Forskning på informasjonssikkerhet er blant de mer påtrengende typene organisasjonsforskning [1]. Det er gjerne, og heldigvis, en grunnleggende skepsis til enhver utenforstående som ønsker innsyn i organisasjonens sikkerhetsarbeid. Som forskere er vi ikke interessert i en glansbildepresentasjon, det gir oss ingen spennende resultater. Typiske “slik gjør vi det”-framstillinger gjenspeiler kanskje helst de gode intensjonene – “slik skal vi egentlig gjøre det”, mens vi heller vil vite hvordan praksis egentlig er. Deretter er vår jobb å prøve og forstå hvorfor praksis er som den er, eventuelt hvorfor den ikke samstemmer med uttalte intensjoner. Først når vi vet noe om hvorfor, kan vi identifisere mulige forbedringer og hvordan de bør implementeres.
Innsamling av empiriske data kan foregå på mange måter, men ikke alle er like gode når det gjelder konfidensielle opplysninger, som informasjonssikkerhetsforskning typisk krever. En grunnleggende faktor er tillit mellom forskeren og organisasjonen som skal studeres. Det holder samtidig ikke at et slikt tillitsforhold er bygd opp mellom forskeren og øverste leder, det må også gjelde de ansatte som er involvert i studien. Det kan være mellomledere, en hel avdeling eller utvalgte ressurspersoner. Uten dette tillitsforholdet kan ikke forskeren stole på at opplysninger som blir gitt, faktisk er sanne. Det kan hende de ansatte holder tilbake informasjon, eller vrir på sannheten slik at organisasjonen framstår i et bedre lys.
Masseutsendelse av spørreskjema er en lite effektiv metode. Dybdeintervjuer med enkeltpersoner eller mindre grupper (også kalt fokusgrupper) kan derimot være gode informasjonskilder. Likeså kan observasjoner, enten av enkeltsituasjoner (f.eks. møter) eller generelle arbeidsoppgaver, gi verdifulle opplysninger til forskeren. Da kan de involverte operere i sitt vante miljø med sine vante oppgaver, og forskeren vil kunne ha en større grad av tillit til at handlingene og samtalene er de samme som ville ha foregått uten at hun var til stede.
I løpet av de siste par årene har vi gjennomført både intervjustudier og fokusgrupper. Som deltakere i vår siste intervjustudie har vi hatt ni ulike nettselskaper fra kraftbransjen, og vår erfaring med disse er svært positiv. De ville gjerne delta i vår studie, og vi har fått god hjelp til å finne fram til de rette vedkommende i hvert selskap. For flere av selskapene var det allerede et aktivt samarbeid gjennom det Forskningrådsstøttede DeVID-prosjektet. Når det gjelder hvert enkelt intervju, er det selvsagt vanskelig som forsker å vurdere i hvor stor grad intervjuobjektet presenterer “slik gjør vi det” framfor “slik skal vi egentlig gjøre det”. Vårt inntrykk er likevel at alle intervjuobjektene utviste stor åpenhet og ærlighet om både styrker og svakheter ved praksis i egen organisasjon. Dette gir mer hold til resultatene fra studiene.
Empirisk forskning har tradisjonelt sett ikke vært mye brukt i typiske ingeniørdisipliner, hvor nyutvikling av teknologi har hatt høyest prioritet. Informasjonssikkerhetsfaget har også vært gjenstand for denne tankegangen, at det til stadighet er nye teknologiske løsninger som skal til. Men verden kan ikke mates med stadig mer teknologi uten etterfølgende evalueringer av hvordan denne teknologien blir brukt, eventuelt hvorfor den ikke fungerer etter hensikten. Det samme gjelder ulike metoder og arbeidsprosesser. Men for å finne de beste løsningene må vi tilbake til hvorfor – hvorfor fungerer ikke det vi har? Først når vi vet noe om hvorfor, kan vi identifisere mulige forbedringer og hvordan de bør implementeres.
Vi mener at det gjøres for lite empirisk forskning på informasjonssikkerhet i dag og håper at vårt arbeid kan inspirere andre forskningsmiljøer til å gå i denne retningen. Samtidig håper vi at våre resultater er interessante for næringslivet slik at de også ser nytten av å bidra til denne typen studier framover.
[1] Why there aren’t more information security research studies, av Andrew G. Kotulic og Jan Guynes Clark, Information & Management 41 (2004), p. 597-607.
Illustrasjon fra filmen “Salmer fra Kjøkkenet” (Bent Hamer 2003)