjon Beslutningsprosesser, makt Deltakelse/involvering i sikkerhetsarbeidet Ledelsens engasjement Bevisstgjøring Ivaretakelse av krav i omgivelsene Ansvarsfordeling Mål, krav og handlingsplaner Avvikshåndtering Kontinuerlig forbedring Opplæring/trening Sikkerhetsstyring (eks. revisjon, risikoanalyse) Forebyggende og skadebegrensende tiltak etc Perspektiver på organisasjoner Basert på Morgan(1988) og Bolman & Deal (1991) Strukturell, formelt, maskin, byråkrati Kultur, sosiale relasjoner Menneskelige ressurser Politikk, interessekonflikter, makt Omgivelser Læring, kunnskap Teknologi Indre fengsler Endringer 8 4
Grense for funksjonelt akseptert sikkerhetsprestasjon Mulighetsrom Grense for økonomisk risiko Sikkerhetsledelse Brownske bevegelser Press for effektivitet Minste anstrengelse Grense for uakseptabel arbeidsbelastning 9 Etter Rasmussen (1997), Risk management in a dynamic society: a modeling problem Sikkerhetskultur 10 Et motekonsept Hvilke sikkerhetsproblemer er det som ikke kan løses ved sikkerhetskultur? Sikkerhetskultur vs myk sikkerhet Organisasjonskultur må forståes som en kollektiv representasjon over hvordan folk tenker og handler i en virksomhet Bolman og Deal (1998): Kultur er et mønster av felles, tilgrunnliggende antakelser som en gruppe har kommet frem til etter hvert som den har løst sine problemer når det gjelder ytre tilpasning og integrering, som har fungert godt nok til å bli betraktet som holdbare, og som derfor læres bort til nye medlemmer som den riktige måten å oppfatte, tenke og føle på i forhold til disse problemene. 5
Kan kulturen påvirkes/endres? Kultur er dynamisk og vil endres, men kan den påvirkes? Ikke bare å slå på en bryter Skal vi utvikle en kultur må samhandlingsmønstre endres Sett variabler: eks. verdier, trosforestillinger, historier, normer og ritualer. Mekanisk holdning til disse? 11 Myk sikkerhet ( kultur ) Sikkerhetskultur er et vanskelig begrep, men samtidig et populært begrep Alle myke tiltak kan virke positivt på en eller annen måte Motekonseptet sikk.kultur har derfor sine positive sider, selv om innholdet i motekonseptet ikke alltid stemmer overens med forskningens oppfatning av sikkerhetskultur 12 6
Myk Sikkerhetskultur Holdninger Adferd Kunnskap etc Hard og strukturell sikkerhet Hard og strukturell Teknologiske løsninger Strukturelt perspektiv på org. Org.kart Org.policy Retningslinjer Standarder Lover etc Myk sikkerhet 13 Antallet retningslinjer, standarder og etterfulgte lovverk trenger ikke å bestemme sikkerhetsnivået Søndagsteori (theory of action). Det man sier man gjør Hverdagsteori (theory in use). Det man faktisk gjør Dilemma ved risikoanalyse, revisjon og forskning. I intervju/samtaler vil ofte søndagsteorien komme frem 14 7
Må ha litt yin og litt yang, og samtidig forsøke å tilpasse disse til å være komplementære. Må ha både myk og hard sikkerhet, og at disse må være i overensstemmelse med hverandre Organisasjoner må ikke gå i fella og tro at retningslinjer mm følges til punkt og prikke i det daglige arbeidet 15 Risk Management strategier Risk-based, precautionary & discourse Kompleksitet, usikkerhet ved risiko tilsier at IT risk management i hovedsak bør baseres på føre-var -strategier. Tverrdisiplinær forskning og vurdering (MTO) Konstant overvåkning/monitorering Redundans og mangfold i beskyttelse ( I dybden ) Ansvarsfordeling Ingen toleranse policy I ekstreme tilfeller: forbud 16 8
MTO perspektiv 17 Tverrdisiplinær tilnærming til info.sikkerhet Integrere mennesker, teknologi og organisasjon Eksempel: kunnskap Teknisk IT Bruk av IT Organisasjon/ledelse Adferd/holdninger Organisatorisk læring av uønskede hendelser En hver uønsket hendelse representerer en sårbarhet i systemet, og er således en gylden anledning til å lære Organisatorisk læring skaper redundans og distribusjon av kunnskap Læring utover brannslukking Organisasjonsutvikling, langsiktige forbedringer Alltid læring tilstede ved en hendelse, negativt eller positivt Produktiv læring: læring som forbedrer utførelsen av sikkerhetsarbeidet og de bakenforliggende verdiene for dette arbeidet 18 Dæm viktigste kampan e dæm du itj har spælt ennå Nils Arne Eggen 9
Barrierer mot org.læring Truende og pinlige situasjoner skaper forsvarsmekanismer Karakteristikker ved organisasjonen Politiske dilemmaer Oppdager og reagerer ikke på hendelsen, rapportering av hendelser, feil læring som en følge av feil årsaksanalyse Competence trap ikke-hensiktmessig læring, som man tror er den beste løsningen 19 20 Organisasjonen påvirker på mange måter sikkerhetsnivået Positivt Negativt En organisasjon er komplekst sammensatt av mange faktorer som alle vil kunne påvirke sikkerheten på et eller annet vis Hvilke forhold som påvirker er kontekstavhengig Viser at et MTO-perspektiv er nødvendig for å ivareta sikkerheten eirik.albrechtsen@iot.ntnu.no 10