01 mars 2016

Bäst att låta experter definiera säkerheten

Enhetliga definitioner är viktigt - och låt experter inom olika områden fylla begreppen med innehåll så de blir begripliga för de grupper som berörs.
De är några rekommendationer från tre forskare vid Örebro universitet som utrett hur informationssäkerheten kan bli bättre.

Terminologi och begrepp inom informationssäkerheten. Hur man skapar en språkgemenskap är rubriken på den rapport som nu publicerats av uppdragsgivaren Myndigheten för samhällsskydd- och beredskap, MSB. Utvärderingen och analysen är gjord av Annika Andersson, Karin Hedström, och Fredrik Karlsson på Handelshögskolan vid Örebro universitet.

Utgångspunkten för studien är två centrala styrdokument som idag definierar begrepp inom informationssäkerheten, alltså det skydd som finns för olika sorters värdefull och ibland livsviktig information i samhället.

I styrdokumenten finns en rad säkerhetsbegrepp beskrivna, som risk, ansvar, tillgänglighet och informationsklassning. Forskarna gav ett 60-tal experter med olika specialområden uppgiften att i mindre grupper ta fram mer detaljerade betydelser av dessa begrepp.

– Grupperna var indelade efter yrken och vi kunde identifiera skillnader som gick att hänföra till vad som är viktigt i olika yrken. Det leder oss till slutsatsen att det är centralt att definitionerna kan göras mer konkreta, baserade på olika yrkestillhörighet, säger Fredrik Karlsson.

Informationssäkerheten bör alltså bli mer anpassad efter område och målgrupper enligt Örebroforskarna, som också rekommenderar MSB att skapa ett styrdokument, istället för dagens två, med skilda definitioner av centrala begrepp. Och det är yrkesverksamma experter som ska göra jobbet, enligt den metod för gruppdiskussioner som användes under utvärderingen, den så kallade Delphi-modellen, konstaterar Örebroforskarna.

– För att hålla definitionerna aktuella är det viktigt att definitionerna inom fältet återkommande ses över. Nya begrepp dyker upp och andra byter betydelse när samhället förändras, säger Fredrik Karlsson.

Örebroforskarna ser stora fördelar med att engagera så många experter som möjligt med olika bakgrund. Dels då experternas gemensamma kunnande leder till bättre kvalitet på definitionerna – ju fler som bidrar desto fler aspekter belyses och fler idéer får bollas, och dels för att definitionerna kommer att stämma mer överens med hur människor som i sin vardag arbetar med informationssäkerhet tänker.