Låg legitimitet i arbetet med standarder för informationssäkerhet
Hem Säkerhet Studie vissar: Låg legitimitet i arbetet med standarder för informationssäkerhet

Studie vissar: Låg legitimitet i arbetet med standarder för informationssäkerhet

Publicerat av: Redaktionen

Dataintrång, bedrägerier och spridning av skadlig kod blir allt vanligare – en utveckling som ställer höga krav på informationssäkerheten.

Nu visar en studie från Örebro universitet att själva processen med att ta fram standarder för informationssäkerhet kan ifrågasättas.

– Det är problematiskt eftersom vi förlitar oss på standarder, säger Karin Hedström, professor i informatik och en av författarna till studien.

I tre år har Örebroforskarna följt hur SIS, Svenska institutet för standarder, arbetar med att ta fram internationella standarder inom informationssäkerhetsområdet. Det är de standarder som sedan styr arbetet med säker informationshantering i samhället och myndigheter är skyldiga att följa dessa.
Men studien visar att arbetet med att utveckla standarder har låg legitimitet.

– Processen är allt annat än transparent och beslut tas informellt utan att dokumenteras. Det är ett problem med tanke på att vi litar på att standardiseringsprocessen fungerar, säger Annika Andersson, docent i informatik.

Viktigt med systematisk process

Forskarna brukar skilja på tre typer av legitimitet: input-, output- och throughput-legitimitet. Örebroforskarna har i studien granskat den så kallade throughput-legitimiteten som handlar om själva utvecklingsprocessen.

– Vi ville blottlägga processen och den lever inte upp till de principer som man säger att man arbetar utifrån. Vi har inte undersökt om standarder är bra eller dåliga, förklarar Annika Andersson.

Låg legitimitet i arbetet med standarder för informationssäkerhet

Forskarna Fredrik Karlsson, Annika Andersson och Karin Hedström.

Exempelvis är grundidén att så många medlemmar i SIS tekniska kommitté som möjligt ska delta i arbetet. I verkligheten deltar ett fåtal aktivt i utvecklingen av informationssäkerhetsstandarder. Ett annat exempel är att standarder och dess innehåll ska vara baserade på konsensusbeslut, men i praktiken har konsensus fått innebörden ”avsaknad av starkt motstånd”.

– Det visar att standarder utvecklas på en begränsad datakälla, säger Karin Hedström.

Makt i att delta i arbetet med standardisering

Standarder ska stötta företagens och myndigheternas arbete med informationssäkerhet och minska risker – något som har blivit allt viktigare i dagens samhälle. Samtidigt kräver aktivt deltagande i SIS tekniska kommitténs arbete med säker informationshantering både tid och pengar.

– Vi förstår att det kan vara en utmaning för enskilda aktörer att delta. Men det finns en oerhörd makt i att delta i standardiseringsarbetet. De bästa lösningarna kommer om man lyckas öka det aktiva deltagande från medlemmarna, säger Fredrik Karlsson, professor i informatik.

 

Relaterade Artiklar

Vi använder cookies och andra identifierare för att förbättra din upplevelse. Detta gör att vi kan säkerställa din åtkomst, analysera ditt besök på vår webbplats. Det hjälper oss att erbjuda dig ett personligt anpassat innehåll och smidig åtkomst till användbar information. Klicka på ”Jag godkänner” för att acceptera vår användning av cookies och andra identifierare eller klicka ”Mer information” för att justera dina val. Jag Godkänner Mer Information>>