Detailansicht
Challenges in Implementing Information Security policies
Andreas Reichard
Art der Arbeit
Masterarbeit
Universität
Universität Wien
Fakultät
Fakultät für Informatik
Betreuer*in
Gerald Quirchmayr
DOI
10.25365/thesis.12412
URN
urn:nbn:at:at-ubw:1-29818.01324.668655-7
Link zu u:search
(Print-Exemplar eventuell in Bibliothek verfügbar)
Abstracts
Abstract
(Deutsch)
Grundsätzlich kann jeder Form von Information ein bestimmter Wert zugeordnet werden. Die genaue Höhe dieses Wertes hängt von Faktoren wie dem Inhalt der Information, dem Grad der Geheimhaltung der sie unterliegt, ihrem Besitzer etc. ab. In manchen Fällen, v.a. im Geschäftsbereich, kann dieser Wert monetär ausgedrückt werden; in anderen Fällen ist dies nicht möglich. Unklarheit über die möglichen Konsequenzen für den Fall, dass solche Information in die falschen Hände gerät, hat zur Entwicklung von Maßnahmen geführt, die dies verhindern sollen. Der entsprechende Umgang mit Information – nicht ausschließlich solcher, die einer besonderen Geheimhaltung unterliegt, sondern generell – auf eine Weise, welche Business Prozesse nicht unnötig behindert, gleichzeitig aber die Information selbst vor unerwünschtem Zugriff schützt, fällt in den Bereich der Informationssicherheit (engl. ‚Information Security’).
Die Erkenntnis über die Gefahr einer unerwünschten Verbreitung von Informationen hat dazu geführt, dass Unternehmen großen Aufwand an Zeit und Geld in die Erstellung eines Informationssicherheitsprogramms investieren. Der hierfür nötige Aufwand allein garantiert allerdings nicht die Effizienz eines solchen Programms in seiner Anwendung, d.h. er bedingt nicht, dass die betroffenen Personen auch damit einhergehen und, wenn ja, bis zu welchem Grad sie dies tun. Eine Investition in das Design eines Informationssicherheitsprogramms ohne ausreichende Kenntnis der Auswirkungen, die es auf Personen haben wird, wird mit hoher Wahrscheinlichkeit zu einer Diskrepanz zwischen Konzeption und Anwendung eines solchen Programms führen. Im schlimmsten Fall kann dies sogar das gesamte Programm untergraben, nämlich dann, wenn die betroffenen Personen den allgemeinen Nutzen des Programms für sie und das Unternehmen nicht erkennen können. In so einem Fall werden sie der Effizienz in der Bearbeitung ihrer alltäglichen Verantwortlichkeiten die höchste Priorität beimessen, die Informationssicherheit aber vernachlässigen. Dass damit die Verletzung einer Zahl von Informationssicherheitsmaßnahmen einhergeht, die eigentlich dem Schutz wertvoller Informationen dienen sollten, ist mit hoher Wahrscheinlichkeit anzunehmen.
Die vorliegende Arbeit unterscheidet zwischen dem Design und der Umsetzung eines Informationssicherheitsprogramms. In diesem grundlegenden Unterschied liegt die Ursache für die mögliche Kluft zwischen Konzeption und Anwendung eines solchen Programms. Die Frage, die diese Arbeit daher zu beantworten sucht, ist folgende: Wie kann diese Kluft zwischen Konzept und Anwendung reduziert werden oder aber, genauer gesagt, Informationssicherheit den betroffenen Personen, Mitarbeitern wie Managern, so kommuniziert werden, dass diese ihren Wert für sie persönlich wie auch für das Unternehmen erkennen? Nur durch ein solches Verständnis, d.h. entsprechendes Bewusstsein, kann das Befolgen eines Informationssicherheitsprogramms erreicht werden, und damit schließlich auch seine Umsetzung wie vom Design her vorgesehen.
