Varför följer inte användarna reglerna? Foto: istockphoto

Relevanta dokument
Informationssäkerhetsbestämmelser: vem följer dom och när följs dom?

Informationssäkerhetskultur forskningsprogrammet SECURIT. Jonas Hallberg

Påverkar organisationskulturen informationssäkerheten?

Varför följer inte användarna bestämmelser? En metaanalys avseende informationssäkerhetsbestämmelser

IT-policyer i organisationer:

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

En policy är bara så bra som personens förmåga att efterleva den


Vårdanställdas efterlevnad av informationssäkerhetspolicys faktorer som påverkar efterlevnaden

Lösenordsregelverk för Karolinska Institutet

C-UPPSATS. Vad anser ungdomar om att börja arbeta direkt efter gymnasiet?

Chris von Borgstede

Säkerhetskultur. Kort introduktion. Teori, metoder och verktyg

Arbetsgivarperspektivet. Vad säger forskningen?

Dnr UFV 2013/1490. Lösenordshantering. Rutiner för informationssäkerhet. Fastställd av Säkerhetchef Reviderad

SLU Säkerhets instruktioner avseende kryptering av filer

Elever och skolfusk. en studie om attityder, subjektiv norm, upplevd kontroll, intentioner, rättfärdiganden, motivation samt självvärdering

EXAMENSARBETE. Att göra fel i syfte att göra rätt. Ett examensarbete om anställdas förhållande till lösenordspolicys. Andreas Jansson Therese Malakow

Kan normer och attityder påverka vårt vardagliga beteende? Miljöhandlingar ur ett miljöpsykologiskt perspektiv.

Att analysera värderingar bakom inforamtionssäkerhet. Fil. Dr. Ella Kolkowska

Hantering av lösenord Väljer anställda lösenord efter bästa förmåga?

Informationssäkerhetsklimat kan det mätas?

Guide för säker behörighetshantering

Ängelholms kommun accepterar inte att någon inom den kommunala verksamheten utsätts för våld eller hot om våld i sin arbetsmiljö.

Värderingar bakom informationssäkerhet

SMÄRTAN I VARDAGEN. Marianne Gustafsson Leg ssk, Med.dr. Sahlgrenska akademin vid Göteborgs G Vårdalinstitutet

Mikael Östberg

Utvecklingen av ett enkelt mätverktyg för informationssäkerhetsbeteende.

Planerat beteende och varierad kost

Administrativ IT-säkerhetspolicy Version 1.0 Fastställd

ORO FÖR MOBBNING BLAND

Sammanfattning av riktlinjer

Lösenordhantering i Device Config.

OBM Organizational Behavior Management

Forskningsprogrammet SECURIT. Security Culture and Information Technology. Jonas Hallberg, FOI. Foto: istockphoto.

Bilaga D - Intervjuer

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Användning av digitala verktyg i matematikundervisning

Ledarskap, säkerhetsklimat, säkerhetsbeteende och lärande från incidenter. Marcus Börjesson Ann Enander Anders Jacobsson Åsa Ek Roland Akselson

TIDSPRESS, ETISK KULTUR OCH REVISIONSKVALITET

Datainsamling Hur gör man, och varför?

Vad får oss att ändra beteende?

Lösenord och ditt Axxell IT-konto

Hur vända den negativa vaccinationstrenden?

KOMMUNIKATIVT LEDARSKAP

Dataintrång - åtgärder vid misstanke om olovlig åtkomst

Metoder för att öka informationssäkerheten. och därmed minska säkerhetsriskerna

Hushålls attityder och anpassningar till en tidsdifferentierad och effektbaserad elnätstariff

Förankring, acceptans och motstånd

Säkerhetskultur i en organisation

Välkommen! Det är beteenden som skapar resultat 21 maj Ledarskapets utmaning

Verksamhetsdriven informationssäkerhet genom informationsklassning och målgruppsanpassade riktlinjer

INNEHÅLL. DEL 1: Teori 11. DEL 2: Praktisk tillämpning 61 FÖRORD 5 INLEDNING 6 BOKENS UPPLÄGG 10 REFERENSER 135 BILAGOR MALLAR 136

Forskning vid enheten för miljöekonomi, institutionen för nationalekonomi och statistik, GU.

Social Engineering ett av de största hoten mot din verksamhet

REGLAB 2019 NUDGING I REGIONALPOLITIKEN

Energi- och vattenbesparing hos Mölndalsbostäder

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

Organisation för samordning av informationssäkerhet IT (0:1:0)

Motivation inom fysisk aktivitet och träning: Ett självbestämmande perspektiv

Lön, motivation och prestation:

Säkerhetsinstruktion 1 BAKGRUND INLOGGNING HANTERING AV INFORMATION INTERNET E-POST INCIDENTER...

