Jag accepterar att kakor lagras på min dator

Läs mer

Varför följer inte användarna bestämmelser? – En metaanalys avseende informationssäkerhetsbestämmelser.

Varför följer inte användarna bestämmelser? – En metaanalys avseende informationssäkerhetsbestämmelser. Beställ tryckt exemplar Lägg i kundvagnen Ladda ned som PDF
Författare: Teodor Sommestad, Johan Bengtsson, Jonas Hallberg
Ort: Linköping
Sidor: 22
Utgivningsår: 2012
Publiceringsdatum: 2012-12-28
Rapportnummer: (FOI-R--3524--SE)
Nyckelord Informationssäkerhet, säkerhetspolicy, metaanalys
Keywords Information security, security policy, regulations, meta-analysis
Sammanfattning Införandet av informationssäkerhetsbestämmelser, såsom säkerhetspolicyer och föreskrifter, är en central åtgärd i organisationers arbete med att nå en hög informationssäkerhetsnivå. En förutsättning för att informationssäkerhetsbestämmelser ska ha en positiv påverkan på informationssäkerheten är att de efterlevs. Avseende efterlevnad blir den avgörande frågan: Vilka faktorer är det som påverkar huruvida informationssäkerhetsbestämmelser efterlevs? Det har genomförts forskningsstudier som syftar till att besvara frågan om vilka faktorer som påverkar efterlevnad av informationssäkerhetsbestämmelser. En del av dessa studier inkluderar kvantitativa resultat avseende hur olika faktorer påverkar efterlevnaden av bestämmelser. Denna rapport presenterar en metaanalys för att, utifrån publicerade kvantitativa studier, skapa en sammanställd bild av hur viktiga de olika faktorerna är. Baserat på resultaten från den genomförda metaanalysen besvaras exempelvis följande frågor. Vem har nytta av denna information? Alla som formulerar säkerhetsbestämmelser eller försöker se till att de efterlevs. Vilken vetenskaplig teori är bäst att utgå ifrån? Det finns inget tydligt svar, men Theory of planned behavior förklarar mest, medan Deterrence theory förklarar minst avseende vilka faktorer som påverkar efterlevnad. Varför förklarar de vetenskapliga teorierna så lite av beteendet? Mänskliga beteenden är komplexa och teorierna försöker förklara dessa med ett fåtal faktorer. Det är mycket begärt att modeller med få faktorer ska kunna förklara beteende med precision. Vad borde göras för att öka efterlevnad av bestämmelser? Det borde satsas resurser på att påverka de faktorer som verkar viktiga, exempelvis normer och attityder kopplade till bestämmelserna. Finns det några problem rörande studiernas kvalitet? Det finns flera svagheter och problem med studierna, exempelvis bristande metoder för urval av respondenter. Vilken vetenskaplig teori använder Försvarsmakten idag? Försvarsmakten verkar använda en kombination av Deterrence theory och Protection motivation theory. Spelar inte bestämmelserna i sig någon roll för om de efterlevs? Bestämmelsernas relevans spelar roll för efterlevnad, men hur de formuleras och kommuniceras tycks vara av ringa betydelse i de fall dessa faktorer har undersökts.
Abstract The introduction of information security regulations is a key element in the efforts of organizations to achieve a high level of information security. In order for information security regulations to contribute to improved information security, the users have to comply with them. Therefore, it is crucial to know: What affects whether the users comply with the information security regulations? A number of research studies have been performed in order to identify what affects the compliance. Some of these studies include quantitative results regarding how different factors affect the information security regulations compliance. This report presents a meta-analysis based on published quantitative studies in order to create a consolidated view of the importance of various factors. Based on the results of the meta-analysis nine questions are addressed, including the following examples: Who will benefit from this information? Anyone who creates security regulations or tries to ensure that they are complied with will benefit from this information. Which scientific theory is best to start from? There is no clear answer, but the Theory of planned behavior seems to explain the most, while Deterrence theory explains the least. Why do the scientific theories explain such a small part of the behavior? Human behavior is complex and the theories attempt to explain it with only a few variables. There are also measurement problems and weaknesses in the studies. What should be done to improve the compliance? Focus should be on the factors that seem important, such as norms and attitudes related to the regulations. Are there any problems concerning the quality of the studies? There are several weaknesses and problems with the studies, such as a lack of methods for the selection of respondents. Which scientific theory do the Swedish Armed Forces use today? It seems to be a combination of Deterrence Theory and Protection Motivation Theory. Do the policies themselves affect whether they are complied with? The relevance is important, but how the policies are formulated and communicated seems to be irrelevant when these factors have been investigated.

Kundvagn

Inga rapporter i kundvagnen

FOI, Totalförsvarets forskningsinstitut

FOI
Totalförsvarets forskningsinstitut
164 90 Stockholm

Tel: 08-555 030 00
Fax: 08-555 031 00

Orgnr: 202100-5182