Handelshögskolan vid Örebro universitet

Låg legitimitet i arbetet med standarder för informationssäkerhet

Fredrik Karlsson, Annika Andersson och Karin Hedström sitter vid ett bord.

Forskarna Fredrik Karlsson, Annika Andersson och Karin Hedström har visat att framtagning av standarder för informationssäkerhet inte är en systematisk process.

Dataintrång, bedrägerier och spridning av skadlig kod blir allt vanligare – en utveckling som ställer höga krav på informationssäkerheten. Nu visar en studie från Örebro universitet att själva processen med att ta fram standarder för informationssäkerhet kan ifrågasättas.
– Det är problematiskt eftersom vi förlitar oss på standarder, säger Karin Hedström, professor i informatik och en av författarna till studien.

Till den vetenskapliga artikeln i Information & Management

I tre år har Örebroforskarna följt hur SIS, Svenska institutet för standarder, arbetar med att ta fram internationella standarder inom informationssäkerhetsområdet. Det är de standarder som sedan styr arbetet med säker informationshantering i samhället och myndigheter är skyldiga att följa dessa.  
Men studien visar att arbetet med att utveckla standarder har låg legitimitet.

– Processen är allt annat än transparent och beslut tas informellt utan att dokumenteras. Det är ett problem med tanke på att vi litar på att standardiseringsprocessen fungerar, säger Annika Andersson, docent i informatik.

Viktigt med systematisk process

Forskarna brukar skilja på tre typer av legitimitet: input-, output- och throughput-legitimitet. Örebroforskarna har i studien granskat den så kallade throughput-legitimiteten som handlar om själva utvecklingsprocessen.

– Vi ville blottlägga processen och den lever inte upp till de principer som man säger att man arbetar utifrån. Vi har inte undersökt om standarder är bra eller dåliga, förklarar Annika Andersson.

Exempelvis är grundidén att så många medlemmar i SIS tekniska kommitté som möjligt ska delta i arbetet. I verkligheten deltar ett fåtal aktivt i utvecklingen av informationssäkerhetsstandarder. Ett annat exempel är att standarder och dess innehåll ska vara baserade på konsensusbeslut, men i praktiken har konsensus fått innebörden ”avsaknad av starkt motstånd”.

– Det visar att standarder utvecklas på en begränsad datakälla, säger Karin Hedström.

Makt i att delta i arbetet med standardisering

Standarder ska stötta företagens och myndigheternas arbete med informationssäkerhet och minska risker – något som har blivit allt viktigare i dagens samhälle. Samtidigt kräver aktivt deltagande i SIS tekniska kommitténs arbete med säker informationshantering både tid och pengar.

– Vi förstår att det kan vara en utmaning för enskilda aktörer att delta. Men det finns en oerhörd makt i att delta i standardiseringsarbetet. De bästa lösningarna kommer om man lyckas öka det aktiva deltagande från medlemmarna, säger Fredrik Karlsson, professor i informatik.

Text och foto: Jasenka Dobric