Kultur, arbetssituationer och beteenden: hur påverkas informationssäkerheten? Joachim Åström, Fredrik Karlsson och Martin Karlsson 2016-03-14 1
Informationssäkerhetshandlingar Kultur 2016-03-14 2
Informationssäkerhet Tekniska skydd Policy Tankesätt 2016-03-14 3
Handlingars grund Typ av handlande Traditionsbaserad Mental process Icke rationell Affektuellt Icke rationell Värdeorienterat Instrumentellt Beslut baseras på ett värdesystem som är kontextberoende -medelberäkning Användning av teoretiska modeller 2016-03-14 4
Värdens betydelse för handlingar och resultat 2016-03-14 5
Informationssäkerhet som designad handling Informationssäkerhetsansvarig Implementerar Skapar IT-system Policies Faktisk situation Bedömer Handlar Resultat Medarbetare 2016-03-14 6
Verksamhetshandlingar som designad handling Verksamhetschef Implementerar Skapar IT-system Policies Faktisk situation Bedömer Handlar Resultat Medarbetare 2016-03-14 7
Flera samtida värdesystem Verksamhetschef Skapar Implementerar Informationssäkerhetsansvarig Implementerar Skapar IT-system Policies Faktisk situation Bedömer Handlar Resultat Medarbetare 2016-03-14 8
Flera samtida värdesystem = Verksamhetschef Informationssäkerhetsansvarig eller Verksamhetschef Informationssäkerhetsansvarig 2016-03-14 9
Hur hanterar tidigare forskning om värdepluralism Forskningsansats Hantering av värden Kvantitativa ansats Kvalitativa ansats Värdemonism 18 0 Värdepluralism 6 6 Ej möjliga att utvärdera 6 0 Summa (*) 30 6 (*) Totalt 34 studier, 1 studie använder mix-method, 1 studie inkluderar både monism och pluralism 2016-03-14 10
Kulturens påverkan på värdekonflikter och informationssäkerhet Verksamhetschef Skapar Implementerar Informationssäkerhetsansvarig Kultur Implementerar Skapar IT-system Policies Fak sk situa on Bedömer Handlar Resultat Medarbetare 2016-03-14 11
Informationssäkerhetskultur Tekniska skydd Policy Tankesätt Informationssäkerhetskultur är det [g]emensamma tanke-, beteende- och värderingsmönster som uppstår och utvecklas i ett socialt kollektiv genom kommunikativa processer baserade på inre och yttre krav, som traderas till nya medlemmar och som har implikationer för informationssäkerhet (Hallberg et al. 2015) 2016-03-14 12
Vad säger tidigare forskning om kultur? Meta-fråga Forskningsområde n % Vad är informationssäkerhetskultur? Ramverk för att förstå informationssäkerhetskultur 8 11 Ansatser för att värdera en informationssäkerhetskultur 6 8 Analys av existerande kultur 4 6 Vad är roten till en informationssäkerhetskultur? Vad är konsekvenserna av olika informationssäkerhetskulturer? Hur skapar vi informationssäkerhetskultur? Relationen mellan (organisations)kultur och informationssäkerhet 22 31 Faktorer som bidrar till informationssäkerhetskultur 9 12 - - - Ramverk för att skapa informationssäkerhetskultur 13 18 Utmaningar för ledning/styrning 6 8 Existerande praktiker 2 3 Praktiskt arbete för att skapa informationssäkerhetskultur 2 3 2016-03-14 13
Competing values framework 1(3) Flexbilitet och diskretion Internt fokus och integration Klan Samarbete Samproduktion Hierarki Kontroll Säkerhet Adhokrati Innovation Öppenhet Marknad Konkurrens Valmöjlighet Externt fokus och differentiering Stabilitet och kontroll (Quinn & Cameron, 1988) 2016-03-14 14
Competing values framework 1(3) Organisation Ledarskap Dominerande kännetecken Organisationens ledarskap Management Styrning av medarbetare Vad håller ihop organisationen Klister Vad betonas strategiskt Hur definieras framgång Organisation Organisation 2016-03-14 15
Competing values framework 3(3) (Quinn & Cameron, 1988) 2016-03-14 16
Säkerhet och tillförlitlighet under press Att studera hur olika offentliga värden förhåller sig till varandra är ett gammalt intresseområde för organisationsforskare I den traditionella offentliga förvaltningen var säkerhet och tillförlitlighet nyckelvärden De senaste årtiondena har dock reformer inom offentlig förvaltning ganska ensidigt präglats av New Public Management Vad innebär det? 2016-03-14 17