SÅ FÖRBEREDER NI ER INFÖR DATASKYDDSLAGEN (GDPR)

för att komma fram till resultat och slutsatser

Myndigheten för samhällsskydd och beredskap

IT-riktlinjer Nationell information

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Mikael Östberg

Inför projektuppgiften. Markus Buschle,

Handlingsplan för att förebygga och hantera situationer med våld, hot om våld och trakasserier inom Vuxenutbildningsenheten

Hur kan man göra säkerhetskultur begripligt och mätbart? Sixten Nolén Transportstyrelsen

Systematiskt arbetsmiljöarbete

Informationssäkerhetspolicy

SÅ HÄR GÖR VI I NACKA

Michal Drechsler Karlstad University SMEER Science Mathematics Engineering Education Research

Anställdas tankar om miljöarbetet

Förändringsstrategi anpassad till just din organisations förutsättningar och förmåga

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Förhållningssätt till motion och träning

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

SOCIALPSYKOLOGI Sjukgymnastutbildningen KI, T2. Aila Collins Department of Clinical Neuroscience Karolinska Institute Stockholm, Sweden

En generationsfråga: Beteende och attityder kring säkerhetskopiering av personlig data

Diskriminering. Nationell policy och riktlinjer. trakasserier, kränkande särbehandling

Informationssäkerhet - Informationssäkerhetspolicy

Revisioner av nationella katalog- och identifieringstjänster - HSA och SITHS

Översikt av GDPR och förberedelser inför 25/5-2018

Handledning hantera förfrågan och lämna offert i IBX Quote

Gruppens psykologi. Attributionsteori

Värnamo Folkhögskola Likabehandlingsplan Policy på Värnamo Folkhögskola

SIEM FOR BEGINNERS WHITEPAPER TELEFON WHITEPAPER. ADRESS Sentor Managed Security Services AB Björns Trädgårdsgränd STOCKHOLM

Hur du registrerar en ansökan om pre-lei på NordLEI-webbportalen

Attributionsteori. Gruppens psykologi. Kulturella skillnader

Generell säkerhet. Loggning - Hur mycket ska man logga? Inloggningsrutinerna i Unix. Loggning fortsättning

Informationssäkerhet

Riskhantering för informationssäkerhet med ISO Lars Söderlund, TK 318 Ag 7 Lüning Consulting AB

Hur upplever ungdomar, på väg att lämna gymnasieskolan, makten över sin framtid?

Chefsbarometern December 2018 Vård och Omsorg

Datautvinning från digitala lagringsmedia

Hantera nya ENKLA GRUNDER I DATASKYDD. dataskyddsförordningen MAJ. Den nya dataskyddsförordningen träder i kraft.

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Transkript:

Varför följer inte användarna reglerna? Foto: istockphoto

Säkerhetsbestämmelser hamnar i fokus Exempel Tvingande regler Tydliga riktlinjer Standardprocedurer Normer Antaganden Skrivna av experter med helhetsperspektiv Ger rätt risknivå

Forskarnas metod: Kvantitativ enkätforskning X: Mina arbetskamrater tycker att jag ska följa bestämmelserna. 1 Instämmer inte alls 2 Instämmer i låg grad 3 Instämmer delvis 4 Instämmer i hög grad 5 Instämmer helt Y: Jag ämnar följa bestämmelserna. 1 Instämmer inte alls 2 Instämmer i låg grad 3 Instämmer delvis 4 Instämmer i hög grad 5 Instämmer helt Y (Intentioner) X (Normer)

Utmaning: datainsamling Två metoder för att erhålla data Enkäter Metaanalyser

Tre populära teorier Huvudidé och huvudkoncept Normativ vägledning Theory of planned behavior Attityder, normer and upplevd beteendekontroll förklarar intentioner. Intentioner och beteendekontroll förklarar beteende. Jobba på bra attityder, bra normer och att det ska vara lätt att göra rätt. Protection motivation theory Folk är rationella och kommer att efterleva bestämmelser om de ser ett reellt hot och efterlevnad är billigt, enkelt och effektivt. Se till att folk får ett positivt värde när de jämför kostnader och nyttor med bestämmelserna. Deterrence theory Beteendet kan styras med straff. Hur hårda, sannolika och snabba straffen är spelar roll. Skräm ordentligt med straff. Ursprung Socialpsykologi Hälsobeteende Kriminologi

