Informationssäkerhetsbestämmelser: vem följer dom och när följs dom?

Relevanta dokument
Varför följer inte användarna reglerna? Foto: istockphoto

Informationssäkerhetskultur forskningsprogrammet SECURIT. Jonas Hallberg

Forskningsprogrammet SECURIT. Security Culture and Information Technology. Jonas Hallberg, FOI. Foto: istockphoto.

Påverkar organisationskulturen informationssäkerheten?

Varför följer inte användarna bestämmelser? En metaanalys avseende informationssäkerhetsbestämmelser

När synen på informationssäkerhet kolliderar

FOI MEMO. Jonas Hallberg FOI Memo 5253

Kultur, arbetssituationer och beteenden: hur påverkas informationssäkerheten?

Social Engineering ett av de största hoten mot din verksamhet

Kristina Säfsten. Kristina Säfsten JTH

Kursplan. FÖ3032 Redovisning och styrning av internationellt verksamma företag. 15 högskolepoäng, Avancerad nivå 1

Informationssäkerhetsklimat kan det mätas?

Service och bemötande. Torbjörn Johansson, GAF Pär Magnusson, Öjestrand GC

Arbets- och organisationspsykologi, vad är det?

KOMMUNIKATIVT LEDARSKAP

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Multidisciplinära konferenser i cancervården: funktioner och erfarenheter

Hur fattar samhället beslut när forskarna är oeniga?

VAD ÄR NUDGING, VEM ANVÄNDER DET OCH VARFÖR?

Chris von Borgstede

Studenters erfarenheter av våld en studie om sambandet mellan erfarenheter av våld under uppväxten och i den vuxna relationen

Stad + Data = Makt. Kart/GIS-dag SamGIS Skåne 6 december 2017

Lärorientering och Motivation. Tim och Veronica

Vad får oss att ändra beteende?

IT-policyer i organisationer:

DETTA TRODDE DU INTE ATT VÅRDDEBATTEN SKULLE HANDLA OM! LIVING POLICY LAB ALMEDALEN 1 JULI 2019


Ökat personligt engagemang En studie om coachande förhållningssätt

Värderingar bakom informationssäkerhet

BYGGPLATSCHEFERS SÄKERHETSLEDARSKAP BYGGPLATSCHEFERS SÄKERHETSLEDARSKAP

LEVERANTÖRSLED; INKÖP OCH UPPHANDLING

TIDSPRESS, ETISK KULTUR OCH REVISIONSKVALITET

DE TRE UTMANINGARNA..

Vårdanställdas efterlevnad av informationssäkerhetspolicys faktorer som påverkar efterlevnaden

Goals for third cycle studies according to the Higher Education Ordinance of Sweden (Sw. "Högskoleförordningen")

Digitalisering i välfärdens tjänst

Ledarskap, säkerhetsklimat, säkerhetsbeteende och lärande från incidenter. Marcus Börjesson Ann Enander Anders Jacobsson Åsa Ek Roland Akselson

Volvo Group Trucks Operations Gunnar Brunius, Fabrikschef Volvo Lastvagnar - Göteborg

Är du lönsam lille vän (och för vem)?! Operationaliseringen av samverkan och dess implikationer för humaniora!

Understanding Innovation as an Approach to Increasing Customer Value in the Context of the Public Sector

Våra tjänster [Our services] UMS Group Inc., All Rights Reserved

Säkerhetskultur. Kort introduktion. Teori, metoder och verktyg

The Costly Pursuit of Self Esteem

Why WE care? Anders Lundberg Fire Protection Engineer The Unit for Fire Protection & Flammables Swedish Civil Contingencies Agency

Assessing GIS effects on professionals collaboration processes in an emergency response task

Ett nytt sätt att skapa, ta hand om och sprida resultat. Lisa Hörnsten Friberg, FOI

Sociala skillnader i hälsa: trender, nuläge och rekommendationer

November, 2017 DATASKYDDSOMBUDETS ROLL (DPO)

Lösningar på klimatfrågan - värderingar och försanthållanden

Säkerhetskultur i en organisation

diskriminering av invandrare?

Mönster. Ulf Cederling Växjö University Slide 1

Riskhantering för informationssäkerhet med ISO Lars Söderlund, TK 318 Ag 7 Lüning Consulting AB

CHANGE WITH THE BRAIN IN MIND. Frukostseminarium 11 oktober 2018

EXPERT SURVEY OF THE NEWS MEDIA

Hur kan forskning komma till nytta i praktiken?

