Ny mjukvara gör informationssäkerhet lättare att anpassa efter yrkesroll

En bärbar dator.

I de flesta organisationer gäller samma riktlinjer för informationssäkerhet för alla anställda – oavsett arbetsuppgifter. Det vill forskare vid Örebro universitet ändra på. De har utvecklat en mjukvara som gör det möjligt att anpassa dokumenten efter yrkesroll och ansvar, utan att tappa den övergripande strukturen.

– En utmaning som många organisationer har är att dessa styrdokument ofta är generella och inte tar hänsyn till anställdas olika arbetsuppgifter och roller. Förhoppningen är att mer målgruppsanpassade riktlinjer för informationssäkerhet ska bli både mer relevanta och enklare att förstå, säger Fredrik Karlsson, professor i informatik vid Örebro universitet.

Mjukvaran POLCO (Policy Composing), som har utvecklats inom forskningsprojektet, stödjer informationssäkerhetsansvariga i arbetet med att ta fram material för olika grupper av anställda.

– När riktlinjerna tas fram handlar det oftast om ett samarbete mellan flera personer. Mjukvaran gör det enklare att arbeta tillsammans och få tillgång till materialet, säger Elham Rostami, lektor i informatik vid Örebro universitet.

Webbaserad mjukvara

Fredrik Karlsson.

Fredrik Karlsson.

Elham Rostami.

Elham Rostami.

Mjukvaran är webbaserad och innehållet delas in i olika moduler. På så sätt kan de ansvariga för informationssäkerheten bygga riktlinjer anpassade efter anställdas olika roller och arbetsuppgifter.

– Genom att dela upp innehållet i moduler kan de kombineras och anpassas efter behov, utan att man tappar den gemensamma strukturen, säger Fredrik Karlsson.

POLCO har testats av informationssäkerhetsansvariga, både inom offentliga organisationer och privat sektor.

– Implementeringen av mjukvaran fungerar både tekniskt och organisatoriskt och skapar mervärde genom bättre samarbete och tydligare struktur, säger Elham Rostami.

Från organisation till medborgare

I ett nästa steg ska forskarna undersöka hur man kan använda samma teknik för att anpassa budskap om informationssäkerhet till medborgare – till exempel informationen i BankID-appen om att banken aldrig kommer att kontakta dig och be dig logga in eller signera med BankID.

– I dag möts vi alla av varningar och råd om nätfiske, bedrägerier och lösenordshantering. Men vi har olika förutsättningar att förstå och agera utifrån informationen vi får. Därför vill vi testa hur budskap kan skräddarsys även till medborgare, med hjälp av mjukvaran, säger Elham Rostami.

Projektet finansieras av Myndigheten för samhällsskydd och beredskap (MSB), och innebär tester där deltagare får ge återkoppling på hur säkerhetsråd bör formuleras och presenteras.

– Målet är ett tryggare digitalt samhälle. Om vi kan kommunicera på ett sätt som passar olika grupper, ökar chansen att fler verkligen tar till sig råden, säger Elham Rostami.

Vill du delta i forskningsprojektet om hur informationssäkerhetsbudskap kan förbättras och anpassas till olika grupper av medborgare?

Deltagandet innebär en intervju som tar cirka 30 minuter och som tack får du ett presentkort värt 250 kronor. 
Anmäl ditt intresse här.

Länk till den vetenskapliga artikeln: Towards software for tailoring information security policies to organisations’ different target groups

Text: Jasenka Dobric
Foto: Privat