Forskningsprojekt
Inom ramen för forskningsprogrammet SECURIT drivs nio stycken forskningsprojekt.
Dessa beskrivs på undersidor som återfinns i listan nedan.
Enligt etablerade standarder ska informationssäkerhetsarbetet utgå från de aktuella informationssäkerhetsrisker som finns i en organisation. I praktiken får dock de anställdas uppfattning och bedömning av dessa risker och det beteende dessa bedömningar leder till en avgörande betydelse för om informationssäkerheten upprätthålls eller ej. Därför inför många organisationer informationssäkerhetsbestämmelser, som syftar till att styra beteenden på ett sätt som gynnar informationssäkerheten. Ibland kan dock målen för en organisations informationssäkerhet och målen för verksamheten i sig vara motstridiga. Hur dessa målkonflikter hanteras är avgörande bland annat för möjligheterna att samtidigt upprätthålla hög informationssäkerhet och hög effektivitet i organisationen.
Läs mer om Användares acceptans av informationssäkerhetsbestämmelser
En organisationskultur utgörs av medarbetarnas gemensamma grundläggande värderingar och antaganden om omvärlden. Dessa värderingar och antaganden styr de anställdas handlande. Organisationskulturen beskrivs ofta som en central del i styrningen av en organisation och många studier kring kultur och informationssäkerhet ser ofta organisationer som ett rationellt instrument där ledningen kan forma anställdas agerande. Mer sällan görs det i dessa studier ansatser till att förstå hur olika mönster av attityder och värderingar, och därigenom prioriteringar, kan variera mellan olika sammanhang.
De omständigheter som råder under insatsarbete vid allvarliga samhällsstörningar, såsom bränder eller epidemiutbrott, är ofta mycket pressade. Att i sådana situationer hitta en balans i arbetet mellan att samtidigt skydda verksamhetens information och underlätta för medarbetarna att göra sitt jobb är svårt.
Organisationer använder en rad olika åtgärder för att kommunicera hur information ska hanteras på ett säkert sätt. Exempel på åtgärder är informationssäkerhetspolicyer, regler, riktlinjer och utbildningsmaterial. För att maximera utfallet av dessa åtgärder är det viktigt att de kommunicerar ett gemensamt och sammanhållet budskap. Om de tillvägagångssätt och målsättningar som kommuniceras innehåller mål som är sinsemellan motstridiga, blir det svårt för den anställde att veta hur hen förväntas agera.
Informationssäkerhetsarbete har oftast ett inåtblickande perspektiv. Det innebär att det är den enskilda organisations egenintresse som står i fokus vid utveckling av informationssäkerhetskulturer. I projektet Discourse and Security Practice har vi närmat oss frågan ur ett bredare perspektiv och undersökt hur samhälleliga värden beaktas och uppfattas i relation till informationssäkerhet.
Av de studier som tidigare gjorts kring informationssäkerhetskultur och informationssäkerhet fokuserar i princip samtliga på arbetet inom enskilda organisationer, inte på arbetet som sker mellan organisationerna. Detta trots att dagens organisationer ofta ingår i nätverk av aktörer. Samarbete för att uppnå gemensamma resultat innebär att olika organisationers kulturer och föreställningar kring informationssäkerhet möts och potentiellt kolliderar med varandra.
Informationssäkerhetsstandarder är ”best practices” som utvecklas globalt av informationssäkerhetsexperter. Dessa standarder har indirekt ett inflytande på hur informationssäkerhet utvecklas i olika organisationer, då de ofta används som utgångspunkt för det lokala informationssäkerhetsarbetet. Exempelvis så ska svenska myndigheter följa standarden ISO-27000 när de inför ledningssystem för informationssäkerhet.
Läs mer om Kulturella aspekter vid utveckling av informationssäkerhetsstandarder
Digitala informationssystem i sjukvården medför nya krav på vårdpersonalen, inte minst i fråga om att upprätthålla och garantera informationssäkerheten. Syftet med detta projekt var att belysa och beskriva hur läkare och sjuksköterskor inom sjukhusvården resonerar i relation till de värdekonflikter som kan uppstå i deras yrkesvardag i samband med användning av digitala informationshanteringssystem. På detta sätt ville vi synliggöra hur normer och värden knutna till vårdprofessionerna påverkar såväl informationssäkerhet som vårdkvalitet.
Läs mer om Professionell kultur, informationssäkerhet och vårdkvalitet
Vilka begrepp man använder för att beskriva och tala om något påverkar hur vi tänker om olika fenomen. Hur vi tänker påverkar i sin tur både forskning och praktisk verksamhet. I projektet Security Culture har vi fokuserat på flera av de centrala begrepp rörande informationssäkerhet som används både inom de praktiska verksamheterna och i forskningen.