Läs mer

Användares acceptans av informationssäkerhetsbestämmelser

Enligt etablerade standarder ska informationssäkerhetsarbetet utgå från de aktuella informationssäkerhetsrisker som finns i en organisation. I praktiken får dock de anställdas uppfattning och bedömning av dessa risker och det beteende dessa bedömningar leder till en avgörande betydelse för om informationssäkerheten upprätthålls eller ej. Därför inför många organisationer informationssäkerhetsbestämmelser, som syftar till att styra beteenden på ett sätt som gynnar informationssäkerheten. Ibland kan dock målen för en organisations informationssäkerhet och målen för verksamheten i sig vara motstridiga. Hur dessa målkonflikter hanteras är avgörande bland annat för möjligheterna att samtidigt upprätthålla hög informationssäkerhet och hög effektivitet i organisationen.

Det övergripande syftet med projektet User acceptance of information security policies är att skapa förståelse för och kunskap om beteenden som påverkar informationssäkerhet, för att därigenom bidra till att organisationer och dess medarbetare ska kunna fatta mer välgrundade informationssäkerhetsrelaterade beslut. De forskningsfrågor projektet utgår från är:

  • Vilka faktorer påverkar användares intention att följa informationssäkerhetsbestämmelser?
  • Hur görs avvägningar mellan verksamhets- och informationssäkerhetsmål i en organisation?
  • Hur görs bedömningar av informationssäkerhetsrisker?

 

För att besvara frågorna har hypoteser formulerats och sedan testats med statistiska metoder. För att kunna nyttja så stora dataunderlag som möjligt har projektet sammanställt resultat från tidigare studier och kompletterat dessa med egna enkätstudier.

 

Resultaten visar att de faktorer som i högst utsträckning bidrar till att förklara användares intention att följa informationssäkerhetsbestämmelser är attityd, uppfattade normer, uppfattad egen förmåga, förutsedd ånger och vana kopplade till bestämmelserna. Ytterligare en viktig slutsats är att motsättningar mellan verksamhets- och informationssäkerhetsmål i en miljö leder till att medarbetare själva tvingas göra avvägningar och improvisera för att hantera dessa.

 

Vanligen bedöms risker genom att kombinera sannolikheten för och konsekvensen av att ett hot inträffar. Projektets resultat visar dock att när personer sätter värden på risker direkt, snarare än att först bedöma sannolikhet respektive konsekvens, får konsekvensen av att ett hot realiseras större betydelse än sannolikheten för detsamma. Resultaten visar också att samstämmigheten bland de som bedömer informationssäkerhetsrisker är för låg för att bedömningarna ska utgöra en bra grund för beslut.

 

Fler studier behövs för att öka kunskapen kring mänskligt beteende och informationssäkerhet. Det behöver genomföras experiment kopplat till bestämmelser för att studera faktiska beteenden snarare än individers intention när det gäller att följa reglerna. Avseende bedömning av risker behövs det studier av vilka möjligheter som finns att stödja processen med att göra bedömningar, så att dessa blir användbara som grund för beslut kopplade till informationssäkerhet.

 

Publikationer

Sommestad, Teodor. Hallberg, Jonas. Lundholm, Kristoffer. Bengtsson, Johan. Variables influencing information security policy compliance: a systematic review of quantitative studies. Information management & computer security, Vol. 22, Issue 1, pp. 42-75. 2013.

 

Sommestad, T. and Hallberg, J. A review of the theory of planned behaviour in the context of information security policy compliance.” Proc. of the 28th IFIP TC-11 SEC. Auckland, New Zealand, 2013.


Hallberg et al. User Acceptance of Information Security Policies, poster and abstract at the National Symposium on Technology and Methodology for Security and Crisis Management (TAMSEC). 2013

 

Sommestad, T., Karlzén, H., and Hallberg, J. The sufficiency of the theory of planned behavior for explaining information security policy compliance. Information & Computer Security, Vol. 23, Issue 2, pp. 200–217. 2015.

 

Sommestad, T., Karlzén, H., and Hallberg, J. A Meta-Analysis of Studies on PMT and Information Security Behavior. The Dewald Roode Information Security Workshop. 2014.

 

Sommestad, T. Social groupings and information security obedience subcultures within organizations. The 30th International Information Security and Privacy Conference, Hamburg, 26-28 May 2015.

 

Sommestad, T., Karlzén, H., Nilsson, P., and Hallberg, J. Perceived information security risk as a function of probability and severity. International Symposium on Human Aspects of Information Security & Assurance (HAISA). 2015.

 

Sommestad, T., Karlzén, H., Nilsson, P., and Hallberg, J. An empirical test of the perceived relationship between risk and the constituents severity and probability, in special issue of Information and Computer Security, Vol. 24 Iss: 2. 2015.

 

Sommestad, T., Karlzén, H., and Hallberg, J. A Meta-Analysis of Studies on Protection Motivation Theory and Information Security Behaviour. International Journal of Information Security and Privacy 9 (1): 26–46. 2015.

 

Woltjer, R. Workarounds and Trade-offs in Information Security – an Exploratory Study. Information and Computer Security. 2017.

 

Hallberg, J., Bengtsson, J., Hallberg, N., Karlzén, H., Sommestad, T. The Significance of Information Security Risk Assessments—Exploring the Consensus of Raters’ Perceptions of Probability and Severity. The International Conference on Security and Management. pp. 131–137. 2017.

 

Sommestad, T., Karlzén, H. and Hallberg, J. The Theory of Planned Behavior and Information Security Policy Compliance. Journal of Computer Information Systems. Taylor & Francis, pp. 1–10. 2017.

 

Hallberg J. Förord. I Hallberg J, Johansson P, Karlsson F, Lundberg F, Lundgren B, Törner M: Informationssäkerhet och organisationskultur. Studentlitteratur, Lund. 2017.

 

Sommestad T, Hallberg J, Karlzén H. Varför följer användarna inte bestämmelserna? I Hallberg J, Johansson P, Karlsson F, Lundberg F, Lundgren B, Törner M: Informationssäkerhet och organisationskultur. Studentlitteratur, Lund. 2017.