Informationssäkerhetskultur i praktiken

Informationstillgångar är centrala för dagens organisationer – inom både den privata och den offentliga sektorn. Behovet av att skydda dessa tillgångar är därför stort. Det har visat sig att informationssäkerhet inte enbart förlitar sig på tekniska och administrativa strukturer i organisationen. Det är också viktigt att fundera över hur anställda tänker kring informationssäkerhet och att arbeta med en ändamålsenlig informationssäkerhetskultur. För att kunna utveckla en ändamålsenlig informationssäkerhetskultur behövs dock arbetssätt och verktyg för att mäta och identifiera förändringsbehov i informationssäkerhetsarbetet.

Organisationer har ofta flera ledningssystem som styr de anställdas arbete. Ledningssystem för informationssäkerhet är sällan det enda anställda behöver förhålla sig till. Det uppstår därför målkonflikter mellan olika instruktioner till anställda, där anställda sätts i situationer där de måste prioritera. Syftet med projektet är att utveckla och utvärdera användningen av ett IT-system för att identifiera mål- och värdekonflikter inom existerande informationssäkerhetskulturer. IT-systemet byggs med grund i en tidigare utveckla metod vid Örebro universitet, Value-Based Compliance-metoden, för att identifiera och analysera mål- och värdekonflikter kring informationssäkerhet.

Det utvecklade IT-system kommer bestå av två moduler:
1. En modul där data kring arbete med informationssäkerhet samlas in genom intervjuer och observationer för att identifiera mål- och värdekonflikter i en arbetsgrupp.
2. En modul där data samlas in genom en organisationsspecifik enkät som utvecklats baserat på analysen i (1). Enkäten kan användas för att undersöka en större del av organisationen (eller hela organisationen) för att mäta förekomsten av mål- och värdekonflikter inom organisationen. Den utformade enkäten kan användas flera gånger för att återkommande undersöka förekomsten av mål- och värdekonflikter kring informationssäkerhet.

I projektet ingår att utvecklingsarbetet med IT-systemet sker parallellt med audits i organisationer där delar av IT-systemet och den bakomliggande Value-Based Compliance-metoden används.

Projektet startade i februari 2019 och beräknas vara slut i december 2023. Projektet ingår som en del i det nationella forskningsprogrammet Informationssäkerhetskultur i praktiken. I forskningsprogrammet ingår Totalförsvaret försvarets forskningsinstitut (FOI), Göteborgs universitet och Örebro universitet. Forskningsprogrammet bygger vidare på det tidigare forskningsprogrammet SECURIT.