Theory of planned behavior (TPB) Ex. det är meningsfullt att följa informationssäkerhetsbestämmelser Attitude Ex. jag tänker följa säkerhetsbestämmelserna Ex. logganalys eller självrapport Ex. mina kollegor vill att jag följer våra informationssäkerhetsbestämmelser Norm Intention to comply Actual behaviour Behaviour Control Ex. om jag vill kan jag följa informationssäkerhetsbestämmelserna

TPB-tolkning av en bestämmelse Norm? Ett lösenord till ett IT-system ska vara så konstruerat att det inte kan gissas eller knäckas på ett enkelt sätt. För närvarande gäller att lösenord, om inte IT-systemet i sig är begränsande, bör bestå av minst 15 tecken samt innehålla en blandning av Versaler, gemener, siffror och specialtecken. T.ex. DIfI&ish28smnoli (Dokumentet Instruktionen för IToch informationssäkerhet har 82 sidor med nyttig och läsvärd information). Lösenord ska bytas minst en gång per år. Stärka beteendekontroll?

Mer TPB-aktig formulering Attityd Normer Att skydda IT-system är viktigt. Det förväntas av användarna att de lösenord som används till IT-system är konstruerade så de inte kan gissas eller knäckas på ett enkelt sätt. Om inte ITsystemet i sig är begränsande bör lösenordet bestå av minst 15 tecken samt innehålla en blandning av Versaler, gemener, siffror och specialtecken. Du kan enkelt skapa ett bra lösenord genom att utgå från en mening. Exempelvis kan du skapa DIfI&ish28smnoli från meningen Dokumentet Instruktion för IT- och informationssäkerhet har 82 sidor med nyttig och läsvärd information. Lösenord behöver bara bytas en gång per år. Upplevd beteendekontroll

The theory of planned behavior (TPB) Attitude 0.48 Norm 0.52 Intention to comply 0.83 Actual behaviour 0.45 Behaviour Control 0.35

Protection motivation theory (PMT) Ex. kostnaden för ett informationsläckage i min organisation skulle vara stor Threat appraisal Severity Ex. informationsläckage kan drabba min organisation Vulnerability Ex. informationssäkerhetsbestämmelserna minskar risken för informationsläckage Coping appraisal Response efficacy Protection motivation (Intention) Behavior Ex. jag kan följa bestämmelserna om jag vill Self-efficacy Ex. att följa bestämmelserna kräver lite jobb Response cost

PMT tolkning av en bestämmelse Indikerar hot ~Effektivt Ett lösenord till ett IT-system ska vara så konstruerat att det inte kan gissas eller knäckas på ett enkelt sätt. För närvarande gäller att lösenord, om inte IT-systemet i sig är begränsande, bör bestå av minst 15 tecken samt innehålla en blandning av Versaler, gemener, siffror och specialtecken. T.ex. DIfI&ish28smnoli (Dokumentet Instruktion för IT- och informationssäkerhet har 82 sidor med nyttig och läsvärd information). Lösenord ska bytas minst en gång per år. Hintar att det är enkelt och billigt

Mer PMT-aktig formulering Vulnerability Severity Svaga lösenord kan användas för obehörigt nyttjande av IT-system, vilket kan få allvarliga följder. Därför bör lösenord vara så konstruerade att det inte kan gissas eller knäckas på ett enkelt sätt och är lätta att använda. Ett lösenord på 15 tecken som innehåller en blandning av versaler, gemener, siffror och specialtecken ger gott skydd om det byts varje år. Genom att utgå från en mening kan du enkelt skapa ett bra lösenord, t.ex. kan du skapa DIfI&ish28smnoli för meningen Dokumentet Instruktion för IT- och informationssäkerhet har 82 sidor med nyttig och läsvärd information. Response efficacy Self-efficacy

Protection motivation theory (PMT) Fungerar bättre Threat appraisal för frivilliga beteenden än tvingande om hotet är riktat mot individen snarare än organisationen Severity Vulnerability Coping appraisal 0.27 0.28 Protection motivation (Intention) Behavior för precisa beteenden snarare än generella (lösenordshantering vs. bestämmelser i allmänhet) Response efficacy Self-efficacy Response cost 0.34 0.38-0.28

Deterrence theory Ex. om jag bryter mot bestämmelserna kommer det att upptäckas Punishment certainty Ex. straffet mot att bryta mot bestämmelserna är kännbart Punishment severity Intention to comply Actual behaviour Ex. eventuella bestraffningar kommer att utfärdas fort efter upptäckt Punishment swiftness

