Måling av informasjonssikkerhet er vanskelig. Like fullt viktig. Målinger kan brukes til å se om de sikringsmekanismene man har implementert, fungerer etter planen. I høst har vi veiledet en student gjennom en prosjektoppgave som gikk ut på å undersøke hvordan ulike virksomheter måler informasjonssikkerhet. Vi ønsket å finne ut hvilke metrikker som er i bruk, hvordan de brukes og hvordan de følges opp.
Det er 5. klassestudent ved kommunikasjonsteknologi, Marte Tårnes, som har utført prosjektet. Hun har intervjuet informasjonssikkerhetsansvarlige i fem ulike norske virksomheter for å kartlegge dagens praksis. Dette er for få virksomheter til å kunne generalisere, men resultatene kan nok likevel sies å gi en pekepinn om hvordan ståa er:
- Alle har målinger på et eller annet nivå når det gjelder informasjonssikkerhet, men ingen har satt det i system. Noen har planer om å ta tak i dette i løpet av overskuelig framtid.
- Alle kjenner til ISO 27000-familien av standarder, men kun ISO 27001+ISO27002 er de man forholder seg til.
- ISO 27004, om Measurements, var det ingen som hadde sett på.
- De statlige virksomhetene hevder at det er pålagte krav som har fått dem til å introdusere ISO27000-standardene internt. Dersom måling skal implementeres, er det best om det også kommer som et pålagt krav.
- Det er hovedsaklig informasjonssikkerhetsansvarlig som initierer aktiviteter knyttet til måling. De mangler den sterke ledelsesforankringen som anbefales i denne sammenhengen.
Les hele rapporten her: Information Security Metrics – An Empirical Study of Current Practice
Det er flere mulige veier videre fra dette arbeidet, som for eksempel: intervjue flere virksomheter for å få en grundigere kartlegging; fokusere på enkeltbransjer; kombinere faktisk praksis med gjeldende anbefalinger og standarder for å kunne tilby god, konkret praktisk støtte; dokumentere påståtte positive effekter av måling.
Veileder fra oss har vært Maria B. Line.