Handelshögskolan vid Örebro universitet

Fåtal medlemmar deltar aktivt i utvecklingen av informationssäkerhetsstandarder

Karin Hedström och Annika Andersson

Karin Hedström och Annika Andersson.

I dagens samhälle ställer både företag och den offentliga sektorn allt högre krav på informationssäkerhet. Men det finns ett gap mellan hur man säger att standarder för säker informationshantering tas fram och hur den egentliga processen ser ut. Det visar en ny studie av Örebroforskare som nu publiceras i den vetenskapliga tidskriften Computers & Security.

Länk till den vetenskapliga artikeln ”Consensus versus warfare – unveiling discourses in de jure information security standard development” av Annika Andersson, Fredrik Karlsson och Karin Hedström – forskare på Handelshögskolan vid Örebro universitet.

– Det som är lite skrämmande är att vi inte vet om vi hanterar information på det absolut bästa sättet ur säkerhetssynpunkt, säger Annika Andersson, forskare i informatik vid Örebro universitet och första författaren till studien.

I tre års tid har Örebroforskarna följt hur SIS, Svenska Institutet för Standarder, arbetar med standardisering inom informationssäkerhet. Standarder som tas fram inom området är av stor betydelse och styr informationssäkerhetsarbetet i samhälle och näringsliv – bland annat är man inom offentlig sektor skyldig att följa dessa.

– Vår studie visar att man utåt kommunicerar konsensus i arbetet med att ta fram standarder. I praktiken styrs den processen endast av ett fåtal aktörer, förklarar Karin Hedström, professor i informatik vid Örebro universitet och en av författarna bakom studien.

Genom att delta i SIS tekniska kommittés arbete och analysera språket i material som medlemmar har tillgång till, har forskare sett att det finns två olika sätt att tala om hur en standard tas fram – konsensusdiskurs och militärdiskurs.  

– Språket som används när standarder diskuteras och när besluten tas är hårdare än när man beskriver hur arbetet går till, säger Annika Andersson.

 Tid och pengar

Under studiens gång har Örebroforskarna sett att standarder för informationssäkerhet utvecklas av ett fåtal individer i förhållande till hur många medlemmar den tekniska kommittén har. Dessutom kan alla som betalar medlemsavgiften delta i SIS tekniska kommittés arbete med informationssäkerhet.

– Till slut handlar det om resurser. De medlemmar som har både tid och pengar att investera i arbetet med standarder har också möjlighet att få in ett visst perspektiv, säger Karin Hedström.

Annika Andersson och Karin Hedström betonar att studiens resultat rör endast själva processen av hur standarder tas fram. Hur och om det i sin tur påverkar de framtagna standarder har de inte tittat på.

– Man behöver vara tydlig med hur arbetet går till och medveten om att processen kanske inte alltid fångar upp best practices. Det är viktigt att vi förstår hur standarder tas fram för att vi ska kunna lita på dem, förklarar Annika Andersson.

Hur skulle en möjlig lösning se ut enligt er?

– Det finns redan en bra bredd bland medlemmar i SIS tekniska kommitté för informationssäkerhet med representanter från både företag och myndigheter. Men man önskar att flera medlemmar var aktiva i arbetet och det är där man skulle behöva göra insatser, säger Karin Hedström.

Text och foto: Jasenka Dobric