Varför följer inte användarna bestämmelser? – En metaanalys avseende informationssäkerhetsbestämmelser
Publiceringsdatum: 2012-12-28
Rapportnummer: FOI-R--3524--SE
Sidor: 22
Skriven på: Svenska
Nyckelord:
- Informationssäkerhet
- säkerhetspolicy
- metaanalys
Sammanfattning
Införandet av informationssäkerhetsbestämmelser, såsom säkerhetspolicyer och föreskrifter, är en central åtgärd i organisationers arbete med att nå en hög informationssäkerhetsnivå. En förutsättning för att informationssäkerhetsbestämmelser ska ha en positiv påverkan på informationssäkerheten är att de efterlevs. Avseende efterlevnad blir den avgörande frågan: Vilka faktorer är det som påverkar huruvida informationssäkerhetsbestämmelser efterlevs? Det har genomförts forskningsstudier som syftar till att besvara frågan om vilka faktorer som påverkar efterlevnad av informationssäkerhetsbestämmelser. En del av dessa studier inkluderar kvantitativa resultat avseende hur olika faktorer påverkar efterlevnaden av bestämmelser. Denna rapport presenterar en metaanalys för att, utifrån publicerade kvantitativa studier, skapa en sammanställd bild av hur viktiga de olika faktorerna är. Baserat på resultaten från den genomförda metaanalysen besvaras exempelvis följande frågor. Vem har nytta av denna information? Alla som formulerar säkerhetsbestämmelser eller försöker se till att de efterlevs. Vilken vetenskaplig teori är bäst att utgå ifrån? Det finns inget tydligt svar, men Theory of planned behavior förklarar mest, medan Deterrence theory förklarar minst avseende vilka faktorer som påverkar efterlevnad. Varför förklarar de vetenskapliga teorierna så lite av beteendet? Mänskliga beteenden är komplexa och teorierna försöker förklara dessa med ett fåtal faktorer. Det är mycket begärt att modeller med få faktorer ska kunna förklara beteende med precision. Vad borde göras för att öka efterlevnad av bestämmelser? Det borde satsas resurser på att påverka de faktorer som verkar viktiga, exempelvis normer och attityder kopplade till bestämmelserna. Finns det några problem rörande studiernas kvalitet? Det finns flera svagheter och problem med studierna, exempelvis bristande metoder för urval av respondenter. Vilken vetenskaplig teori använder Försvarsmakten idag? Försvarsmakten verkar använda en kombination av Deterrence theory och Protection motivation theory. Spelar inte bestämmelserna i sig någon roll för om de efterlevs? Bestämmelsernas relevans spelar roll för efterlevnad, men hur de formuleras och kommuniceras tycks vara av ringa betydelse i de fall dessa faktorer har undersökts.