Informationssäkerhetskultur forskningsprogrammet SECURIT. Jonas Hallberg

Relevanta dokument
Varför följer inte användarna reglerna? Foto: istockphoto

Forskningsprogrammet SECURIT. Security Culture and Information Technology. Jonas Hallberg, FOI. Foto: istockphoto.

Informationssäkerhetsbestämmelser: vem följer dom och när följs dom?

Påverkar organisationskulturen informationssäkerheten?

FOI MEMO. Jonas Hallberg FOI Memo 5253

När synen på informationssäkerhet kolliderar

Vad menar vi med säkerhetskultur?

Informationssäkerhetsklimat kan det mätas?

Kultur, arbetssituationer och beteenden: hur påverkas informationssäkerheten?

FORSKNINGSPROGRAM. Security culture and information technology SECURIT

Cybersäkerhet några utmaningar. Teodor Sommestad, Doktor, Förste forskare Informationssäkerhet & IT-arkitektur Linköping

Social Design Byrå sedan 2014

Planerat beteende och varierad kost

Energi- och vattenbesparing hos Mölndalsbostäder

Kultur, säkerhet och risk. Carl Rollenhagen

Lösenord och ditt Axxell IT-konto

Alla Tiders Kalmar län, Create the good society in Kalmar county Contributions from the Heritage Sector and the Time Travel method

Verksamhetsdriven informationssäkerhet genom informationsklassning och målgruppsanpassade riktlinjer

Varför följer inte användarna bestämmelser? En metaanalys avseende informationssäkerhetsbestämmelser

Företagsekonomi, allmän kurs. Business Administration, General Course. Business Administration until further notice

Course syllabus 1(7) School of Management and Economics. FEN305 Reg.No. EHVc 2005:6 Date of decision Course Code. Företag och Marknad I

Hantera organisationens SDL-användare. Anvisningar för SDL-huvudanvändare

Dnr UFV 2013/1490. Lösenordshantering. Rutiner för informationssäkerhet. Fastställd av Säkerhetchef Reviderad

Hur kan man göra säkerhetskultur begripligt och mätbart? Sixten Nolén Transportstyrelsen

Arbetsgivarperspektivet. Vad säger forskningen?

Utvecklingen av ett enkelt mätverktyg för informationssäkerhetsbeteende.


Metoder för att öka informationssäkerheten. och därmed minska säkerhetsriskerna

Säkerhetskultur i en organisation

Informationssäkerhetsmedvetenhet

Vad får oss att ändra beteende?

Informationsbeteende och förmedling av arkivinformation

Mäta informationssäkerhetskultur

SLU Säkerhets instruktioner avseende kryptering av filer

Studenters erfarenheter av våld en studie om sambandet mellan erfarenheter av våld under uppväxten och i den vuxna relationen

Ekonomiportalen Sa kommer du iga ng

Förhållningssätt till motion och träning

Allmän information ITS Fjärrskrivbord

Kvalitetskultur. Att mäta och utveckla kvalitetskulturen

En del beslut gäller hela livet

Kursplan. FÖ3032 Redovisning och styrning av internationellt verksamma företag. 15 högskolepoäng, Avancerad nivå 1

Hantering av lösenord Väljer anställda lösenord efter bästa förmåga?

C-UPPSATS. Vad anser ungdomar om att börja arbeta direkt efter gymnasiet?

Social Engineering ett av de största hoten mot din verksamhet

Hur du loggar in i ican

Kvalité i distans- & flexstudier

STÖD TILL NÄRSTÅENDE TILL PERSONER MED DEMENSSJUKDOM GER EFFEKT. Signe Andrén Dr Med Vet, leg. sjuksköterska [ ]

Ungar & medier #ungarochmedier

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

C-UPPSATS. Studenters attityder till hemförsäkring

Chris von Borgstede

Verktyg för att överbrygga hinder för transkulturella vårdrelationer

Katarina Wijk, fil doktor

Decision Support and Coordination for Emergency and Crisis Response

Processimulering --- I teori och i praktik

Välkommen! Teknik, makt och mänsklighetens framtid. Kursintroduktion 19/1

Lärande och hållbar utveckling. Cecilia Lundholm Pedagogiska institutionen/ Stockholm Resilience Centre

Amir Rostami

Kan normer och attityder påverka vårt vardagliga beteende? Miljöhandlingar ur ett miljöpsykologiskt perspektiv.

