Security Culture as a Service - assess, build and maintain security culture

Prosjektet skal teste et kommersielt verktøy for måling av sikkerhetskultur i Europeiske virksomheter, i en periode på tre år fra prosjektstart. Det finnes i dag ikke noe (gode) verktøy for måling av sikkerhetskultur i virksomheter. De målinger som gjennomføres i dag er basert på antall deltagere i opplæringsaktiviteter, og evnt. evaluering av kurser - målinger som ikke gir svar på spørsmålet: endrer den ansatte adferd? Det investeres milliarder av kroner i sikkerhetsopplæring av ansatte i dag, og dette markedet er forventet å øke med 30-50% hvert år frem mot 2020 (Gartner, 2015). Virksomheter investerer med andre ord store beløp på tiltak man ikke kjenner effekten av, samtidig som virksomheter daglig blir utsatt for store dataangrep og innbrudd. Innbrudd og dataangrep spores oftest tilbake til en form for menneskelig aktivitet (anslag varierer fra 30-95% avhengig av kilde). Dersom vi aksepterer at en stor del av datainnbrudd og angrep er basert på menneskelig svikt, bør det skaffes gode målinger som tydeliggjør hvilke opplæringstiltak som fungerer godt, slik at virksomhetene kan tilpasse sine investeringer til sine faktiske behov. Dette prosjektet vil etterprøve et verktøy for måling av sikkerhetskultur, basert på den internasjonale de-facto standaren Security Culture Framework (Rammeverk for Sikkerhetskultur).