Sentida reformer utifrån Competing Values Framework Flexbilitet och diskretion Internt fokus och integration Klan Samarbete Samproduktion Hierarki Kontroll Säkerhet Adhokrati Innovation Öppenhet Marknad Konkurrens Valmöjlighet Externt fokus och differentiering Stabilitet och kontroll 2016-03-14 18
Analysen Påverkar organisationskultur informationssäkerheten i organisationer? Data: pilotstudie bland svenska 600 tjänstemän. 156 respondenter (25,5% svarsfrekvens). Data endast på individnivå: Varje respondent hanteras som en enskild organisation. Varje organisation representeras av en enskild respondent. 2016-03-14 19
Bortfallsanalys Bortfallsanalys: ålder Urval Respondenter Skillnad Kvinna 57,7 58,3 0,7 Man 42,3 40,4-1,9 Antal 600 153 35 30 25 20 15 10 5 0 <30 30-39 40-49 50-59 60+ Urval (n=600) Respondenter (n=153) 2016-03-14 20
Bortfallsanalys: Betydelsen av ålder Relationen mellan ålder och säkerhetsbetende Regelföljande Självtilltro Medvetenhet Säkerhetsdeltagande Värdekonflikter (med informationssäkerhet) Regelefterlevnad (värdekonflikter) Avsikt att följa regler Pearson korrelation Sig.,044,589 -,029,726,000,997,019,822 -,077,354 -,066,421,016,848 Relationen mellan ålder och organisationskultur Pearson korrelation Sig. Intern - extern kultur (dimension),012,882 Kontroll - flexibilitet kultur (dimension) -,079,341 Hierarkisk kultur (index) -,150,070 Marknadskultur (index) -,054,512 Adhokratiskkultur (index) -,199 *,015 klankultur (index) -,131,110 2016-03-14 21
Analysen Spelar organisationskulturer över huvud taget någon roll för medarbetarnas säkerhetsbeteende? Vilken form av organisationskultur är mest gynnsam för informationssäkerhet? Vilka informationssäkerhetsvärden gynnas/missgynnas i vilka organisationskulturer? Hur påverkar sentida reformer inom förvaltningen förutsättningarna för informationssäkerhet i organisationer? 2016-03-14 22
Resultat Regelföljande Självtilltro Medvetenhet (Säkerhets) Deltagande Värdekonflikter Regelföljande med hänsyn till värdekonflikter Hierarkisk kultur (index).211 ***.238 ***.283 ***.229 *** -.03.182 * Marknadskultur (index) -.051 -.072.059.072.160 x.079 Adhokratikultur (index) -.075.08.066.033.051 -.033 Klankultur (index).137 x.218 ***.222 ***.112 -.008.169 * Internt-externt (dimension) -.271 *** -.260 *** -.207 *** -.125.14 -.225 *** Kontroll-flexibilitet dimension) -.031.108 -.027 -.098 -.058 -.07 2016-03-14 23
Competing values framework 1(3) Flexbilitet och diskretion Internt fokus och integration + + + + Självtilltro Medvetenhet Regelföljande Regelföljandevärdekonflikter Klan Självtilltro Medvetenhet (regelföljande) Regelföljandevärdekonflikter Hierarki Regelföljande Självtilltro Medvetenhet Deltagande Regelföljande värdekonflikter Adhokrati [Nollresultat] Marknad (värdekonflikter) Externt fokus och differentiering Självtilltro Medvetenhet Regelföljande Regelföljandevärdekonflikter Stabilitet och kontroll (Quinn & Cameron, 1988) 2016-03-14 24
Slutsatser Internt orienterade organisationskulturer förefaller vara mer gynnsamma för informationssäkerhet Förvaltningsreformer i riktning mot en mer marknadsorienterad och konkurrensutsatt organisering riskerar således att öka värdekonflikter och försvaga informationssäkerheten i organisationer Graden av kontroll-flexibilitet i organisationen förefaller dock inte inverka på medarbetarnas säkerhetsbeteende 2016-03-14 25
Forskningsinriktning 1. Består mönstret från pilotstudien i huvudstudien? Större omfattning (153 >3000 respondenter) Mätning av organisationskultur på organisationsnivån Vidareutveckling av vissa mätinstrument Mer sofistikerade analysmetoder 2. Hur skapas informationssäkerhet i olika kulturer? Hur kan ex mer externt orienterade organisationer arbeta för att förstärka informationssäkerheten? 3. Hur kan informationssäkerhet förstås ur ett värdekonflikt/värdepluralismperspektiv? 2016-03-14 26