Om kartlegging av digital sikkerhetskultur
Norsk Senter for Informasjonssikring NorSIS er en ideell og uavhengig organisasjon som arbeider for at alle skal ha en trygg digital hverdag Vi fremmer kunnskap og bevissthet om informasjonssikkerhet gjennom å: Bevisstgjøre om trusler og sårbarheter Opplyse og veilede om tiltak Påvirke til god sikkerhetsatferd Gratis informasjonstjeneste for trygg bruk av internett og godt nettvett Gratis veiledningstjeneste for de som blir krenket på nett Nettverk av kvinner som arbeider for et trygt og sikkert internett og fremtidsrettet IKT politikk Årlig nasjonal kampanje som retter oppmerksomhet på cybertrusler og god sikkerhetspraksis
Litt om meg selv Seniorrådgiver i NorSIS siden august 2015 Teknolog, master i informasjonssikkerhet fra Gjøvik Lang erfaring med informasjonssikkerhet i Forsvaret @BjarteM
Kartlegging av digital sikkerhetskultur
Hvorfor? Ny kunnskap om ha som skjer i organisasjonen Grunnlag for policyer, satsingsområder og tiltak Evaluere effekten av tiltak Følge med på endringer over tid
Hva er egentlig digital sikkerhetskultur? Kultur former oss og hjelper oss å orientere oss i omgivelsene Det er et lim mellom mennesker våre verdier og holdninger Det er et kompass Hvordan gjør vi det her? Hva er rett og galt? Trygt og utrygt? Et system av delte verdier, holdninger, kunnskaper, skikker og handlinger For virksomheter er det naturlig å se det som en del av organisasjonskulturen
Hva er det ikke?
Hvordan kartlegge?
Det er flere måter å skaffe informasjonen på Observere hva folk gjør. Tekniske logger, tekniske hendelser osv. Kategorisere og telle henvendelser til helpdesk. Spørre hva folk gjør, og mener. Flere ting samtidig? (Triangulering)
Men; Hva vil du egentlig vite? Hva er de overordnede spørsmålene? Vil du måle adferd? Teste kunnskap? Kartlegge holdninger?
Vår metode Vi startet med fire overordnede spørsmål 1. What characterizes the Norwegian cyber security culture? 2. To what degree does cyber security education influence the Norwegian populations cybersecurity behavior or awareness? 3. How does the Norwegian population relate and react to cyber risks? 4. To what degree does the individual take responsibility for the safety and security of the cyberspace?
Vår metode Vi utledet 8 dimensjoner og beskrev disse Normativ vs Deskriptiv
Deretter konstruerte vi spørsmålene Fellesskap Styring og kontroll Tillit Risikoforståelse Vilje til digitalisering Kompetanse Interesse Adferd Spm 1e Spm 1g Spm 1h Spm 1j Spm 2 Spm 1e Spm 1f Spm 1g Spm 1i Spm 1j Spm 2 Spm 8 Spm 16 Spm 1a Spm 1e Spm 1f Spm 1 Spm 4 Spm 6 Spm 7 Spm 19 Spm 1c Spm 1d Spm 1h Spm 1i Spm 3 Spm 4 Spm 5 Spm 6 Spm 7 Spm 9 Spm 10 Spm 19 Spm 20 Spm 21 Spm 22 Spm 23 Spm 1a Spm 4 Spm 9 Spm 11 Spm 1b Spm 1c Spm 1d Spm 1h Spm 3 Spm 5 Spm 6 Spm 7 Spm 10 Spm 12 Spm 13 Spm 14 Spm 15 Spm 16 Spm 17 Spm 1a Spm 1b Spm 11 Spm 12 Spm 13 Spm 14 Spm 2 Spm 8 Spm 17 Spm 18 Spm 19 Spm 20 Spm 21 Spm 22 Spm 23
Vår metode - tilpasset Vi sitter igjen med 25 spørsmål som er faste. Dette muliggjør at virksomheter kan evaluere seg selv opp mot andre virksomheter/bransjer/befolkningen. I tillegg kan virksomhetene legge til ca. 5 egne spørsmål. Dette muliggjør tilpassing til egne utfordringer og behov. Elektronisk spørreskjema. Anonymt Forankret i virksomheten
Hva bør du være opptatt av? Kunnskapsnivå og ferdigheter Hva de ansatte mener om sikkerhetsspørsmål. Hvilke holdninger og verdier de har. Hva som bekymrer dem. Hvordan de oppfatter risiko og tillit. Hvilke sikkerhetsvaner de har. Hva de gjør. Hvordan de helst lærer om informasjonssikkerhet
