Vis enkel innførsel

dc.contributor.advisorSissel Haugdal Jore
dc.contributor.authorAlyona Trach Oftedahl
dc.date.accessioned2021-10-08T15:51:31Z
dc.date.available2021-10-08T15:51:31Z
dc.date.issued2021
dc.identifierno.uis:inspera:79015646:2642908
dc.identifier.urihttps://hdl.handle.net/11250/2788798
dc.description.abstractSikring av informasjonssystemer mot dataangrep er en av de viktigste utfordringene i det tjueførste århundret. Vår avhengighet av digitale systemer har gjort det virtuelle rom til en attraktiv arena for trusselaktører. Stadig flere aktiviteter som truer nasjonale interesser og kritisk infrastruktur foregår i cyberspace. Fremgang innen informasjonsteknologi byr på et mangfold nye utfordringer for risikovurdering og -styring i organisasjoner. Digitalisering medfører at det bevisst og ubevisst offentliggjøres mye informasjon om virksomheter og nøkkelpersoner. Slik informasjon representerer en stor verdi for både nasjonalstater, privat sektor og ikke minst trusselaktører. Formålet med oppgaven er å undersøke (a) hvordan trusselaktører opererer når de kartlegger organisasjoner og (b) hvordan organisasjoner kan bruke disse kunnskapene i sitt forebyggende informasjonssikkerhetsarbeid. Trefaktormodellen for risikovurderinger, to teoretiske modeller som beskriver cyberangreps forløp og teori om situasjonsbevissthet er benyttet som bakteppe for denne studien. Oppgavens problemstilling er formulert som følger: Hvordan kartlegger trusselaktører organisasjoner og hvordan kan selv-rekognosering brukes som redskap i organisasjoners forebyggende informasjonssikkerhetsarbeid? Jeg har gjennomført en kartlegging av to organisasjoner som driver med forskning og utvikling. Ved hjelp av ulike OSINT-verktøy utførte jeg rekognosering av organisasjonenes nettverk, programvare og nøkkelpersonell og identifiserte dermed potensielle sårbarheter. Resultatene av studien representerer empirisk bevis for effekten og nytten av OSINT-metodikk i arbeid med informasjonssikkerhet i organisasjoner. Forskningsresultatene ble brukt til å lage taktiske og strategiske anbefalinger for organisasjoner, basert på bruk av OSINT for å identifisere verdier og sårbarheter, og dermed redusere risiko. Med denne undersøkelsen ønsker jeg å rette oppmerksomheten mot muligheter som åpnes for organisasjoner ved å implementere OSINT som et element i risikovurderinger.
dc.description.abstractSecuring information systems against cyberattacks is one of the most important challenges of the twenty-first century. Our dependence on digital systems has made virtual space an attractive arena for adversaries. Exceedingly more activities that threaten national interests and critical infrastructure are taking place in cyberspace. Advances in information technology offer a variety of new challenges for risk assessment and management in organizations. Digitization means that a lot of information about companies and employees is published. This information represents a great value for nation states, the private sector and adversaries. The purpose of the thesis is to investigate (a) how threat actors operate when they perform reconnaissance on organization and (b) how organizations can use this knowledge as a preventive strategy. The three-factor model for risk assessments, two theoretical models that describe cyberattacks lifecycle and the theory of situational awareness are used as a backdrop for the study. This study aims to answer: How do adversaries perform reconnaissance on organizations and how can self-reconnaissance be used as a tool in organizations' preventive information security work. To answer this question, I conducted a survey of two organizations engaged in research and development. Using various OSINT tools, I performed reconnaissance of the organization's network, software, and key personnel, thus identifying organization's potential vulnerabilities. Results of the study represent empirical evidence for the effect and usefulness of OSINT methodology in work with information security in organizations. The research results were used to produce tactical and strategic recommendations for organizations based on the use of OSINT to identify assets and vulnerabilities, thereby reducing risk. With this study, I want to draw attention to opportunities opening up for organizations by implementing OSINT methodology as an element in risk assessments.
dc.languagenob
dc.publisheruis
dc.titleSelv-rekognosering som et redskap i organisasjoners forebyggende informasjonssikkerhetsarbeid
dc.typeMaster thesis


Tilhørende fil(er)

Thumbnail

Denne innførselen finnes i følgende samling(er)

  • Studentoppgaver (TN-ISØP) [1409]
    Master- og bacheloroppgaver i Byutvikling og urban design / Offshore technology : risk management / Risikostyring / Teknologi/Sivilingeniør : industriell økonomi / Teknologi/Sivilingeniør : risikostyring / Teknologi/Sivilingeniør : samfunnssikkerhet

Vis enkel innførsel