Användares acceptans av informations­säkerhets­bestämmelser

Enligt etablerade standarder ska informa­tions­­säkerhetsarbetet utgå från de aktuella informa­tions­säkerhetsrisker som finns i en organisa­tion. I praktiken får dock de anställdas uppfattning och bedömning av dessa risker och det beteende dessa bedömningar leder till en avgörande betydelse för om informations­säkerheten upprätthålls eller ej. Därför inför många organisa­tioner informations­­säkerhets­bestämmelser, som syftar till att styra beteenden på ett sätt som gynnar informations­­säkerheten. Ibland kan dock målen för en organisations informations­säkerhet och målen för verksamheten i sig vara motstridiga. Hur dessa målkonflikter hanteras är avgörande bland annat för möjlig­heterna att samtidigt upprätthålla hög informationssäkerhet och hög effektivitet i organisationen.

Det övergripande syftet med projektet User acceptance of information security policies är att skapa förståelse för och kunskap om beteenden som påverkar informations­säkerhet, för att därigenom bidra till att organisationer och dess medarbetare ska kunna fatta mer väl­grundade informations­­säkerhetsrelaterade beslut. De forsknings­frågor projektet utgår från är:

  • Vilka faktorer påverkar användares intention att följa informations­säkerhetsbestämmelser?
  • Hur görs avvägningar mellan verksamhets- och informations­säkerhets­mål i en organisation?
  • Hur görs bedömningar av informations­säkerhetsrisker?

För att besvara frågorna har hypoteser formulerats och sedan testats med statistiska metoder. För att kunna nyttja så stora data­underlag som möjligt har projektet samman­ställt resultat från tidigare studier och kompletterat dessa med egna enkätstudier.

Resultaten visar att de faktorer som i högst utsträck­ning bidrar till att förklara användares intention att följa informations­säkerhets­bestämmelser är attityd, uppfattade normer, uppfattad egen förmåga, förutsedd ånger och vana kopplade till bestäm­melserna. Ytterligare en viktig slutsats är att motsättningar mellan verksamhets- och informations­­säkerhetsmål i en miljö leder till att medarbetare själva tvingas göra avvägningar och improvisera för att hantera dessa.

Vanligen bedöms risker genom att kombinera sannolikheten för och konsekvensen av att ett hot inträffar. Projektets resultat visar dock att när personer sätter värden på risker direkt, snarare än att först bedöma sannolikhet respektive konsekvens, får konsekvensen av att ett hot realiseras större betydelse än sannolikheten för detsamma. Resultaten visar också att samstämmigheten bland de som bedömer informations­säkerhets­risker är för låg för att bedömningarna ska utgöra en bra grund för beslut.

Fler studier behövs för att öka kunskapen kring mänskligt beteende och informations­säkerhet. Det behöver genomföras experi­ment kopplat till bestämmelser för att studera faktiska beteenden snarare än individers intention när det gäller att följa reglerna. Avseende bedömning av risker behövs det studier av vilka möjligheter som finns att stödja processen med att göra bedömningar, så att dessa blir användbara som grund för beslut kopplade till informationssäkerhet.

Sommestad, Teodor. Hallberg, Jonas. Lundholm, Kristoffer. Bengtsson, Johan. Variables influencing information security policy compliance: a systematic review of quantitative studies. Information management & computer security, Vol. 22, Issue 1, pp. 42-75. 2013.

Sommestad, T. and Hallberg, J. A review of the theory of planned behaviour in the context of information security policy compliance.” Proc. of the 28th IFIP TC-11 SEC. Auckland, New Zealand, 2013.

Hallberg et al. User Acceptance of Information Security Policies, poster and abstract at the National Symposium on Technology and Methodology for Security and Crisis Management (TAMSEC). 2013

Sommestad, T., Karlzén, H., and Hallberg, J. The sufficiency of the theory of planned behavior for explaining information security policy compliance. Information & Computer Security, Vol. 23, Issue 2, pp. 200–217. 2015.

Sommestad, T., Karlzén, H., and Hallberg, J. A Meta-Analysis of Studies on PMT and Information Security Behavior. The Dewald Roode Information Security Workshop. 2014.

Sommestad, T. Social groupings and information security obedience subcultures within organizations. The 30th International Information Security and Privacy Conference, Hamburg, 26-28 May 2015.

Sommestad, T., Karlzén, H., Nilsson, P., and Hallberg, J. Perceived information security risk as a function of probability and severity. International Symposium on Human Aspects of Information Security & Assurance (HAISA). 2015.

Sommestad, T., Karlzén, H., Nilsson, P., and Hallberg, J. An empirical test of the perceived relationship between risk and the constituents severity and probability, in special issue of Information and Computer Security, Vol. 24 Iss: 2. 2015.

Sommestad, T., Karlzén, H., and Hallberg, J. A Meta-Analysis of Studies on Protection Motivation Theory and Information Security Behaviour. International Journal of Information Security and Privacy 9 (1): 26–46. 2015.

Woltjer, R. Workarounds and Trade-offs in Information Security – an Exploratory Study. Information and Computer Security. 2017.

Hallberg, J., Bengtsson, J., Hallberg, N., Karlzén, H., Sommestad, T. The Significance of Information Security Risk Assessments — Exploring the Consensus of Raters’ Perceptions of Probability and Severity. The International Conference on Security and Management. pp. 131–137. 2017.

Sommestad, T., Karlzén, H. and Hallberg, J. The Theory of Planned Behavior and Information Security Policy Compliance. Journal of Computer Information Systems. Taylor & Francis, pp. 1–10. 2017.

Hallberg J. Förord. I Hallberg J, Johansson P, Karlsson F, Lundberg F, Lundgren B, Törner M: Informations­säkerhet och organisationskultur. Studentlitteratur, Lund. 2017.

Sommestad T, Hallberg J, Karlzén H. Varför följer användarna inte bestämmelserna? I Hallberg J, Johansson P, Karlsson F, Lundberg F, Lundgren B, Törner M: Informations­säkerhet och organisations­­kultur. Studentlitteratur, Lund. 2017.