Informationssäkerhetskultur i praktiken
Informationstillgångar är centrala för dagens organisationer – inom både den privata och den offentliga sektorn. Detta ställer krav på hög informationssäkerhet samtidigt som tekniska säkerhetslösningar visat sig vara otillräckliga. Det finns därför ett stort behov av att undersöka hur anställda tänker kring informationssäkerhet och hur en god informationssäkerhetskultur ska uppnås.
%20Password%20dator%20shutterstock_2471527435.webp)
Projektet Informationssäkerhetskultur i praktiken (ISKIP) byggde vidare på forskningsprogrammet SECURIT och hade tre övergripande forskningsfrågor:
- Hur bör verktyg utformas för att identifiera behov av förändring av en informationssäkerhetskultur?
- Hur bör arbetssätt utformas för att effektivt arbeta med förändring av informationssäkerhetskultur?
- Vilka faktorer är betydelsefulla när anställda ska ändra sina informationssäkerhetsbeteenden?
Studier av samhällsviktiga organisationer
Projektet studerade ett antal organisationers informationssäkerhetskultur. Främst organisationer som är verksamma inom samhällssektorer som energiförsörjning, livsmedel, transporter, hälso- och sjukvård samt omsorg, finansiella tjänster, information och kommunikation samt skydd och säkerhet.
I projektet gjordes bland annat analyser av hur så kallade visselblåsarfunktioner används, hur enkätverktyg ska konstrueras för att fånga värdekonflikter och hur informationssäkerhetsvärderingar omsätts i faktisk handling. Under projektet största studie erbjöds utvalda organisationer
- chefshandledning baserad på kognitiv beteendeterapi
- medvetandehöjande utbildning om informationssäkerhetsrisker
- analyser av arbetsgruppers informationssäkerhetskultur.
Detta erbjöds kostnadsfritt för att under ordnade former mäta vilken effekt sådana åtgärder får på informationssäkerhetskulturen i en organisation. Om du vill att din organisation ska få pröva dessa åtgärder och samtidigt stödja forskning på informationssäkerhetskultur är du varmt välkommen att höra av dig till
Teodor Sommestad (teodor.sommestad@foi.se).
En tvärvetenskaplig ansats
Projektet var till sin natur tvärvetenskapligt, där forskarna från de deltagande organisationerna samarbetar. De ämnen som representerades av de deltagande forskarna inkluderar informatik, statsvetenskap, arbets- och organisationspsykologi, filosofi, freds- och utvecklingsforskning, datavetenskap samt informationssäkerhet.
Projektorganisation
Projektet startade i februari 2019 och slutade i december 2023. Projektet var ett samarbete mellan FOI, Göteborgs universitet och Örebro universitet.