Congruence

Organisationer använder en rad olika åtgärder för att kommunicera hur information ska hanteras på ett säkert sätt. Exempel på åtgärder är informa­tions­­säkerhetspolicyer, regler, riktlinjer och utbildnings­material. För att maximera utfallet av dessa åtgärder är det viktigt att de kommunicerar ett gemensamt och sammanhållet budskap. Om de tillvägagångs­sätt och mål­sättningar som kommuniceras innehåller mål som är sinsemellan motstridiga, blir det svårt för den anställde att veta hur hen förväntas agera.

Syftet med projektet Congruence var att bidra med verktyg för hur man kan kommunicera informations­säkerhet på ett gemensamt och sammanhållet sätt. Projektet utgår från två forskningsfrågor:

  • Hur kan man identifiera när olika budskap och mål kring informations­säkerhet kommunicerats?
  • Hur kan ett gemensamt och samman­hållet sätt att kommunicera informa­tions­säkerhet understödjas?

Frågorna har undersökts genom fallstudier som inkluderat intervjuer, observationer och innehålls­mässiga analyser av informations­säkerhetspolicyer och -regelverk inom svensk sjukvård. Under­sökning­arna resulterade i en metod för att analysera informationssäkerhet och i riktlinjer för hur informations­­­säkerhets­policyer bör designas. Vid brott mot informa­tionssäkerhetsreglerna gör metoden det möjligt att identifiera om sinsemellan mot­stridiga budskap och mål kring informations­säkerhet kommunicerats. Metoden kan användas för att ta reda om olika lednings­system i organisationen kommunicerar oförenliga saker till de anställda. Riktlinjerna ger stöd för hur informationssäkerhets­policyer kan designas för att kommunicera informa­tions­säkerhetspolicyer på ett mer sammanhållet sätt.

En framtida forskningsfråga är hur väl de utvecklade riktlinjerna för design av informa­tions­­säkerhets­policyer fungerar i andra miljöer än sjukvård, som är den miljö de skapades för. Det är även intressant att studera om rikt­linjerna kan användas vid design av annat informations­säkerhetsmaterial, såsom utbildnings­material.

Karlsson F, Hedström K, Goldkuhl G (2017) Practice-Based Discourse Analysis of Information Security Policies. Computers & Security, Volume 67, 267-279.

Kolkowska, E, Karlsson F, Hedström K (2017) Towards analysing the rationale of information security non-compliance: Devising a Value-Based Compliance analysis method. Journal of Strategic Information Systems, Volume 26, Issue 1, 39-57.

Karlsson F, Goldkuhl G, Hedström K. Practice-based Discourse Analysis of InfoSec Policies. In Federatth, H. and Gollmann, D. (Eds.) ICT Systems Security and Privacy Protection - 30th IFIP TC 11 International Conference, SEC 2015, Hamburg, Germany. Springer, Heidelberg, pp. 297-310.

Karlsson F, Goldkuhl G, Hedström K (2014) Practice-Based Discourse Analysis of Information Security Policy in Health Care. 11th Scandinavian Workshop on E-government (SWEG 2014), February 4-5, Linköping, Sweden.

Hedström K, Karlsson F, Kolkowska E (2017) Utveckling av en praktik­anpassad informationssäkerhetspolicy. I Hallberg J, Johansson P, Karlsson F, Lundberg F, Lundgren B, Törner M: Informationssäkerhet och organisations­­kultur. Studentlitteratur, Lund.

Löfstedt T. (2015) Exploring integrated management systems – challenges and potentials in relation to IT governance, 38th Information Systems Research Seminar in Scandinavia (IRIS38), Oulu, Finland.