Kan normer och attityder påverka vårt vardagliga beteende? Miljöhandlingar ur ett miljöpsykologiskt perspektiv.

Alla Tiders Kalmar län, Create the good society in Kalmar county Contributions from the Heritage Sector and the Time Travel method

Mobbning från olika perspektiv. Docent/forskare Christina Björklund

Agenda. Plats och magkänsla. Presentation. - en pedagogisk fråga?

Vad menar vi med säkerhetskultur?

Ett mänskligt system. kräver åtgärder i alla dimensioner på samma gång OBJEKTIVT SUBJEKTIVT. Prestationsnivå och verkningsgrad på individens insatser

Att intervjua och observera

The road to Recovery in a difficult Environment

Förankring, acceptans och motstånd

Equips people for better business

The Municipality of Ystad

KAPITEL12 LEDARSKAP. Jacobsen & Thorsvik

Dataförmedlad kommunikation och sociala medier, 7,5 hp

William J. Clinton Foundation Insamlingsstiftelse REDOGÖRELSE FÖR EFTERLEVNAD STATEMENT OF COMPLIANCE

Respondentens perspektiv i hälsorelaterade enkätstudier

PwC Digital Trust Introduktion till GDPR. GRC-dagarna oktober 2017

Swedish International Biodiversity Programme Sida/SLU

Session: Historieundervisning i högskolan

Designmönster för sociala användningssituationer

Utveckling av ett implementeringsverktyg för digitala lösningar i vården. Vitalis 21 maj

Positiv psykologi och motivation: Att skapa en utvecklande inlärningsmiljö

Sambandet mellan etisk kultur och revisorers oberoende

Etik och säkerhetsfilosofi i praktiken

LÖNEN ETT EFFEKTIVT SÄTT FÖR ÖNSKAD PRESTATION - ENDA FÖRUTSÄTTNINGEN FÖR KONKURRENSKRAFT I EN GLOBAL VÄRLD!

Chefer i skottlinjen! Docent Christina Björklund forskare på enheten för Intervention och implementeringsforskning inom arbetshälsa

Interaktionsdesign, grundkurs (7,5 HP)

Arbetsgivarperspektivet. Vad säger forskningen?

Kursplan. FÖ1038 Ledarskap och organisationsbeteende. 7,5 högskolepoäng, Grundnivå 1. Leadership and Organisational Behaviour

Förändrade förväntningar

Örebro den 28 november 2012

Taking Flight! Migrating to SAS 9.2!

Sectra Critical Security Services. Fel bild

Informationssäkerhetsmedvetenhet

Hantering av lösenord Väljer anställda lösenord efter bästa förmåga?

En policy är bara så bra som personens förmåga att efterleva den

Hur kan vi söka och värdera vetenskaplig information på Internet?

Din personlig cybersäkerhet

Lärande och hållbar utveckling. Cecilia Lundholm Pedagogiska institutionen/ Stockholm Resilience Centre

Var kommer vi ifrån - och vart är vi på väg? Om kriminologi, kriminalpolitik och polisforskning

Motivation inom fysisk aktivitet och träning: Ett självbestämmande perspektiv

Affärsmodellernas förändring inom handeln

HR I KUNSKAPSFÖRETAG: KARRIÄRFABRIKER

Fallstudier. ü Ett teoretiskt ramverk kan vägleda i datainsamligen och analysen

CIO MÖTE OSLO 17/11 INFORMATION // INTELLIGENCE // ADVICE. Radar Ecosystem Specialists

Transkript:

Informationssäkerhetsbestämmelser: vem följer dom och när följs dom? Teodor Sommestad; Teodor.Sommestad@foi.se Förste forskare; Teknologie doktor Informationssäkerhet & IT-arkitektur Informations & aerosystem Totalförsvarets forskningsinstitut (FOI)

FOI Totalförsvarets forskningsinstitut Myndighet under Försvarsdepartementet Finansieras huvudsakligen (~80%) med uppdrag Kompetensen ska nyttiggöras i alla samhällssektorer Cirka 1 000 anställda varav 850 forskare Ansvarsstyrelse, GD och ÖD utses av regeringen

SECURIT, 2012-2017 IT-säkerhet (FOI) Psykologi Informationssäkerhetskultur Filosofi Totalt 31 miljoner över 5 år. Cirka 30 forskare från 11 forskargrupper från 6 universitet/institut 9 delvis överlappande projekt FOI deltar och koordinerar Kognitionsvetenskap (FOI) Informatik Statsvetenskap

Säkerhetskultur enligt SECURIT Gemensamma tanke-, beteende- och värderingsmönster som uppstår och utvecklas i ett socialt kollektiv genom kommunikativa processer baserade på inre och yttre krav, som traderas till nya medlemmar och som har implikationer för informationssäkerhet.

