ATTITUDE

En organisationskultur utgörs av medarbetarnas gemensamma grundläggande värderingar och antaganden om omvärlden. Dessa värderingar och antaganden styr de anställdas handlande. Organisationskulturen beskrivs ofta som en central del i styrningen av en organisation och många studier kring kultur och informationssäkerhet ser ofta organisationer som ett rationellt instrument där ledningen kan forma anställdas agerande. Mer sällan görs det i dessa studier ansatser till att förstå hur olika mönster av attityder och värderingar, och därigenom prioriteringar, kan variera mellan olika sammanhang.

I forskningsprojektet Attitude undersökte vi sambandet mellan organisationskulturer och anställdas attityder och beteenden kring informationssäkerhet i olika branscher. Vi var även intresserade av en metodmässig fråga som rör hur man i enkätbaserade studier går till väga för att mäta regelföljande kring informationssäkerhet. Dessa studier är ofta utformade utan hänsyn till i vilken utsträckning det uppstår situationer där de anställda behöver prioritera mellan att antingen följa reglerna för informationssäkerhet eller utföra sina arbetsuppgifter. Gör det någon skillnad om man istället för att bara låta respondenten svara ja eller nej utifrån påståendet ”Jag följer informationssäkerhetspolicyn på min arbetsplats” ställer frågan ”Hur ofta bortser du från informationssäkerhetspolicyn för att den försämrar kvaliteten i ditt arbete?”?

Studien genomfördes av SCB som en enkätstudie riktad till tjänstepersoner i privata och offentliga verksamheter i Sverige. Den baserades på två urval: ett slumpmässigt urval av 2000 tjänstepersoner i Sverige och ett riktat urval av tjänstepersoner i ett slumpmässigt urval av organisationer inom sex specifika sektorer (kommunal socialtjänst, landstingsdriven sjukvård, universitet och högskolor, banksektorn, kemisk processindustri och IT-konsultbranschen). Cirka 1500 tjänstepersoner per sektor valdes slumpmässigt ut. För analysen användes teorin Competing Values Framework för att identifiera organisationernas kulturer.

Resultaten visar att organisationskulturen har en viss betydelse för informationssäkerheten. Att påverka organisationskulturen i en viss riktning kan således vara ett effektivt sätt att öka informationssäkerheten i en organisation. Vidare visar resultaten att det har betydelse om regelföljande kring informationssäkerhet mäts som en integrerad del av en arbetssituation eller inte. Detta resultat bör ha betydelse för utformning av mätningar kring anställdas regelföljande, även när studier genomförs av praktiker.

Karlsson F, Karlsson M, Åström J (2017) Measuring employees’ compliance - the importance of value pluralism. Information & Computer Security, Volume 25, Issue 3, 279-299.

Karlsson F, Åström J, Karlsson M (2015) Information security culture : State-of-the-art review between 2000 and 2013. Information Management & Computer Security, Volume 23, Issue 3, 246-285.

Karlsson M, Karlsson F, Åström J (2017) Organisationskulturens påverkan på informationssäkerhetsarbetet. I Hallberg J, Johansson P, Karlsson F, Lundberg F, Lundgren B, Törner M: Informationssäkerhet och organisationskultur. Studentlitteratur, Lund