Användares acceptans av informationssäkerhetsbestämmelser
Enligt etablerade standarder ska informationssäkerhetsarbetet utgå från de aktuella informationssäkerhetsrisker som finns i en organisation. I praktiken får dock de anställdas uppfattning och bedömning av dessa risker och det beteende dessa bedömningar leder till en avgörande betydelse för om informationssäkerheten upprätthålls eller ej. Därför inför många organisationer informationssäkerhetsbestämmelser, som syftar till att styra beteenden på ett sätt som gynnar informationssäkerheten. Ibland kan dock målen för en organisations informationssäkerhet och målen för verksamheten i sig vara motstridiga. Hur dessa målkonflikter hanteras är avgörande bland annat för möjligheterna att samtidigt upprätthålla hög informationssäkerhet och hög effektivitet i organisationen.
Det övergripande syftet med projektet User acceptance of information security policies är att skapa förståelse för och kunskap om beteenden som påverkar informationssäkerhet, för att därigenom bidra till att organisationer och dess medarbetare ska kunna fatta mer välgrundade informationssäkerhetsrelaterade beslut. De forskningsfrågor projektet utgår från är:
- Vilka faktorer påverkar användares intention att följa informationssäkerhetsbestämmelser?
- Hur görs avvägningar mellan verksamhets- och informationssäkerhetsmål i en organisation?
- Hur görs bedömningar av informationssäkerhetsrisker?
För att besvara frågorna har hypoteser formulerats och sedan testats med statistiska metoder. För att kunna nyttja så stora dataunderlag som möjligt har projektet sammanställt resultat från tidigare studier och kompletterat dessa med egna enkätstudier.
Resultaten visar att de faktorer som i högst utsträckning bidrar till att förklara användares intention att följa informationssäkerhetsbestämmelser är attityd, uppfattade normer, uppfattad egen förmåga, förutsedd ånger och vana kopplade till bestämmelserna. Ytterligare en viktig slutsats är att motsättningar mellan verksamhets- och informationssäkerhetsmål i en miljö leder till att medarbetare själva tvingas göra avvägningar och improvisera för att hantera dessa.
Vanligen bedöms risker genom att kombinera sannolikheten för och konsekvensen av att ett hot inträffar. Projektets resultat visar dock att när personer sätter värden på risker direkt, snarare än att först bedöma sannolikhet respektive konsekvens, får konsekvensen av att ett hot realiseras större betydelse än sannolikheten för detsamma. Resultaten visar också att samstämmigheten bland de som bedömer informationssäkerhetsrisker är för låg för att bedömningarna ska utgöra en bra grund för beslut.
Fler studier behövs för att öka kunskapen kring mänskligt beteende och informationssäkerhet. Det behöver genomföras experiment kopplat till bestämmelser för att studera faktiska beteenden snarare än individers intention när det gäller att följa reglerna. Avseende bedömning av risker behövs det studier av vilka möjligheter som finns att stödja processen med att göra bedömningar, så att dessa blir användbara som grund för beslut kopplade till informationssäkerhet.