Handelshögskolan vid Örebro universitet

Prisbelönt forskning: En skräddarsydd policy kan minska säkerhetsincidenter

Låsskiss med chiphologram och händer som skriver på datortangentbord i bakgrunden.

Örebroforskaren Elham Rostami har utvecklat en webbaserad programvara som gör det enklare att utforma en säkerhetspolicy för anställda.
Hennes avhandling i informatik har nu belönats med Börje Langefors Award 2024.
– Det är en otrolig ära att få ta emot den här utmärkelsen och jag blir både tacksam och stolt, säger hon.

Idag hanterar nästan alla organisationer värdefull information, vilket gör informationssäkerhet till en högsta prioritet. En informationssäkerhetspolicy som vägleder anställda i hur de ska hantera information på ett säkert sätt spelar därför en avgörande roll i det dagliga arbetet.
Samtidigt visar forskning att upp till 99 procent av säkerhetsincidenterna beror på den mänskliga faktorn – ofta för att de anställda inte fullt ut förstod vad de behövde göra för att hålla informationen säker.

– Jag ville hitta sätt att göra policydokument för anställda tydligare och mer relevanta. De ska vara enkla att förstå och följa för att säkerställa att informationen skyddas, säger Elham Rostami, forskare i informatik vid Örebro universitet.

Hon har utvecklat en ny teori för att skräddarsy informationssäkerhetspolicyer. Hon har också skapat ett webbaserat program som underlättar för ansvariga att utforma och anpassa dessa efter de specifika behov som finns hos olika grupper av anställda.

– Programvaran förenklar processen att utforma en policy som är tydlig och relevant för de anställdas faktiska uppgifter. Målet är att det ska vara enklare att följa säkerhetsrutiner, säger Elham Rostami.

Positiv respons från organisationer

Elham Rostami.

Elham Rostami. Foto: Privat

Både offentliga och privata organisationer i Sverige har fått testa programvaran, och responsen har varit mycket positiv. Elham Rostami berättar att flera organisationer var intresserade av att börja använda programvaran direkt för att förbättra sin policyhantering.

– Utvärderingarna visar inte bara att programvaran kan användas för att skapa tydligare och mer relevanta policydokument, utan också att den passar väl in i hur dessa organisationer redan arbetar.

Färre säkerhetsincidenter genom tydligare riktlinjer

Elham Rostami hoppas att hennes forskning kan bidra till att minska säkerhetsincidenter som orsakas av missförstånd.

– Detta är särskilt viktigt idag när cyberhot är en ständig verklighet och alla måste vara beredda på att agera effektivt om en sådan situation uppstår, säger hon.

Elham Rostami har vunnit Börje Langefors Award 2024 för sin doktorsavhandling med titeln: Tailoring information security policies - a computerized tool and a design theory.
Börje Langefors Award delas ut årligen av Svenska informationssystemakademin för bästa informatikavhandling i Sverige.

Utdrag ur motiveringen:

Avhandlingen behandlar en viktig och aktuell aspekt av hanteringen av informationssäkerhetssystem. Att skydda informationsresurser inom organisationer är avgörande, och därför också att styra de anställdas beteende och definiera godkända rutiner som de måste följa i sitt dagliga arbete.

Denna sammanläggningsavhandling ger en rik och detaljerad studie av designkomplexiteten i att anpassa informationssäkerhetspolicyer (ISP) och använder ett brett urval av datakällor. Avhandlingen bidrar med insiktsfull och värdefull kunskap och utvecklar ny teori om design av ISP.

Text: Jasenka Dobric