Congruence
Organisationer använder en rad olika åtgärder för att kommunicera hur information ska hanteras på ett säkert sätt. Exempel på åtgärder är informationssäkerhetspolicyer, regler, riktlinjer och utbildningsmaterial. För att maximera utfallet av dessa åtgärder är det viktigt att de kommunicerar ett gemensamt och sammanhållet budskap. Om de tillvägagångssätt och målsättningar som kommuniceras innehåller mål som är sinsemellan motstridiga, blir det svårt för den anställde att veta hur hen förväntas agera.
Syftet med projektet Congruence var att bidra med verktyg för hur man kan kommunicera informationssäkerhet på ett gemensamt och sammanhållet sätt. Projektet utgår från två forskningsfrågor:
- Hur kan man identifiera när olika budskap och mål kring informationssäkerhet kommunicerats?
- Hur kan ett gemensamt och sammanhållet sätt att kommunicera informationssäkerhet understödjas?
Frågorna har undersökts genom fallstudier som inkluderat intervjuer, observationer och innehållsmässiga analyser av informationssäkerhetspolicyer och -regelverk inom svensk sjukvård. Undersökningarna resulterade i en metod för att analysera informationssäkerhet och i riktlinjer för hur informationssäkerhetspolicyer bör designas. Vid brott mot informationssäkerhetsreglerna gör metoden det möjligt att identifiera om sinsemellan motstridiga budskap och mål kring informationssäkerhet kommunicerats. Metoden kan användas för att ta reda om olika ledningssystem i organisationen kommunicerar oförenliga saker till de anställda. Riktlinjerna ger stöd för hur informationssäkerhetspolicyer kan designas för att kommunicera informationssäkerhetspolicyer på ett mer sammanhållet sätt.
En framtida forskningsfråga är hur väl de utvecklade riktlinjerna för design av informationssäkerhetspolicyer fungerar i andra miljöer än sjukvård, som är den miljö de skapades för. Det är även intressant att studera om riktlinjerna kan användas vid design av annat informationssäkerhetsmaterial, såsom utbildningsmaterial.