DT-aktig formulering av en bestämmelse Punishment swiftness Om inte IT-systemet i sig är begränsande, ska lösenord i IT-system bestå av minst 15 tecken samt innehålla en blandning av versaler, gemener, siffror och specialtecken. Organisationen genomför regelbundet tester av lösenord i sina ITsystem och utreder alltid orsaken till incidenter. Medarbetare som bryter mot denna instruktion kommer omedelbart att rapporteras. Det kan i enlighet med 7 i lagen om anställningsskydd leda till uppsägning och i enlighet med 19 kapitlet 9 i brottsbalken leda till två års fängelse. Punishment certainty Punishment severity

Sammanfattning av de populära teorierna Theory of planned behavior Protection motivation theory Deterrence theory Huvudidé och huvudkoncept Attityder, normer and upplevd beteendekontroll förklarar intentioner. Intentioner och beteendekontroll förklarar beteende Individer är rationella och kommer att efterleva bestämmelser om de upplever ett hot och efterlevnad är billigt, enkelt och effektivt Beteendet kan styras med straff. Hur hårda, sannolika och snabba straffen är spelar roll Förmåga att förklara efterlevnad av informationssäkerhetsbestämmelser 45% av variansen i intentioner förklaras 38% av variansen i intentioner förklaras Svag. Vissa studier pekar på omvänd effekt Speciellt för informationssäkerhetsområdet Inga tydliga säkerhetsspecifika fynd har gjorts Inga, men teorin funkar bäst för säkerhetshot mot personen själv Funkar förvånansvärt illa

Ytterligare en teori Neutralization theory Huvudidé och huvudkoncept Alla vet vad som är rätt och fel, men vissa är bra på att hitta på ursäkter för sitt beteende (att neutralisera) Normativ vägledning Oklart hur detta ska hanteras annat än vid val Förmåga att förklara efterlevnad av informations-säkerhetsbestämmelser Bra förklaringsförmåga i de två studier som har publicerats

(Ifinedo, 2012) (Siponen et al., 2014) (Sommestad et al., n.d.) (Dugo, 2007) (Bulgurcu et al., 2010) (Herath and Rao, 2009) (Zhang et al., 2009) (Al-Omari et al., 2012) (Hu et al., 2012) Utvidga Theory of planned behavior med fler variabler Severity 0.00 0.01 0.03 0.00 Vulnerability 0.02 0.01 0.00 0.01 0.00 Response cost 0.02 0.00 0.02 0.03 0.01 Response efficacy 0.03 0.00 0.00 0.00 0.02 0.01 Anticipated regret 0.07 0.01 Organizational Commitment 0.00 0.03 Security culture 0.00 Punishment certainty 0.02 0.02 Punishment severity 0.01 0.00 Rewards 0.02 Benefit of compliance 0.00 Work Impediment 0.03 General information security awareness 0.08 0.04 a Technology awareness 0.02 Information security policy awareness 0.02 Perceived cost of noncompliance 0.00 Intrinsic Benefit 0.00 Sanctions 0.00 Threat appraisal (concern) 0.00 Resource availability 0.00 Descriptive norm 0.01 Perceived top management participation 0.00 Perceived rule orientation 0.01 Perceived goal orientation 0.02 A Påverkan är omvänd mot den i (Bulgurcu et al., 2010).

Vad beror resterande del av variansen på!? Ekvationerna som används antar att alla respondenters beteende predikteras av samma variabler, med samma vikter på variablerna Enkäterna är gjorda i olika kulturer och mot personer med olika personlighet Y Y X Gruppkultur och/eller personlighetstyper? X

Nationell kultur World Values Survey, http://www.worldvaluessurvey.org

Personlighetsdrag (exempel) Attityd Introverta och Extroverta tendenser Attityd*Introvärthet Normer Normer*Extrovärthet Intention Faktiskt beteende Beteendekontroll

Rekommendationer Nästan alla säger att de tänker följa bestämmelser Se till att de vet vad som står i bestämmelserna! Normer verkar vara lika viktigt som folks egna attityder Jobba på normer! Om du berättar om risker berätta också hur enkelt och effektivt det är att följa bestämmelserna! Straff verkar inte fungera på kontorsarbetare som hanterar känslig information Hota inte med straff! Det finns etablerade teorier som förklarar informationssäkerhetsbeteende Använd dessa teorier!

Foto: istockphoto www.foi.se/securit

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss