Kulturella aspekter vid utveckling av informations­­­säkerhetstandarder

Informationssäkerhetsstandarder är ”best practices” som utvecklas globalt av informations­­säkerhets­experter. Dessa standarder har indirekt ett inflytande på hur informationssäkerhet utvecklas i olika organisationer, då de ofta används som utgångs­punkt för det lokala informations­säkerhets­arbetet. Exempelvis så ska svenska myndigheter följa standarden ISO-27000 när de inför ledningssystem för informations­säkerhet.

Trots det stora genomslag som internationella informations­säkerhetsstandarder får är kunskapen om hur arbetet med att utveckla dem går till relativt liten. Forskningsfrågan som projektet arbetat med är: Vilka strukturer påverkar arbetet med att utveckla informations­säkerhetsstandarder?

Syftet med projektet Cultural aspects in information security standard development var att kartlägga vilken kultur, i form av strukturer, som präglar arbetet med att utveckla informations­­säkerhets­standarder. Ökad kunskap om detta arbete är betydelse­fullt då det ger ökad förståelse för dels varför standarder får en viss utformning, dels i vilka sammanhang de kan betraktas som ”best practices”.

Kartläggningen av vilka strukturer som finns i arbetet med att ta fram informations­säkerhets­standarder gjordes genom en etnografisk studie där forskarna deltog som medlemmar i en så kallad teknisk kommitté. Medlemskapet innebar att forskarna under flera år var närvarande i arbetet med att ta fram standarder inom informationssäkerhet, vilket gav en detaljerad inblick i hur arbetet går till.

Så som standardiseringsarbete beskrivs av SIS, den standar­diseringsorganisation som projektet följt, är arbetet grundat i konsensus mellan många olika intressenter. Den etno­grafiska studien visar något delvis annat. Enligt vad som framkom i studien har arbetet med att ta fram standarder visserligen tydliga inslag av konsensus, men den visade också att det aktiva deltagandet i arbetet är lågt. Detta innebär i praktiken att de få aktörer som är med och fattar besluten om informations­säkerhetsstandarder får stor makt.

Projektet har också funnit att utvecklings­arbetet har ytterligare en struktur, präglad av strategi, politik och konkurrens – speciellt kring det arbete som bedrivs internationellt. Denna struktur är mer dold för utomstående än den första.

En intressant framtida forskningsfråga handlar om hur man kan öka det aktiva deltagande i standardiseringsarbetet.

Andersson A, Karlsson F, Hedström K (2017) Konfliktfylld kultur vid framtagande av informations­säkerhetsstandarder. I Hallberg J, Johansson P, Karlsson F, Lundberg F, Lundgren B, Törner M: Informations­säkerhet och organisationskultur. Studentlitteratur, Lund.

Räisänen K. (2013) Standard-making in Information Security – A Literature Review. 7th Workshop on Information Security and Privacy. AIS Electronic Library (AISeL), Paper 31.