Läs mer

Kulturella aspekter vid utveckling av informationssäkerhetstandarder

Informationssäkerhetsstandarder är ”best practices” som utvecklas globalt av informationssäkerhetsexperter. Dessa standarder har indirekt ett inflytande på hur informationssäkerhet utvecklas i olika organisationer, då de ofta används som utgångspunkt för det lokala informationssäkerhetsarbetet. Exempelvis så ska svenska myndigheter följa standarden ISO-27000 när de inför ledningssystem för informationssäkerhet.

Trots det stora genomslag som internationella informationssäkerhetsstandarder får är kunskapen om hur arbetet med att utveckla dem går till relativt liten. Forskningsfrågan som projektet arbetat med är: Vilka strukturer påverkar arbetet med att utveckla informationssäkerhetsstandarder?

 

Syftet med projektet Cultural aspects in information security standard development var att kartlägga vilken kultur, i form av strukturer, som präglar arbetet med att utveckla informationssäkerhetsstandarder. Ökad kunskap om detta arbete är betydelsefullt då det ger ökad förståelse för dels varför standarder får en viss utformning, dels i vilka sammanhang de kan betraktas som ”best practices”.

 

Kartläggningen av vilka strukturer som finns i arbetet med att ta fram informationssäkerhetsstandarder gjordes genom en etnografisk studie där forskarna deltog som medlemmar i en så kallad teknisk kommitté. Medlemskapet innebar att forskarna under flera år var närvarande i arbetet med att ta fram standarder inom informationssäkerhet, vilket gav en detaljerad inblick i hur arbetet går till.

 

Så som standardiseringsarbete beskrivs av SIS, den standardiseringsorganisation som projektet följt, är arbetet grundat i konsensus mellan många olika intressenter. Den etnografiska studien visar något delvis annat. Enligt vad som framkom i studien har arbetet med att ta fram standarder visserligen tydliga inslag av konsensus, men den visade också att det aktiva deltagandet i arbetet är lågt. Detta innebär i praktiken att de få aktörer som är med och fattar besluten om informationssäkerhetsstandarder får stor makt.


Projektet har också funnit att utvecklingsarbetet har ytterligare en struktur, präglad av strategi, politik och konkurrens – speciellt kring det arbete som bedrivs internationellt. Denna struktur är mer dold för utomstående än den första.

 

En intressant framtida forskningsfråga handlar om hur man kan öka det aktiva deltagande i standardiseringsarbetet.

 

Publikationer

Andersson A, Karlsson F, Hedström K (2017) Konfliktfylld kultur vid framtagande av informationssäkerhetsstandarder. I Hallberg J, Johansson P, Karlsson F, Lundberg F, Lundgren B, Törner M: Informationssäkerhet och organisationskultur. Studentlitteratur, Lund.

 

Räisänen K. (2013) Standard-making in Information Security – A Literature Review. 7th Workshop on Information Security and Privacy. AIS Electronic Library (AISeL), Paper 31.