Människor är ofta inblandade i incidenter och skapar risker

Säkerhetsbestämmelser är standardlösningen Exempel: Tvingande regler Tydliga riktlinjer Standardprocedurer Normer Idén: Skriven av experter med ett helhetsperspektiv. Ska ge rätt/optimal risknivå. På FOI: Styrdokument; Regler för mobiltelefoni (2 sidor) Instruktion för utlämnande av allmän handling (7 sidor) Regler för FOI:s användning av sociala medier (2 sidor) IT-policy (2 sidor) Policy för säkerhetsskydd och informationssäkerhet (3 sidor) Säkerhetsskyddsregler för Totalförsvarets forskningsinstitut (17 sidor) Instruktion för säkerhetsskydd och informationssäkerhet vid FOI (84 sidor) Annat: Texter på intranätet Alla MUSTs bestämmelser

som kanske inte alltid är så lyckad.

Exempel från FOI Beslut gällande USB-pinnar på FOI Från och med 2008-06-09 tills dess annat meddelas är endast nedanstående typer av USB-minnen av typ "pinnar" godkända för att medföra information utanför FOI: [ ] Standard USB-minnen utan kryptering kan även fortsättningsvis användas för internt bruk, men får inte användas när man medför information utanför våra anläggningar. (Undantag medges för minnen med t ex presentationer och annan öppen information som är avsedda att delas ut till utomstående.) Tillkom nyligen

Exempel från FOI Lösenordspolicy vid FOI Ett lösenord till ett IT-system vid FOI ska vara så konstruerat att det inte kan gissas eller knäckas på ett enkelt sätt. För närvarande gäller att lösenord, om inte IT-systemet i sig är begränsande, bör bestå av minst 15 tecken samt innehålla en blandning av Versaler, gemener, siffror och specialtecken. T.ex. FIfs&ish84#snli (FOI Instruktion för säkerhetsskydd & informationssäkerhet har 82 # sidor nyttig läsvärd information). Lösenord ska bytas minst en gång per år.

Juryn är fortfarande ute Position: the user is the enemy Transforming the weakest link a human/computer interaction approach to usable and effective security Computer security impaired by legitimate users Users are not the enemy Usable Security: Why Do We Need It? How Do We Get It? So long, and no thanks for the externalities: the rational rejection of security advice by users

Forskningsfrågan/Forskningsfrågorna Vem följer (inte) bestämmelser? När gör dom (inte) det? ---------------------------------- Vem kan vi lita på och när kan vi lita på dem? Vilka knappar ska vi trycka på? Individvariabel 1. Individvariabel N Miljövariabel 1. Miljövariabel N f(individ, Miljö) Intention Beteende

Modus operandi: Kvantitativ enkätforskning X: Mina arbetskamrater tycker att jag ska följa informationssäkerhetsbestämmelserna. 1 Instämmer inte alls 2 Instämmer i låg grad 3 Instämmer delvis 4 Instämmer i hög grad 5 Instämmer helt Y (Intentioner) Y: Jag ämnar följa informationssäkerhetsbestämmelserna. 1 Instämmer inte alls 2 Instämmer i låg grad 3 Instämmer delvis 4 Instämmer i hög grad 5 Instämmer helt Korrelationer (r) Förklarad varians (R 2 ) X (Normer)

Modus operandi: Kvantitativ enkätforskning Y (Intentioner) Varians som förklaras (R 2 ) Regressionskoefficienter (β) Strukturella ekvationsmodeller (β) X (= konstant+β 1 *Attityd+β 2 *Normer+β 3 *Kontroll+ ) Målet är att göra avståndet till punkterna så litet som möjligt att förklara varians I den typiska enkäten försvinner cirka 30% av variansen i mätfel

