Kontakt

Informationssäkerhetskultur i praktiken

Informationstillgångar är centrala för dagens organisationer – inom både den privata och den offentliga sektorn. Detta ställer krav på hög informationssäkerhet samtidigt som tekniska säkerhetslösningar visat sig vara otillräckliga. Det finns därför ett stort behov av att undersöka hur anställda tänker kring informationssäkerhet och hur en god informationssäkerhetskultur ska uppnås.

Dator med lapp password

Projektet Informationssäkerhetskultur i praktiken (ISKIP) byggde vidare på forskningsprogrammet SECURIT och hade tre övergripande forskningsfrågor:

  1. Hur bör verktyg utformas för att identifiera behov av förändring av en informationssäkerhetskultur?
  2. Hur bör arbetssätt utformas för att effektivt arbeta med förändring av informationssäkerhetskultur?
  3. Vilka faktorer är betydelsefulla när anställda ska ändra sina informationssäkerhetsbeteenden?

Studier av samhällsviktiga organisationer

Projektet studerade ett antal organisationers informationssäkerhetskultur. Främst organisationer som är verksamma inom samhällssektorer som energiförsörjning, livsmedel, transporter, hälso- och sjukvård samt omsorg, finansiella tjänster, information och kommunikation samt skydd och säkerhet.

I projektet gjordes bland annat analyser av hur så kallade visselblåsarfunktioner används, hur enkätverktyg ska konstrueras för att fånga värdekonflikter och hur informationssäkerhetsvärderingar omsätts i faktisk handling. Under projektet största studie erbjöds utvalda organisationer

  • chefshandledning baserad på kognitiv beteendeterapi
  • medvetandehöjande utbildning om informationssäkerhetsrisker
  • analyser av arbetsgruppers informationssäkerhetskultur.

Detta erbjöds kostnadsfritt för att under ordnade former mäta vilken effekt sådana åtgärder får på informationssäkerhetskulturen i en organisation. Om du vill att din organisation ska få pröva dessa åtgärder och samtidigt stödja forskning på informationssäkerhetskultur är du varmt välkommen att höra av dig till
Teodor Sommestad (teodor.sommestad@foi.se).

En tvärvetenskaplig ansats

Projektet var till sin natur tvärvetenskapligt, där forskarna från de deltagande organisationerna samarbetar. De ämnen som representerades av de deltagande forskarna inkluderar informatik, statsvetenskap, arbets- och organisationspsykologi, filosofi, freds- och utvecklingsforskning, datavetenskap samt informationssäkerhet.

Projektorganisation

Projektet startade i februari 2019 och slutade i december 2023. Projektet var ett samarbete mellan FOI, Göteborgs universitet och Örebro universitet.


Grill, M., Sommestad, T., Karlzén, H. & Pousette, A. (2025), "Training for improved information security culture:
a longitudinal randomized controlled trial", Information and Computer Security,
https://doi.org/10.1108/ICS-08-2024-0189 Länk till annan webbplats.

Sommestad, T., & Karlzén, H. (2024). The unpredictability of phishing susceptibility: results from a repeated measures experiment. Journal of Cybersecurity, 10(1), tyae021. https://doi.org/10.1093/cybsec/tyae021 Länk till annan webbplats, öppnas i nytt fönster.

Pousette A., med flera (2023), ”Informationssäkerhetskultur i praktiken – Populärvetenskaplig sammanfattning, Myndigheten för samhällsskydd och beredskap”, https://www.msb.se/sv/publikationer/informationssakerhetskultur-i-praktiken--popularvetenskaplig-sammanfattning/ Länk till annan webbplats.

Törner M, Gyllensten K, Pousette, A (2022) Informationssäkerhetskultur i praktiken – delstudie om arbetsorganisatoriska och psykosociala faktorers betydelse för informationssäkerheten: https://www.gu.se/sites/default/files/2022-09/Informationssakerhet-i-praktiken-delstudie2022.pdf Länk till annan webbplats, öppnas i nytt fönster.

Karlsson M, Karlsson F, Åström, J, Denk, T (2022) The effect of perceived organizational culture on employees’ information security compliance. Information & Computer Security. Vol. 30(3), 382-401. https://doi.org/10.1108/ICS-06-2021-0073 Länk till annan webbplats, öppnas i nytt fönster.

Gyllensten, K., Törner, M., Pousette, A. (2022). The impact of psychosocial working conditions on information security behaviour in the nuclear industry. Information & Computer Security. https://www.emerald.com/insight/publication/issn/2056-4961 Länk till annan webbplats, öppnas i nytt fönster.

Karlsson, F., Kolkowska, E., and Petersson, J. (2022), "Information security policy compliance-eliciting requirements for a computerized software to support value-based compliance analysis", Computers & Security.
https://doi.org/10.1016/j.cose.2021.102578 Länk till annan webbplats, öppnas i nytt fönster.

Johansson, P., Berndtsson, J., Hansson, S.O., and Fahlnaes, F. (2022), "Visselblåsarfunktioner i svenska offentliga organisationer. En nationell kartläggning och inventering av frågor och utmaningar", Myndigheten för samhällsskydd och beredskap. https://www.msb.se/sv/publikationer/visselblasarfunktioner-i-svenska-offentliga-organisationer--en-nationell-kartlaggning-och-inventering-av-fragor-och-utmaningar/ Länk till annan webbplats, öppnas i nytt fönster.

Gyllensten, K. and Torner, M. (2021), "The role of organizational and social factors for information security in a nuclear power industry", Organizational Cybersecurity Journal: Practice, Process and People.
https://doi.org/10.1108/OCJ-04-2021-0012 Länk till annan webbplats, öppnas i nytt fönster.

Gyllensten, K., Pousette, A. and Törner, M. (2021), "Value conflicts and information security – a mixed-methods study in high-risk industry", Information and Computer Security.
https://doi.org/10.1108/ICS-09-2021-0139 Länk till annan webbplats, öppnas i nytt fönster.

Rostami, E., Karlsson, F., & Kolkowska, E. (2020). The hunt for computerized support in information security policy management: A literature review. Information and Computer Security, (February).
https://doi.org/10.1108/ICS-07-2019-0079 Länk till annan webbplats, öppnas i nytt fönster.

Sommestad, T., & Karlzén, H. (2020). När luras personer av nätfiske? En genomgång av publicerade fältexperiment. Totalförsvarets forskningsinstitut FOI, FOI-R--4951—SE, Linköping, Sverige.
https://www.foi.se/rapporter/rapportsammanfattning.html?reportNo=FOI-R--4951--SE

Sommestad, T., & Karlzén, H. (2019). A meta-analysis of field experiments on phishing susceptibility.
In eCrime Researchers Summit, eCrime 2019. Pittsburgh, PA, USA: IEEE. https://doi.org/10.1109/eCrime47957.2019.9037502 Länk till annan webbplats, öppnas i nytt fönster.



Informationssäkerhetskultur definieras i projektet som gemensamma tanke-, beteende- och värderingsmönster som uppstår och utvecklas i ett socialt kollektiv genom kommunikativa processer baserade på inre och yttre krav, som traderas till nya medlemmar och som har implikationer för informationssäkerhet.

Kontakt

Senast uppdaterad: 2025-06-23