Kontakt

Informationssäkerhetskultur i praktiken

Informationstillgångar är centrala för dagens organisationer – inom både den privata och den offentliga sektorn. Detta ställer krav på hög informationssäkerhet samtidigt som tekniska säkerhetslösningar visat sig vara otillräckliga. Det finns därför ett stort behov av att undersöka hur anställda tänker kring informationssäkerhet och hur en god informationssäkerhetskultur ska uppnås.

Projektet Informationssäkerhetskultur i praktiken (ISKIP) bygger vidare på forskningsprogrammet SECURIT och har tre övergripande forskningsfrågor:

  1. Hur bör verktyg utformas för att identifiera behov av förändring av en informationssäkerhetskultur?
  2. Hur bör arbetssätt utformas för att effektivt arbeta med förändring av informationssäkerhetskultur?
  3. Vilka faktorer är betydelsefulla när anställda ska ändra sina informationssäkerhetsbeteenden?

Studier av samhällsviktiga organisationer

Projektet kommer att studera ett antal organisationers informationssäkerhetskultur. Främst organisationer som är verksamma inom samhällssektorer som energiförsörjning, livsmedel, transporter, hälso- och sjukvård samt omsorg, finansiella tjänster, information och kommunikation samt skydd och säkerhet.

I projektet görs bland annat analyser av hur så kallade visselblåsarfunktioner används, hur enkätverktyg ska konstrueras för att fånga värdekonflikter och hur informationssäkerhetsvärderingar omsätts i faktisk handling. Under projektet största studie kommer utvalda organisationer erbjudas

  • chefshandledning baserad på kognitiv beteendeterapi
  • medvetandehöjande utbildning om informationssäkerhetsrisker
  • analyser av arbetsgruppers informationssäkerhetskultur.

Detta erbjuds kostnadsfritt för att under ordnade former mäta vilken effekt sådana åtgärder får på informationssäkerhetskulturen i en organisation. Om du vill att din organisation ska få pröva dessa åtgärder och samtidigt stödja forskning på informationssäkerhetskultur är du varmt välkommen att höra av dig till
Teodor Sommestad (teodor.sommestad@foi.se).

En tvärvetenskaplig ansats

Projektet är till sin natur tvärvetenskapligt, där forskarna från de deltagande organisationerna samarbetar. De ämnen som representeras av de deltagande forskarna inkluderar informatik, statsvetenskap, arbets- och organisationspsykologi, filosofi, freds- och utvecklingsforskning, datavetenskap samt informationssäkerhet.

Projektorganisation

Projektet startade i februari 2019 och beräknas vara slut i december 2023. Projektet är ett samarbete mellan FOI, Göteborgs universitet och Örebro universitet.


Pousette A., med flera (2023), ”Informationssäkerhetskultur i praktiken – Populärvetenskaplig sammanfattning, Myndigheten för samhällsskydd och beredskap”, https://www.msb.se/sv/publikationer/informationssakerhetskultur-i-praktiken--popularvetenskaplig-sammanfattning/ Länk till annan webbplats.

Törner M, Gyllensten K, Pousette, A (2022) Informationssäkerhetskultur i praktiken – delstudie om arbetsorganisatoriska och psykosociala faktorers betydelse för informationssäkerheten: https://www.gu.se/sites/default/files/2022-09/Informationssakerhet-i-praktiken-delstudie2022.pdf Länk till annan webbplats, öppnas i nytt fönster.

Karlsson M, Karlsson F, Åström, J, Denk, T (2022) The effect of perceived organizational culture on employees’ information security compliance. Information & Computer Security. Vol. 30(3), 382-401. https://doi.org/10.1108/ICS-06-2021-0073 Länk till annan webbplats, öppnas i nytt fönster.

Gyllensten, K., Törner, M., Pousette, A. (2022). The impact of psychosocial working conditions on information security behaviour in the nuclear industry. Information & Computer Security. https://www.emerald.com/insight/publication/issn/2056-4961 Länk till annan webbplats, öppnas i nytt fönster.

Karlsson, F., Kolkowska, E., and Petersson, J. (2022), "Information security policy compliance-eliciting requirements for a computerized software to support value-based compliance analysis", Computers & Security.
https://doi.org/10.1016/j.cose.2021.102578 Länk till annan webbplats, öppnas i nytt fönster.

Johansson, P., Berndtsson, J., Hansson, S.O., and Fahlnaes, F. (2022), "Visselblåsarfunktioner i svenska offentliga organisationer. En nationell kartläggning och inventering av frågor och utmaningar", Myndigheten för samhällsskydd och beredskap. https://www.msb.se/sv/publikationer/visselblasarfunktioner-i-svenska-offentliga-organisationer--en-nationell-kartlaggning-och-inventering-av-fragor-och-utmaningar/ Länk till annan webbplats, öppnas i nytt fönster.

Gyllensten, K. and Torner, M. (2021), "The role of organizational and social factors for information security in a nuclear power industry", Organizational Cybersecurity Journal: Practice, Process and People.
https://doi.org/10.1108/OCJ-04-2021-0012 Länk till annan webbplats, öppnas i nytt fönster.

Gyllensten, K., Pousette, A. and Törner, M. (2021), "Value conflicts and information security – a mixed-methods study in high-risk industry", Information and Computer Security.
https://doi.org/10.1108/ICS-09-2021-0139 Länk till annan webbplats, öppnas i nytt fönster.

Rostami, E., Karlsson, F., & Kolkowska, E. (2020). The hunt for computerized support in information security policy management: A literature review. Information and Computer Security, (February).
https://doi.org/10.1108/ICS-07-2019-0079 Länk till annan webbplats, öppnas i nytt fönster.

Sommestad, T., & Karlzén, H. (2020). När luras personer av nätfiske? En genomgång av publicerade fältexperiment. Totalförsvarets forskningsinstitut FOI, FOI-R--4951—SE, Linköping, Sverige.
https://www.foi.se/rapporter/rapportsammanfattning.html?reportNo=FOI-R--4951--SE

Sommestad, T., & Karlzén, H. (2019). A meta-analysis of field experiments on phishing susceptibility.
In eCrime Researchers Summit, eCrime 2019. Pittsburgh, PA, USA: IEEE. https://doi.org/10.1109/eCrime47957.2019.9037502 Länk till annan webbplats, öppnas i nytt fönster.



Informationssäkerhetskultur definieras i projektet som gemensamma tanke-, beteende- och värderingsmönster som uppstår och utvecklas i ett socialt kollektiv genom kommunikativa processer baserade på inre och yttre krav, som traderas till nya medlemmar och som har implikationer för informationssäkerhet.

Kontakt

Senast uppdaterad: 2024-06-10