Forskning på bestämmelseefterlevnadsproblemet Ett stort antal kvantitativa enkätstudier har gjorts för att skatta olika variablers betydelse. Kvaliteten är sisådär. T.ex. när det kommer till urval av respondenter. Litteratursammanställningar: D Arcy, Herath, A review and analysis of deterrence theory in the IS security literature: Making sense of the disparate findings. European Journal of Information Systems, 20(6), pp.643 658. 2011 Sommestad, Hallberg, Lundholm, Bengtsson, Variables Influencing Information Security Policy Compliance: A Systematic Review of Quantitative Studies, Information and computer security, 22(1), pp. 42-75, 2014. Sommestad, Hallberg, A Review of the Theory of Planned Behaviour in the Context of Information Security Policy Compliance, International Information Security and Privacy Conference, 2013. Sommestad, Karlzén, Hallberg, A Meta-Analysis of Studies on Protection Motivation Theory and Information Security Behavior. Under review. Sommestad, Hallberg, A meta-analysis the theory of planned behavior s ability to predict information security compliance, working paper

Metaanalyser Forskning på forskning : att sammanställa vad många studier funnit. Räkna ut snittvärden för styrkan i variablers relation. Förklara varför studiers resultat varierat.

Tre populära teorier Huvudidé och huvudkoncept Normativ vägledning Theory of planned behavior Attityder, normer and upplevd beteendekontroll förklarar intentioner. Intentioner och beteendekontroll förklarar beteende. Jobba på bra attityder, bra normer och att det ska vara lätt att göra rätt. Protection motivation theory Folk är rationella och kommer att efterleva bestämmelser om de ser ett reellt hot och efterlevnad är billigt, enkelt och effektivt. Se till att folk får ett positivt värde när de jämför kostnader och nyttor med bestämmelserna. Deterrence theory Ursprung Socialpsykologi Hälsobeteende Kriminologi Beteendet kan styras med straff. Hur hårda, sannolika och snabba straffen är spelar roll. Skräm dom ordentligt med straff.

The theory of planned behavior (TPB) T.ex.: det är meningsfullt att följa informationssäkerhetsbestämmelser Attitude T.ex.: jag tänker följa säkerhetsbestämmelserna. T.ex.: logganalys eller självrapport. T.ex.: mina kollegor vill att jag följer våra informationssäkerhetsbestämmelser Norm Intention to comply Actual behaviour T.ex.: om jag vill kan jag följa informationssäkerhetsbestämmelserna. Behaviour Control

TPB-tolkning av en FOI-bestämmelse Norm? Ett lösenord till ett IT-system vid FOI ska vara så konstruerat att det inte kan gissas eller knäckas på ett enkelt sätt. För närvarande gäller att lösenord, om inte IT-systemet i sig är begränsande, bör bestå av minst 15 tecken samt innehålla en blandning av Versaler, gemener, siffror och specialtecken. T.ex. FIfs&ish84#snli (FOI Instruktion för säkerhetsskydd & informationssäkerhet har 82 # sidor nyttig läsvärd information). Lösenord ska bytas minst en gång per år. Stärka beteendekontroll?

Mer TPB-aktig formulering Attityd Normer Att skydda IT-system vid FOI är viktigt. Det förväntas av medarbetare och uppdragsgivare att de lösenord som används till IT-system vid FOI är konstruerade så de inte kan gissas eller knäckas på ett enkelt sätt. Om inte ITsystemet i sig är begränsande bör lösenordet bestå av minst 15 tecken samt innehålla en blandning av Versaler, gemener, siffror och specialtecken. Du kan enkelt skapa ett bra lösenord genom att utgå från en mening. T.ex. kan du skapa FIfs&ish84#snli från meningen FOI Instruktion för säkerhetsskydd & informationssäkerhet har 82 # sidor nyttig läsvärd information. Lösenord behöver bara bytas en gång per år. Upplevd beteendekontroll

The theory of planned behavior (TPB) T.ex.: det är meningsfullt att följa informationssäkerhetsbestämmelser Attitude 0.48 T.ex.: jag tänker följa säkerhetsbestämmelserna. T.ex.: logganalys eller självrapport. T.ex.: mina kollegor vill att jag följer våra informationssäkerhetsbestämmelser Subjective Norm 0.52 0.45 Intention to comply 0.83 Actual behaviour T.ex.: om jag vill kan jag följa informationssäkerhetsbestämmelserna. Behaviour Control 0.35 Sommestad & Hallberg, A review of the theory of planned behaviour in the context of information security policy compliance. International Information Security and Privacy Conference, 2013.