Kvalitet på arbetsmiljöarbetet. Ingela Bäckström

TEORIER OCH SLIDES FRÅN WVD LUND 2015

School of Management and Economics Reg. No. EHV 2008/245/514 COURSE SYLLABUS. Business and Market I. Business Administration.

Förankring, acceptans och motstånd

Alias 1.0 Rollbaserad inloggning

IR-teorier. Måndag 15 december 2008 Onsdag 17 december 2008

Instruktion för registrering

Registrering i EU login

Handledning hantera förfrågan och lämna offert i IBX Quote

Användning av digitala verktyg i matematikundervisning

Att skriva uppsats. Magnus Nilsson Karlstad universitet

SEC-03-DRS-2016: Validation of biological toxins measurements after an incident: Development of tools and procedures for quality control

Arbetsgivarperspek-vet Vad säger forskningen?

Hur vända den negativa vaccinationstrenden?

Instruktion för integration mot CAS

Sjukhuskuratorns arbete med barn som misstänks fara illa VERONICA SVÄRD, DOKTORAND I SOCIALT ARBETE, GÖTEBORGS UNIVERSITET

Säkerhetskultur utvärdering, utveckling och kravbild Järnvägens säkerhetskonferens, Örebro, 14 November 2017

Att bygga en säkerhetskultur Håll Nollan juni 2018

Varför väljer cyklister att cykla alkoholpåverkade?

Riskhantering för informationssäkerhet med ISO Lars Söderlund, TK 318 Ag 7 Lüning Consulting AB

Vårdanställdas efterlevnad av informationssäkerhetspolicys faktorer som påverkar efterlevnaden

Arbetsgivares syn på föräldraledighet. Sida 1

EXAMENSARBETE. Att göra fel i syfte att göra rätt. Ett examensarbete om anställdas förhållande till lösenordspolicys. Andreas Jansson Therese Malakow

EXAMENSARBETE. Varför STUK? En undersökning av golvarbetares motiv. Jenny Andersson. Filosofie kandidatexamen Psykologi

INFORMATION FRÅN VITEC

Vad har egentligen säkerhetskulturen för betydelse? En flerfallsstudie på åkeriföretag

ATT BIDRA TILL JÄMLIKHET I HÄLSA - DELAKTIGHET SOM TEORI, METOD OCH PRAKTIK

Människors beteenden i energi- och miljörelaterade frågor?

Hur hanterar vi risk? Vad är TKO? Skillnad på agil och trad? Agil/Lean: Defer Commitment, Build knowledge, Fail fast

Performance culture in policing. Författare: Tevfik Refik Altonchi (Ph.d)

Föräldrar Familjedaghem

KPMG Secure File Transfer Handledning

Säkerhetskultur. Kort introduktion. Teori, metoder och verktyg

Kognitiv psykologi Begåvningsbedömningar. Utredningsmodeller. Agneta Nydén Docent Specialist i neuropsykologi. Utredningsmodeller

En vanlig dag på jobbet

Allmän information ITS Fjärrskrivbord

Vad predicerar vårdpersonals intention och metodföljsamhet vid remittering till internetbehandling?

Mejladressen är i formatet

Användaracceptans vid systemimplementering

Rätt säkerhet Outsourcing

Säkerhetskultur, checklistor eller ett sätt att arbeta?

