Pomemben izziv v današnji digitalni dobi predstavljata informacijska in kibernetska varnost, še posebej usposabljanje končnih uporabnikov za delovanje na teh področjih. Rešitev predstavlja nov raziskovalni članek »Balancing software and training requirements for information security«, v katerem so raziskovalci asist. dr. Damjan Fujs, izr. prof. dr. Damjan Vavpotič in izr. prof. dr. Simon Vrhovec predlagali pristop, ki organizacijam ponuja učinkovitejšo upravljanje informacijske varnosti.

V članku so se raziskovalci ukvarjali s področjem inženirstva informacijskovarnostnih zahtev. Gre za ožje področje računalništva in informatike, ki obsega različne vidike razvoja in upravljanja varnostnih zahtev skozi življenjski cikel informacijskega sistema. Informacijska varnost se je namreč v preteklosti običajno osredotočala večinoma na tehnične informacijskovarnostne rešitve in še to zgolj v zaključnih fazah razvoja programske opreme (npr. z varnostnimi popravki). Da bi zapolnili to vrzel, so avtorji razvili nov pristop, ki na podlagi kategorizacije končnih uporabnikov omogoča prioritizacijo informacijskovarnostnih zahtev. Pristop je bil preizkušen s pomočjo eksperimenta med 128 strokovnjaki s širšega področja razvoja programske opreme.

Rezultati mednarodne raziskave so pokazali, da je uporaba predlaganega pristopa pomagala strokovnjakom (z omejenimi izkušnjami na področju informacijske varnosti) pri izbiri boljših odločitev glede varnostnih zahtev. Prednosti novega pristopa so hkratno naslavljanje z varnostjo povezanih zahtev za programsko opremo in usposabljanja uporabnikov. Na ta način je mogoče bolj učinkovito ter celovito naslavljati tako zahteve, povezane s programsko opremo, kot tudi zahteve za usposabljanja za informacijsko varnost. Predlagani pristop (tj. metodologija in razvita podporna orodja)  lahko organizacijam pomaga vzpostaviti učinkovitejšo in bolj celovito upravljanje informacijske varnosti.

Grafični prikaz raziskave

Članek lahko v celoti preberete na povezavi:

• Computers & Security: Balancing software and training requirements for information security (2. september 2023)