Gaute Wangen, CTO i Diri, foreleser også om risikostyring av informasjonssikkerhet som førsteamanuensis.

Vellykket bruk av Diri i undervisning om cybersikkerhet

Førsteamanuensis Gaute Wangen, og CTO i Diri, har undervist studentene ved NTNU i Gjøvik i risikostyring av informasjonssikkerhet siden 2014. I faget hans, nå kalt DCSG2005 Risk Management, lærer studentene det grunnleggende om risikostyringsprosessen, hvordan man gjennomfører en sikkerhetsrevisjon og hvordan rapportere resultatene.

Faget har to hovedinnleveringer:

  1. Studentene risikovurderer egen applikasjonsportefølje for sosiale medier som risikoeiere. I denne casen øver de på metode- og verktøybruk.
  2. Gjennomføre sikkerhetsrevisjon av en reell case i bransjen. Her samles det inn caser fra industrien og internt på NTNU og setter studentene i kontakt med dem for å gjennomføre en revisjon. Disse prosjektene varer i ca. tre måneder og avsluttes med en endelig presentasjon og en revisjonsrapport.

Fornøyde studenter

“Tidligere år ble datainnsamling, risikoanalyse og behandlingsplanlegging utført ved hjelp av ulike verktøy som Word og Excel, som studentene selv kom over. Selv om jeg alltid har hevdet at ethvert verktøy er akseptabelt så lenge det oppfyller minimumskravene til kvalitet, så vi de potensielle fordelene ved å bruke et spesialbygd, moderne verktøy”, sier Wangen. “For å utforske denne ideen, gjennomførte vi en frivillig prøveperiode med DCSG2005-studentene i 2022, og introduserte dem til Diri-applikasjonen for deres risikostyringsprosjekt. Prøveperioden var en suksess, og banet vei for at applikasjonen ble tatt i bruk i årets pensum. Som et resultat ble bruken av Diri obligatorisk for den første rapporten om bruk av sosiale medier, og frivillig for den andre rapporten.”

Implementeringen av Diri ga gode resultater i år, og studentene uttrykte sin tilfredshet med å jobbe i et topp moderne risikoanalyseverktøy. Det var positivt overraskende at selv om bruken av Diri for den andre rapporten var frivillig, valgte alle studentgruppene å bruke applikasjonen og inkludere det genererte innholdet i den endelige rapporten. Dette entusiastiske svaret sier sitt:

Figur 1 – Studentene vurderer nytten av Diri Q8, og anbefaling av Diri til neste års studenter Q11. N=27

I figur 1, spørsmål 8, ble det spurt hvor nyttig det var å bruke Diri i kurset med en Likert-skala som går fra “ingen nytte” i blått til “Veldig god nytte” i lilla. Av de 27 studentene som svarte, svarte 20 at de opplevde god og veldig god nytte.

Spørsmål 11 spurte om studentene ville anbefale å bruke Diri til neste års studenter, med svaralternativene “ja”, “nei” og “annet”. Her var det nesten enstemmig enighet om at det må vi gjøre! Les videre hvis du er interessert i hvordan vi brukte det i kurset.

Use case for DCSG2005

“Først satte vi opp en sikker og lokal undervisningsinstans av Diri på NTNU’s SkyHigh OpenStack cluster atskilt fra produksjonsmiljøet vårt i Azure. Applikasjonen var kun tilgjengelig inne i NTNU-nettverket og ikke synlig fra internett (krever VPN for remote work)”, forklarer Wangen.

“Vi fikk raskt ombord 85 studenter ved å bruke NTNU-tenant-ID og «Logg på med Microsoft»-alternativet. Mine dyktige lærerassistenter (Jo Kristian, Michael og Simen) jobbet som administratorer for hver gren og sorterte elevene inn i sine respektive grupper (Figur 2). Sikkerheten i organisasjonstreet er ovenfra og ned og silobasert, noe som betyr at hver bruker ikke kan se nivåene over eller ved siden av sin organisasjon.”

Figur 2 – Organisasjonssortering for DCSG2005 i Diri. Lærerassistentene hadde tre grupper hver. Sikkerheten fungerer ovenfra og ned og silobasert.

“Det som fungerte veldig bra var at studentene kunne lage flere risikovurderinger sidestilt i Diri og bruke de aggregerte dataene til analyse og rapportering”, sier Wangen. Figur 3 viser hvordan hver risikovurdering er lagret i Diri.

Figur 3 – Gruppen Salus risikovurderte TikTok, Instagram, Reddit og YouTube.

Hver risikovurdering er et eget objekt i Diri, og gruppene jobbet med risikovurderingen av hver applikasjon for seg selv, og noen valgte å rapportere risikobildet for hver applikasjon separat i innleveringen. Illustrert med et alvorlig risikobilde av TikTok av gruppen Ernik i figur 4.

Figur 4 – Oppsummert risikoanalyse av TikTok. (Gruppe: Ernik)

Videre kunne gruppene, ved å bruke dataaggregeringen i dashbordet, evaluere sitt nåværende risikobilde fra alle applikasjonene i deres portefølje, og legge til tiltak på de uakseptable risikoene, som illustrert i bilde 5.

Figur 5 – Det aggregerte risikobildet før og etter tiltak for alle applikasjonene. (Gruppe: Assets & System Security)

“Oppsummert fungerte det utmerket å bruke Diri til dette formålet, og vi er alltid opptatt av å gi studentene våre de beste ressursene og verktøyene for å utmerke seg i studiene. Den vellykkede integreringen av Diri i pensum for risikostyring setter et referansepunkt for fremtidige bestrebelser, og sikrer at studentene våre får en omfattende og banebrytende utdanning”, sier Wangen.

“Men vi ser også behovet for å styrke den rapportgenererende delen av verktøyet. Mens det meste av risikovurderingsarbeidet ble gjort i Diri, var det fortsatt behov for å lage sluttrapporten utenfor verktøyet (som vist på bilde 5).”

Wangen forteller at både studentene og Diri sine kunder har bedt om bedre rapporteringsmuligheter og tilpasningsmuligheter for rapportgenerering. “Vi vil se nærmere på dette, og kanskje kan neste års studenter generere hele rapporten i Diri. I tillegg ble trussel- og sårbarhetsanalyse etterlyst i dette semesteret. Men kort oppsummert:

  • Studentene omfavnet Diri helhjertet, og anerkjente verdien det ga til prosjektene deres.
  • Den sømløse integrasjonen av Diris funksjoner forbedret risikoanalyseprosessen deres.
  • Bruken av Diris evne til å genere innhold beriket kvaliteten på sluttrapportene deres.

Den overveldende deltakelsen og de positive resultatene understreker effektiviteten til Diri når det gjelder å tilrettelegge for risikostyringsprosjekter. Ved å ta i bruk dette moderne verktøyet har vi sett en markant forbedring i studentens opplevelse og kvaliteten på arbeidet deres.”

Tags:
Cyber Security
Risk Assessment
Riskmanagement
Published: 
21.6.2023