Sikker ledelse og IT-sikkerhed

Håndtering af IT-sikkerhed er en udfordring for danske SMV’er. Dette er en ledelsesopgave. Vi undersøger hvordan ledelse og IT-sikkerhed skal håndteres i sammenhæng. 

En aktuel og vigtigt problemstilling er at identificere udfordringerne ved udarbejdelse og implementering af IT-politikker, -retningslinjer, og -beredskabsplaner i små- og mellemstore virksomheder (SMV’er) med fokus på IT-sikkerhed. SMV’er har ofte begrænsede ressourcer og tid. Ledelsen skal prioritere mellem daglig drift og strategisk IT-sikkerhed. Forståelsen af omkostningerne ved at investere i sikkerhedsforanstaltninger er afgørende, og det er forbundet med risiko og endnu større omkostninger ikke at have styr på IT-sikkerheden. Ledelsen skal balancere budgettet med behovet for beskyttelse. Også fra lovgivningsmæssig side øges kravene til IT-sikkerheden. 

Manglende opmærksomhed på IT-sikkerhed er en udfordring. SMV’er er ikke altid opmærksomme på de potentielle konsekvenser af IT-sikkerhedsbrud. Dette kan føre til manglende investering i IT-sikkerhed. Ledelsen skal forstå, at et enkelt brud kan true virksomhedens omdømme, kundetillid og økonomi. Manglende viden og ressourcer er en anden udfordring. SMV’er har ofte ikke specialiserede medarbejdere inden for IT-sikkerhed. Ledelsen skal finde løsninger, der er realistiske og overkommelige. Implementering af IT-sikkerhedsforanstaltninger kræver uddannelse og træning af medarbejdere. Ledelsen skal prioritere dette. 

Betydningen af SMV’ers håndtering af den organisatorisk IT-sikkerhed er afgørende. SMV’er udgør en vigtig del af erhvervslivet, og et IT-sikkerhedsbrud kan have alvorlige konsekvenser for dem og deres kunder. Ved at håndtere denne problemstilling kan SMV’er beskytte sig selv, minimere risici og opretholde forretningskontinuitet. 

Forstudiet skal i første omgang skabe overblik over litteratur og identificere samarbejdspartnere. Vi skal undersøge hvad der allerede er af viden på området og prøve at styre os ind i en retning der giver høj værdi.  

Formålet med forstudiet er at undersøge ledernes forhold til IT-sikkerhed, både nuværende tilgange og fremtidigt potentiale. Vi benytter en induktiv tilgang med inspiration fra Grounded Theory (Guvå og Hylander, 2005) hvilket vil sikre et eksplorativt og nysgerrigt undersøgelsesdesign og samtidig tage højde for rammerne for dataindsamlingen. Præcist hvordan dataindsamlingen i første omgang kommer til at se ud ligger ikke fast, men en kombination af kontakt til relevante organisationer og konferencer er prioriteret. Det vil sige vi forventer at gøre brug af interviews eller spørgeskema med repræsentanter for relevante SMV’er. 

Vores udgangspunkt er dette: 

1. Gennemføre et litteraturreview hvor vi undersøger virksomhedernes viden om it-sikkerhed set fra et ledelsesmæssigt perspektiv. Et litteraturstudie vil give os muligheden for at opbygge et teoretisk fundament, identificere vigtige videngab, og ikke mindst bruges til at formulere mere præcise forskningsspørgsmål. Der er en risiko for, at der ikke foreligger særlig meget forskning, selv om vi undersøger dette globalt, men det er faktisk også et resultat at få dette forhold faktuelt afklaret. 
2. Bruge resultatet af litteraturreview til at skrive en artikel om resultatet, som jo vil være en opsummering af de vigtigste fund og/eller det måske store videngab der identificeres. Et veludført litteraturstudie kan hjælpe med at sikre, forskningen bidrager meningsfuldt til den eksisterende viden inden for feltet.
3. Bruge litteraturreview til at forme de endelige forskningsspørgsmål og beslutte hvilke metoder (kvalitative eller kvantitative) som f.eks. interview der efterfølgende skal bruges.
4. Resultatet af litteraturstudiet vil også kunne medvirke til at forme de spørgsmål, der skal være i et struktureret eller semistruktureret interview 
5. Resultatet af litteraturstudiet vil også kunne medvirke til at forme de spørgsmål, der skal være i et spørgeskema.