(Ifinedo, 2012) (Siponen et al., 2014) Sommestad, Hallberg, A meta-analysis the theory of planned behavior s ability to predict information security compliance, working paper. (Sommestad et al., n.d.) (Dugo, 2007) (Bulgurcu et al., 2010) (Herath and Rao, 2009) (Zhang et al., 2009) (Al-Omari et al., 2012) (Hu et al., 2012) Fattas variabler i TPB? Variable added to the TPB Severity 0.00 0.01 0.03 0.00 Vulnerability 0.02 0.01 0.00 0.01 0.00 Response cost 0.02 0.00 0.02 0.03 0.01 Response efficacy 0.03 0.00 0.00 0.00 0.02 0.01 Anticipated regret 0.07 0.01 Organizational Commitment 0.00 0.03 Security culture 0.00 Punishment certainty 0.02 0.02 Punishment severity 0.01 0.00 Rewards 0.02 Benefit of compliance 0.00 Work Impediment 0.03 General information security awareness 0.08 0.04 a Technology awareness 0.02 Information security policy awareness 0.02 Perceived cost of noncompliance 0.00 Intrinsic Benefit 0.00 Sanctions 0.00 Threat appraisal (concern) 0.00 Resource availability 0.00 Descriptive norm 0.01 Perceived top management participation 0.00 Perceived rule orientation 0.01 Perceived goal orientation 0.02 Variablerna anticipated regret och general information security awareness har förbättrat prediktionen. a Påverkan är omvänd mot den i (Bulgurcu et al., 2010).

Protection motivation theory (PMT) Threat appraisal T.ex. kostnaden för ett informationsläckage i min organisation skulle vara stor. Severity T.ex. Informationsläckage kan drabba min organisation Vulnerability Coping appraisal Protection motivation (Intention) Behavior T.ex. informationssäkerhetsbestämmelserna minskar risken för informationsläckage. Response efficacy T.ex. jag kan följa bestämmelserna om jag vill. T.ex. att följa bestämmelserna kräver lite jobb. Self-efficacy Response cost

PMT tolkning av en FOI-bestämmelse Indikerar hot ~Effektivt Ett lösenord till ett IT-system vid FOI ska vara så konstruerat att det inte kan gissas eller knäckas på ett enkelt sätt. För närvarande gäller att lösenord, om inte IT-systemet i sig är begränsande, bör bestå av minst 15 tecken samt innehålla en blandning av Versaler, gemener, siffror och specialtecken. T.ex. FIfs&ish84#snli (FOI Instruktion för säkerhetsskydd & informationssäkerhet har 82 # sidor nyttig läsvärd information). Lösenord ska bytas minst en gång per år. Hintar att det är enkelt och billigt

Mer PMT-aktig formulering Severity Vulnerability Svaga lösenord kan användas för obehörigt nyttjande av IT-system vid FOI, vilket kan få allvarliga följder. Därför bör lösenord vara så konstruerade att det inte kan gissas eller knäckas på ett enkelt sätt och är lätta att använda. Ett lösenord på 15 tecken som innehåller en blandning av versaler, gemener, siffror och specialtecken ger gott skydd om det byts varje år. Genom att utgå från en mening kan du enkelt skapa ett bra lösenord, t.ex. kan du skapa FIfs&ish84#snli för meningen FOI Instruktion för säkerhetsskydd & informationssäkerhet har 82 # sidor nyttig läsvärd information. Self-efficacy Response efficacy

Protection motivation theory (PMT) Threat appraisal T.ex. kostnaden för ett informationsläckage i min organisation skulle vara stor. T.ex. Informationsläckage kan drabba min organisation T.ex. informationssäkerhetsbestämmelserna minskar risken för informationsläckage. T.ex. jag kan följa bestämmelserna om jag vill. T.ex. att följa bestämmelserna kräver lite jobb. Severity Vulnerability Coping appraisal Response efficacy Self-efficacy Response cost 0.27 0.28 Protection motivation (Intention) 0.34 0.38-0.28 Behavior Sommestad, Karlzén, Hallberg, A Meta-Analysis of Studies on Protection Motivation Theory and Information Security Behavior. Under review.