Hvilken kunnskap får vi? Vi får et øyeblikksbilde. Dette kan vi bruke til å identifisere problemområder Kun 48% kjenner til rutinene for avviksrapportering Vi kan lage en metrikk for digital sikkerhetskultur. Denne kan vi bruke til å identifisere trender og utviklingstrekk. Vi kan også måle effekten av tiltak Kunnskapsnivået i organisasjonen har økt gjennom de 3 siste årene Vi kan bedre forstå vår egen organisasjon og kan utnytte sterke sider gjennom å velge tiltak som har potensiale for størst effekt. Våre ansatte lærer helst av hverandre i uformelle settinger. Vi bygger et program rundt dilemmatrening og sikkerhetsambassadører
Noen erfaringer
Det blir alltid noen kompromiss Det er svært utfordrende å lage spørsmål som treffer alle uansett alder utdanningsnivå interesse kunnskap om informasjonssikkerhet Noen synes undersøkelsen er banal. Andre synes den er alt for vanskelig. En slik undersøkelse svarer ikke på hvorfor ting er som de er. Men vi finner sammenhenger
Erfaringer Tilbakemeldinger kommer (fra noen svært få) Ledelsesforankring betyr utrolig mye. Oppfølging. Gaver. Purring. Statistiske analyser krever et visst antall. Husk på usikkerhet i tallene. Vi arbeider med 95% konf. intervall
Noen ferske funn 2017
Risiko oppfattelse Befolkningens risiko-oppfattelse for det å bruke offentlige tjenester på nett har endret seg siden vi undersøkte dette i 2015. Den gang svarte 13% at de anså risikoen ved bruk av offentlige tjenester på nett å være enten ganske stor eller svært stor. I 2017 svarer 21% det samme. Tilsvarende øker frykten for bruk av nettbank i den samme perioden. I 2015 svarte 10% at de anså risikoen ved bruk av nettbank å være ganske stor eller svært stor, mens i 2017 svarer 17% det samme.
Interesse Nesten halve befolkningen (48%) sier at de har interesse for teknologi og IT, mens 25% sier at de er ganske lite eller svært lite interessert i dette. Vi observerer signifikante forskjeller mellom kjønnene. Flere menn enn kvinner (19% vs 7%) sier at de er svært interessert i teknologi og IT, mens flere kvinner enn menn (10% vs 3%) sier at de er svært lite interessert.
100 80 Hvor interessert er du i teknologi og IT? (resultat i prosent) Kjønnsforskjellene starter tidlig Lavere interesse for teknologi og IT blant unge. 43% vs. 48% i befolkningen 60 60,8 Store kjønnsforskjeller, jenter trekker ned snittet 40 20 27,8 30,7 23,3 37,6 Dette er svært problematisk 0 Mye interessert 10,7 Lite interessert Nøytral 5,2 3,9 Vet ikke
Kompetanse, kunnskap og læring Den enkelte må ha ferdigheter til å kunne beskytte seg, men også kjenne fellesskapets normer og regler. Kunnskap om informasjonssikkerhet er ferskvare Hva, av hvem og hvordan lærer befolkningen om dette?
Kompetanse i befolkningen Nordmenn er generelt kunnskapsrike når det kommer til informasjonssikkerhet. De ser også seg selv som relativt kunnskapsrike, og mener at de kan gjøre riktige vurderinger for sin sikkerhet på nett. 21% av de spurte sier at de har fått opplæring i informasjonssikkerhet i løpet av de to siste årene. 76% mener at de har fått bedre ferdigheter etter slik opplæring 18% sier at de lærer av eksperter. Langt flere lærer av seg selv (34%) eller av venner og kolleger (31%). 13% sier at de ikke vet hvem de lærer mest av.
Våre rapporter Tilgjengelig på norsis.no
Takk for meg