Obwohl die erfolgreiche Umsetzung eines Informationssicherheitsprogramms mit seiner Konzeption und Erstellung zusammenhängt, liegt der Fokus dieser Arbeit nicht auf dem Design eines solchen Programms. Zwar ergeben sich aufgrund des erwähnten Zusammenhangs insofern gewisse Berührungspunkte, als einige wichtige Aspekte des Designs eines Informationssicherheitsprogramms aufgezeigt werden, das Hauptaugenmerk dieser Arbeit liegt jedoch auf der Überwindung möglicher Hindernisse, die sich während der Implementierung von Richtlinien für Informationssicherheit ergeben und die Effizienz eines entsprechenden Programms schmälern können. Dadurch kann die Akzeptanz eines Informationssicherheitsprogramms maximiert werden, da es von den betroffenen Personen als Maßnahme gesehen wird, die Information als ein gemeinsames Gut vor unerwünschtem Zugriff schützt.
Abstract
(Englisch)
Every kind of information carries a specific value. The exact amount of that value depends on factors such as its content, confidentiality, and owner. In some cases, especially in business environments, this amount can be expressed as a monetary value; in other cases this is not possible. Consequently, the uncertainty about possible consequences of sensitive information getting into the wrong hands has led to extensive planning of ways to prevent this from ever happening. Dealing adequately with information – not only highly sensitive information, but information in general – in a way that does not constrain business processes unnecessarily, while still protecting the information as a valuable asset from illicit access, falls into the field of Information Security.
Recognizing the danger of information exposure, many businesses have invested considerable time and effort into the creation of an Information Security program. The creation of such a program is a complex task in its own right, worthy of recognition. The effort devoted to such a program, however, does not guarantee the efficiency of its implementation, i.e. the crucial issue of whether the people affected by it will also comply with it and, if they do, to what extent. Investing substantial effort into the design of an Information Security program without sufficiently acknowledging how coworkers will be affected will likely lead to a large gap between the conception and the application of such a program. In a worst case scenario, this may even render the entire Information Security program useless, if people do not recognize an overall benefit for their own work or for the company as a whole. On the contrary, if they see little or no benefit in compliance, accomplishing their day-to-day tasks in the most efficient and time-saving manner will receive the highest priority instead of Information Security. This usually involves violating a number of Information Security measures put into place to protect valuable information.
This thesis recognizes that there is a substantial difference between the design and the implementation of an Information Security program. It is that difference which is responsible for the existence of a possible gap between conception and application of an Information Security program. The question this thesis intends to answer is this how this gap between conception and application can be reduced or, more to the point, how Information Security can be communicated to people, employees and management alike, so as to make them recognize the overall value of Information Security – both for them personally and for the company they are working for. Only through such understanding, i.e. awareness, can compliance with an Information Security program be achieved, making it work as intended by its design.
Although the successful implementation of an Information Security program is closely related to its design and creation, it must be pointed out that this thesis is not focused on the design of such a program per se. Due to the nature of this close relation, this thesis may indeed offer additional insight into the design of an Information Security program. Its main topic, however, is overcoming any obstacles during the implementation phase that might appear during the application of an Information Security program and thereby reduce its effectiveness. Doing so will maximize the acceptance of an Information Security program on the part of the people affected by it because it is seen as an effort to protect information as a common asset.
Schlagwörter
Schlagwörter
(Englisch)
information security security
Schlagwörter
(Deutsch)
Informationssicherheit Sicherheit
Autor*innen
Andreas Reichard
Haupttitel (Englisch)
Challenges in Implementing Information Security policies
Publikationsjahr
2010
Umfangsangabe
125 S.
Sprache
Englisch
Beurteiler*in
Gerald Quirchmayr
Klassifikationen
54 Informatik > 54.38 Computersicherheit ,
54 Informatik > 54.61 Datenverarbeitungsmanagement
AC Nummer
AC08438520
Utheses ID
11190
Studienkennzahl
UA | 066 | 926 | |