Menneskets posisjon i cybersikkerhet: en kvalitativ studie av hvordan sikkerhetskultur påvirker organisasjoners cybersikkerhet

Abstract

I Stortingsmelding 5 (2020-2021) blir digitale tilsiktede handlinger som digitale angrep og terrorhandlinger nevnt. Både antall, hyppighet og omfang av angrepene er stadig i endring, og angrepene medfører risiko for alt fra individer til statssikkerhet. En del av arbeidet med cybersikkerhet inngår i organisasjoners sikkerhetskultur, hvor forståelsen for samspillet mellom menneskelige kapasiteter og organisasjonen i seg selv kan være avgjørende for å stå imot cybertrusler. Sikkerhetskultur er dermed et gjennomgående tema for denne studien og danner grunnlaget for problemstillingen: «Hvordan kan sikkerhetskultur bidra til cybersikkerhet i en organisasjon?»

For å støtte problemstillingen, har vi tatt utgangspunkt i Turner & Pidgeon`s (1997) teori om «Failure of foresight». Her argumenterer vi for hvordan en inkubasjonsfase kan forstås som en ønsket tilstand, samtidig som opprettholdelse av inkubasjonsfasen krever kontinuerlig arbeid for å unngå en utvikling mot kulturell kollaps. Hudson et als., (2002) supplerer Turner & Pidgeon (1997) med et ytterligere perspektiv på faser, men da med hvordan ulik sikkerhetskultur kan kategoriseres. Sammen danner disse en forståelse for sikkerhetskultur hvor fasene til Hudson et al., (2002), hvor begrepene risikopersepsjon og kommunikasjon sammen med psykologisk trygghet danner en helhetlig tilnærming til cybersikkerhet. En kvalitativ metode bestående av både intervjuer og dokumenter danner datagrunnlaget for studien. Bruken av primærdata og sekundærdata har gitt studien både dybde og bredde, hvor funnene i studien setter søkelys på mennesket som mulig ressurs i møte med cybertrusler.

Ved at ansatte står i første linje mot cybertruslene har de med de rette verktøyene mulighet til å bli oppmerksomme på disse og dermed bidra til organisasjonens cyberforsvar. Samtidig viser studien at dersom ansatte skal være en ressurs, kreves det både arbeid med risikopersepsjon i tillegg til et arbeidsklima hvor det er trygt å si ifra. Funnene viser også at CISO-rollen har en sentral plass i arbeidet som gjør ansatte i stand til å være en ressurs for cybersikkerhet, og innebærer en fleksibilitet både opp mot ledelse og ned mot ansatte. Dette gjør rollen både utfordrende, men også viktig i dette arbeidet. Det har derfor vært viktig å belyse CISO-rollens posisjon i arbeid med sikkerhetskultur ettersom denne er nokså i norsk sammenheng. Målet er at studien skal tilføre ny kunnskap i et felt som stadig utvikles sil at den helhetlige forståelsen for sikkerhetskultur og cybersikkerhet økes.

In Stortingsmelding 5 (2020-2021), digital intentional actions such as digital attacks and acts of terrorism are mentioned. Both the number, frequency, and extent of these attacks are constantly changing, and they pose risks ranging from individuals to state security. Part of the work on cybersecurity involves the security culture of organizations, where understanding the interplay between human capacities and the organization itself can be crucial to resisting cyber threats. Therefore, security culture is a recurring theme in this study and forms the basis for the research question: "How can security culture contribute to cybersecurity in an organization?"

To support this research question, we have based our work on the "failure of foresight" theory by Turner & Pidgeon (1997). Here, we argue how that the incubation phase can be a desirable state, while requiring continuous effort to avoid a progression towards cultural collapse. Hudson et al. (2002) supplement Turner & Pidgeon (1997) with an additional perspective on phases, specifically how different types of security culture can be categorized. Together, these form an understanding of security culture, where the phases by Hudson et al. (2002), combined with concepts such as risk perception and communication along with psychological safety, create a comprehensive approach to cybersecurity.

A qualitative method consisting of both interviews and documents forms the data basis for the study. The use of primary and secondary data has provided the study with both depth and breadth, where the findings highlight humans as potential resources in meeting cyber threats. Since employees are on the front lines against these threats, they have the opportunity to become aware of them with the right tools. At the same time, the study shows that if employees are to be a resource, work on risk perception is required, along with a working climate where it is safe to report issues.

The findings also show that the CISO role has a central place in the work that enables employees to be a resource for cybersecurity, involving flexibility both towards management and employees. This makes the role both challenging and important in this work. Therefore, it has been important to highlight the position of the CISO role in the work with security culture, as this is relatively new in the Norwegian context. The goal is for the study to add new knowledge to a constantly evolving field, thereby increasing the overall understanding of security culture and cybersecurity.