Protection motivation theory Funkar aningen bättre när det handlar om frivilliga beteenden än tvingande. [förklarad varians är 0.42 vs 0.38] Funkar bättre om hotet är riktat mot en själv än mot organisationen. [korrelation för severity and vulnerability är 0.13 och 0.04 högre] Funkar bättre när man är precis i vilket beteende det handlar om, t.ex. När man frågar om lösenordshantering istället för bestämmelser i allmänhet. [förklarad varians är 0.47 vs 0.37] Sommestad, Karlzén, Hallberg, A Meta-Analysis of Studies on Protection Motivation Theory and Information Security Behavior. Under review.

Deterrence theory T.ex. om jag bryter mot bestämmelserna kommer det upptäckas. Punishment certainty T.ex. straffet mot att bryta mot bestämmelserna är kännbart. Punishment severity Intention to comply Actual behaviour T.ex. eventuella bestraffningar kommer utfärdas fort efter upptäckt. Punishment swiftness

DT-tolkning av en FOI-bestämmelse Ett lösenord till ett IT-system vid FOI ska vara så konstruerat att det inte kan gissas eller knäckas på ett enkelt sätt. För närvarande gäller att lösenord, om inte IT-systemet i sig är begränsande, bör bestå av minst 15 tecken samt innehålla en blandning av Versaler, gemener, siffror och specialtecken. T.ex. FIfs&ish84#snli (FOI Instruktion för säkerhetsskydd & informationssäkerhet har 82 # sidor nyttig läsvärd information). Lösenord ska bytas minst en gång per år. Annars?!

Mer DT-aktig formulering Punishment certainty Om inte IT-systemet i sig är begränsande, ska lösenord i FOI:s IT-system bestå av minst 15 tecken samt innehålla en blandning av versaler, gemener, siffror och specialtecken. FOI genomför regelbundet tester av lösenord i sina IT-system och utreder alltid orsaken till incidenter. Medarbetare som bryter mot denna instruktion kommer omedelbart att rapporteras. Det kan i enlighet med 7 i lagen om anställningsskydd leda till uppsägning och i enlighet med 19 kapitlet 9 i brottsbalken leda till två års fängelse. Punishment swiftness Punishment severity

Deterrence theory Vikter (ᵝ) i regressionsmodels Study Li, H., Zhang, J. & Sarathy, R., 2010. Understanding compliance with internet use policy from the perspective of rational choice theory. Herath, T. & Rao, H.R., 2009. Encouraging information security behaviors in organizations: Role of penalties, pressures and perceived effectiveness. Son, J.-Y., 2011. Out of fear or desire? Toward a better understanding of employees motivation to follow IS security policies. Hu, Q. et al., 2011. Does Deterrence Work in Reducing Information Security Policy Abuse by Employees? Siponen, M.T. & Vance, A., 2010. Neutralization: New insights into the problem of employee information systems security policy violations. Behavior Certainty Severity Swiftness Deterrence Compliance 0.24 (-0.12) Compliance -0.16-0.14 Compliance (0.05) (0.06) Incompliance (-0.08) (-0.09) (0.10) Incompliance (0.04) or (-0.07) Siffror i parentes är statistiskt insignifikanta (effekten är osäker) Röda siffor går i omvänd riktning mot vad teorin predikterar

Potentiella problem med studier av deterrence theory Urvalsbias: Kanske är det så att man börjar skrämma anställda som inte svarat på andra typer av stimuli. Det kanske därför är nåt man använder i miljöer med riktigt dåliga förutsättningar för bestämmelseefterlevnad. -------------------------------------------------------------------------------- Moral mognad: Moraliskt mogna personer (många kontorsarbetare?) är redan övertygade om vad som är rätt och påverkas knappt av skrämseltaktik. Självkontroll: De som bryter mot bestämmelser kanske helt enkelt har dålig självkontroll. Enligt den the general theory of crime leder låg självkontroll till brott oavsett hur mycket man hotar med straff. Datorvana och datorkompetens: De som kan sin dator verkar påverkas lite av hot om straff. Kanske för att dom vet hur man kommer undan med att bryta mot bestämmelser. D Arcy and Herath, 2011. A review and analysis of deterrence theory in the IS security literature: Making sense of the disparate findings. European Journal of Information Systems, 20(6), pp.643 658.

