Läs mer

Congruence

Organisationer använder en rad olika åtgärder för att kommunicera hur information ska hanteras på ett säkert sätt. Exempel på åtgärder är informationssäkerhetspolicyer, regler, riktlinjer och utbildningsmaterial. För att maximera utfallet av dessa åtgärder är det viktigt att de kommunicerar ett gemensamt och sammanhållet budskap. Om de tillvägagångssätt och målsättningar som kommuniceras innehåller mål som är sinsemellan motstridiga, blir det svårt för den anställde att veta hur hen förväntas agera.

Syftet med projektet Congruence var att bidra med verktyg för hur man kan kommunicera informationssäkerhet på ett gemensamt och sammanhållet sätt. Projektet utgår från två forskningsfrågor:

  • Hur kan man identifiera när olika budskap och mål kring informationssäkerhet kommunicerats?
  • Hur kan ett gemensamt och sammanhållet sätt att kommunicera informationssäkerhet understödjas?

 

Frågorna har undersökts genom fallstudier som inkluderat intervjuer, observationer och innehållsmässiga analyser av informationssäkerhetspolicyer och -regelverk inom svensk sjukvård. Undersökningarna resulterade i en metod för att analysera informationssäkerhet och i riktlinjer för hur informationssäkerhetspolicyer bör designas. Vid brott mot informationssäkerhetsreglerna gör metoden det möjligt att identifiera om sinsemellan motstridiga budskap och mål kring informationssäkerhet kommunicerats. Metoden kan användas för att ta reda om olika ledningssystem i organisationen kommunicerar oförenliga saker till de anställda. Riktlinjerna ger stöd för hur informationssäkerhetspolicyer kan designas för att kommunicera informationssäkerhetspolicyer på ett mer sammanhållet sätt.

 

En framtida forskningsfråga är hur väl de utvecklade riktlinjerna för design av informationssäkerhetspolicyer fungerar i andra miljöer än sjukvård, som är den miljö de skapades för. Det är även intressant att studera om riktlinjerna kan användas vid design av annat informationssäkerhetsmaterial, såsom utbildningsmaterial.

 

Publikationer

Karlsson F, Hedström K, Goldkuhl G (2017) Practice-Based Discourse Analysis of Information Security Policies. Computers & Security, Volume 67, 267-279.

 

Kolkowska, E, Karlsson F, Hedström K (2017) Towards analysing the rationale of information security non-compliance: Devising a Value-Based Compliance analysis method. Journal of Strategic Information Systems, Volume 26, Issue 1, 39-57.

 

Karlsson F, Goldkuhl G, Hedström K. Practice-based Discourse Analysis of InfoSec Policies. In Federatth, H. and Gollmann, D. (Eds.) ICT Systems Security and Privacy Protection - 30th IFIP TC 11 International Conference, SEC 2015, Hamburg, Germany. Springer, Heidelberg, pp. 297-310.

 

Karlsson F, Goldkuhl G, Hedström K (2014) Practice-Based Discourse Analysis of Information Security Policy in Health Care. 11th Scandinavian Workshop on E-government (SWEG 2014), February 4-5, Linköping, Sweden.

 

Hedström K, Karlsson F, Kolkowska E (2017) Utveckling av en praktikanpassad informationssäkerhetspolicy. I Hallberg J, Johansson P, Karlsson F, Lundberg F, Lundgren B, Törner M: Informationssäkerhet och organisationskultur. Studentlitteratur, Lund.


Löfstedt T. (2015) Exploring integrated management systems – challenges and potentials in relation to IT governance, 38th Information Systems Research Seminar in Scandinavia (IRIS38), Oulu, Finland.