Hvordan kan anvendelse av resiliens styrke cyber-beredskap i virksomheter

Abstract

Ser man cyber-, risiko- og beredskapsfagene under ett, har disse noen fellestrekk. Disse fagene er relativt unge, og har utviklet seg gjennom de siste 40-50 årene. Utviklingstakten er fortsatt økende. Følgende problemstilling innleder til vårt arbeid med denne masteroppgaven.

Hvordan kan anvendelse av resiliens styrke cyber-beredskap i virksomheter?

For å besvare denne problemstillingen har vi to forskningsspørsmål [FS1] Hva kjennetegner at Cyber -beredskap i virksomheter er resilient? [FS2] På hvilken måte kan virksomheter øke graden av sin Cyber-beredskap. I denne masteroppgaven har vi benyttet triangulerings-metoden (MMA). Vi har gjennomført spørreundersøkelse med 26 informanter, to semistrukturerte intervjuer med fageksperter og benyttet sekundærdata.

Våre funn viser at det er en ubalanse knyttet til cyber-beredskapen i virksomheter, og ønsket tilstand. Endringer i den sikkerhetspolitiske situasjonen nasjonalt og internasjonalt, har medført økt fare for cyber-trusler, og derav økt behovet for å styrke cyber-beredskap og cyber-sikkerhet i virksomheter. I kombinasjon med grenseoverskridende kriminalitet, hvor kriminelle aktører med onde hensikter tar i bruk samme teknologi for egen vinning, er dette noe som må tas på alvor.

Funnene i masteroppgaven viser på flere områder at det finnes gode muligheter for å utvikle cyber-beredskap i virksomhetene videre. Vi mener at prinsippene i resiliens teorien kan bidra til å styrke cyber-beredskap i virksomheter. Vi mener at økt bevissthet og kompetanse om hva som kjennetegner mennesker i organisasjoner med god sikkerhetskultur er en viktig faktor for å utvikle en resilient sikkerhetskultur. Datagrunnlaget i denne masteroppgaven viser at noen av virksomhetene i ulik grad er resiliente, og at graden av resiliens er avhengig av hvor mye virksomheten benytter seg av egenskapene som de fire hjørnesteinene representerer (jfr. lære, respondere, overvåke og forutse). Vi mener å ha funnet at virksomheter ved å øke sin bevissthet og kompetanse om resiliens, på denne måten kan forbedre sin cyber-beredskap. Vi mener også at økt bevissthet og kompetanse om NSMs grunnprinsipper for IKT-sikkerhet er en viktig faktor for å bidra til større grad av resiliens i virksomheter.

If you look at the cyber, risk, and preparedness, these have some common features. These subjects are relatively young and have developed over the past 40-50 years. The pace of development is still increasing. The following research question begins our work on this master's thesis.

How can the application of resilience strengthen cyber preparedness in businesses?

To answer this question, we have two research questions [FS1] What characterizes cyber preparedness in resilient businesses? [FS2] In what way can companies increase the level of their Cyber readiness? In this master's thesis, we have used the triangulation method (MMA). We conducted a survey with 26 informants and two semi-structured interviews with experts and used secondary data.

Our findings show an imbalance in related to cyber preparedness and the desired state of affairs. Changes in the security policy situation nationally and internationally have led to an increased risk of cyber-threats, and hence the increased need to strengthen cyber-preparedness and cyber-security in businesses. In combination with cross-border crime, where criminal actors with malicious intent use the same technology for their own gain, this is something that must be taken seriously.

The findings in the master's thesis show in several areas that there are good opportunities for developing cyber preparedness in enterprises further. We believe the principles of resilience theory can strengthen cyber preparedness in businesses. We believe that increased awareness and competence in what characterizes people in organizations with a good safety culture is essential in developing a resilient safety culture. According to this master's thesis data, some informants use different degrees of resilience with the four cornerstones of their work (cf. learning, responding, monitoring, and anticipating). We believe that increased awareness and expertise about resilience and helping businesses become more resilient will strengthen cyber preparedness in the companies. We also believe that increased awareness and competence about NSM's basic principles for ICT security is an essential factor in contributing to a greater degree of resilience in the business.