Sammanfattning av de populära teorierna Theory of planned behavior Protection motivation theory Deterrence theory Huvudidé och huvudkoncept Attityder, normer and upplevd beteendekontroll förklarar intentioner. Intentioner och beteendekontroll förklarar beteende. Folk är rationella och kommer att efterleva bestämmelser om de upplever ett hot och efterlevnad är billigt, enkelt och effektivt. Beteendet kan styras med straff. Hur hårda, sannolika och snabba straffen är spelar roll. Förmåga att förklara regelefterlevnad 45% av variansen i intentioner förklaras 38% av variansen i intentioner förklaras. Svag. Vissa studier pekar på omvänd effekt. Speciellt för informationssäkerhetsområdet Inga tydliga säkerhetsspecifika fynd har gjorts. Inga, men teorin funkar bäst för säkerhetshot mot personen själv. Funkar förvånansvärt illa.

Andra, mindre populära teorier Neutralization theory Persuasion principles Huvudidé och huvudkoncept Alla vet vad som är rätt och fel, men vissa är bra på att hitta på ursäkter för sitt beteende (att neutralisera). Folk behöver göra tradeoffs hela tiden. De kommer inte prioritera säkerhet om man inte säljer in det till dom. Normativ vägledning Förmåga att förklara regelefterlevnad Oklart hur man ska hantera detta annat än vid val Bra förklaringsförmåga i de två studier som publicerats. Se till att de anställda litar på säkerhetsfolket och ser bestämmelserna som legitima. Legitimacy of policies seems relevant, but only two studies are available

Kvalitetsproblem Av 26 studier så hade: 3 testat en modell/ekvation som testats innan 11 en tydligt definierad urvalsram. 6 använt slumpat urval eller inkluderat alla i urvalsramen 6 diskuterade effekter av bortfall Studenter är överrepresenterade Amerikaner och finnar är överrepresenterade Nästan alla respondenter säger att de tänker följa bestämmelserna Det kontrolleras inte om respondenter vet vilka bestämmelser som finns Sommestad, Hallberg, Lundholm, Bengtsson, Variables Influencing Information Security Policy Compliance: A Systematic Review of Quantitative Studies, Information and computer security, 22(1), pp. 42-75, 2014.

Vad beror resterande 20-25% av variansen på!? Ekvationerna som används antar att alla respondenters beteende predikteras av samma variabler, med samma vikter på variablerna. Enkäterna är gjorda i olika kulturer och mot personer med olika personlighet. Y Y X Culture or personality type? X

Personlighetsdrag (exempel) Attityd Introverta och Extroverta tendenser Attityd*Introvärthet Normer Normer*Extrovärthet Intention Faktiskt beteende Beteendekontroll

Nationella kultur Hofstede: Culture is the collective programming of the mind that distinguishes the members of one group or category of people from others. World Values Survey http://www.worldvaluessurvey.org

Kultur- och klimat-variabler Attityd? Kultur (sånt som sker i gruppen) Normer Intention Faktiskt beteende Beteendekontroll

Grupper och theory of planned behavior Area of expertise 0.42 No statistically significant relationship 0.41 Attitude Subjective Norm 0.49 0.49 Intention to comply Nåt är gemensamt för gruppmedlemmar som inte fångas av theory of planned behavior. 0.72 Actual behaviour Lunch room Percieved Behaviour Control 0.43 0.37 Sommestad, Social groupings and information security obedience within organizations, International Information Security and Privacy Conference, 2015

SECURIT:s SCB-enkät Power of suppliers Kultur och klimat i branschen New entrants Competitors Substitutes CEO Kultur och klimat i organisationen Administration Power of buyers Marketing Manufacturing Engineering Kultur och klimat i professionen Kultur och klimat i arbetsgruppen Individers värderingar och intentioner

Rekommendationer 1. Nästan alla säger att de tänker följa bestämmelser. Men se till att de vet vad som står i bestämmelserna. 2. Normer verkar vara lika viktigt som folks egna attityder. Jobba på normer! 3. Om du berättar om risker så berätta också hur enkelt och effektiva bestämmelserna är (som i PMT). 4. Hota inte med straff och lagar. Det verkar ändå inte funka på kontorsarbetare som hanterar känslig information. 5. Personlighetsdrag och kultur spelar förmodligen en stor roll. Om du vet vad som är speciellt för din bransch/organisation/profession/arbetsgrupp kanske du kan utnyttja det. 6. Det finns ju etablerade teorier som funkar bra för informationssäkerhetsbeteende. Men de verkar inte användas av informationssäkerhetsfolket. Använd dom.