Transkript:

Informationssäkerhetskultur forskningsprogrammet SECURIT Jonas Hallberg

Utgångspunkter Behov av förbättrad informationssäkerhet Kultur en central aspekt av informationssäkerhet SECURIT studerar säkerhetsrelevanta egenskaper hos individer och organisationer effekter av sociala åtgärder

Informationssäkerhet Individer och organisationer Informationssäkerhetskultur LIS Efterlevnad Utbildning, träning och övning Behörighetskontroll Skydd mot skadlig kon Teknik Intrångsskydd Intrångsdetektering Loggning

Vad är kultur? Hofstede: Culture is the collective programming of the mind distinguishing the members of one group or category of people from others http://geert-hofstede.com/nationalculture.html Edgar Schein: There are three distinct levels Artifacts Espoused values Basic assumptions

Aktörerna bakom SECURIT

Forskningsprogrammet SECURIT, 2012-2017 Psykologi Cybersäkerhet Kognitionsvetenskap Filosofi Statskunskap Informatik Informationssäkerhetskultur

Informationssäkerhetskultur Gemensamma tanke-, beteende- och värderingsmönster som uppstår och utvecklas i ett socialt kollektiv genom kommunikativa processer baserade på inre och yttre krav, som traderas till nya medlemmar och som har implikationer för informationssäkerhet http://foi.se/sv/sok/sammanfattningssida/?rno=foi+memo+5253

Forskningsprojekten i SECURIT Security culture Security culture User acceptance of information security policies User acceptance of information security policies Attitude, culture, and information security Attitude, culture, and information security Discourse and security practice Discourse and security practice Balanced IT-based Organizational development Balanced IT-based Organizational development ATTITUDE ATTITUDE INTERORG CONGRUENCE Cultural aspects in information security standard development INTERORG CONGRUENCE Cultural aspects in information security standard development

Exempel: följa bestämmelser Vilka faktorer påverkar anställdas intention att följa informationssäkerhetsbestämmelser och faktiska beteende? Attitude Subjective Norm Intention Behaviour Percieved Behaviour Control Actual Behaviour Control Testa teorin Litteraturstudie Metaanalys Egen datainsamling Regression model 1 2 3 4 5 6 7 8 Theory of planned behavior Threat Appraisal (PMT) Coping Appraisal (PMT) Anticipated Regret Explained variance (R 2 ) 0.36 0.40 0.37 0.43 0.41 0.45 0.44 0.44

TPB-tolkning av en bestämmelse Norm? Ett lösenord till ett IT-system vid FOI ska vara så konstruerat att det inte kan gissas eller knäckas på ett enkelt sätt. För närvarande gäller att lösenord, om inte IT-systemet i sig är begränsande, bör bestå av minst 15 tecken samt innehålla en blandning av Versaler, gemener, siffror och specialtecken. T.ex. FIfs&ish84#snli (FOI Instruktion för säkerhetsskydd & informationssäkerhet har 82 # sidor nyttig läsvärd information). Lösenord ska bytas minst en gång per år. Stärka beteendekontroll?

Mer TPB-anpassad formulering Attityd Normer Att skydda IT-system vid FOI är viktigt. Det förväntas av medarbetare och uppdragsgivare att de lösenord som används till IT-system vid FOI är konstruerade så de inte kan gissas eller knäckas på ett enkelt sätt. Om inte IT-systemet i sig är begränsande bör lösenordet bestå av minst 15 tecken samt innehålla en blandning av Versaler, gemener, siffror och specialtecken. Du kan enkelt skapa ett bra lösenord genom att utgå från en mening. T.ex. kan du skapa FIfs&ish84#snli från meningen FOI Instruktion för säkerhetsskydd & informationssäkerhet har 82 # sidor nyttig läsvärd information. Lösenord behöver bara bytas en gång per år. Upplevd beteendekontroll

Exempel: bedöma risker T. Sommestad, H. Karlzén, P. Nilsson, J. Hallberg, (2016) "An empirical test of the perceived relationship between risk and the constituents severity and probability", Information & Computer Security, Vol. 24 Iss: 2

Datainsamling SCB-enkät Frågor från flera av SECURIT-projekten Utskick till 11 000 anställda 6 branscher Organisationer och arbetsställen Svarsfrekvens: 33,6 %

Resultat Antologi

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss