Mänskliga aspekter av informationssäkerhet

Värdekonflikter i informationssäkerhet

Vi forskar om hur motstridiga prioriteringar, dvs, mål och värderingar, i medarbetarnas dagliga arbete påverkar beslut om informationssäkerhet. Vår forskning har visat att organisationers olika ledningssystem, där ledningssystem för informationssäkerhet är ett, belönar olika mål. Det innebär att medarbetarna måste prioritera mellan olika mål på grund av hur ledningen har utformat dessa system och hur väl de är anpassade till varandra. Det innebär också att vissa av målkonflikterna – inte alla – kan undanröjas genom att omforma ledningssystemen och hur de operationaliseras som rutiner. För att identifiera denna typ av målkonflikter i organisationer har vi bland annat utvecklat en metod och ett datorstöd (hittills en prototyp) för att identifiera dem.

Huvudpublikationer

Karlsson, F., & Hedström, K. (2008, December 13, 2008). Exploring the conceptual structure of security rationale AIS SIGSEC Workshop on Information Security & Privacy, WISP 2008, Paris, France. Fulltext

Hedström, K., Kolkowska, E., Karlsson, F., & Allen, J. P. (2011). Value conflicts for information security management. Journal of Strategic Information Systems, 20(4), 373-384. doi.org/10.1016/j.jsis.2011.06.001

Kolkowska, E., Karlsson, F., & Hedström, K. (2017). Towards analysing the rationale of information security noncompliance: Devising a Value-Based Compliance analysis method. Journal of Strategic Information Systems, 26(1), 39-57. doi.org/10.1016/j.jsis.2016.08.005

Karlsson, F., Kolkowska, E., & Petersson, J. (2022). Information Security Policy Compliance - Eliciting Requirements for a Computerized Software to support Value-Based Compliance Analysis. Computers & Security, 114(March 2022), Paper 102578. doi.org/10.1016/j.cose.2021.102578

Informationssäkerhetskultur

Vi forskar om informationssäkerhetskultur i olika sammanhang och har gjort det i mer än tio år. En betydande del av denna forskning har bedrivits inom ramen för två nationella forskningsprogram: SECURIT och ISKIP. Forskningen har omfattat studier i olika sammanhang, till exempel inom organisationer och utveckling av standarder för informationssäkerhet.

Huvudpublikationer

Andersson, A., Hedström, K., & Karlsson, F. (2022). Standardizing information security – a structurational analysis. Information & Management, 59(3), Article 103623. doi.org/10.1016/j.im.2022.103623

Andersson, A., Karlsson, F., & Hedström K. (2020) Consensus versus warfare –unveiling discourses in de jure information security standard development. Computers & Security, Article 102035. doi.org/10.1016/j.cose.2020.102035

Karlsson, F., Åström, J., & Karlsson, M. (2015). Information security culture – state-of-the-art review between 2000 and 2013. Information Management & Computer Security, 23(3), 246-285. doi.org/10.1108/ICS-05-2014-0033

Karlsson, M., Karlsson, F., Åström, J., & Denk, T. (2022). The effect of perceived organizational culture on employees’ information security compliance. Information & Computer Security, 30(3), 382-401. doi.org/10.1108/ICS-06-2021-0073

Design av informationssäkerhetsriktlinjer

Vi forskar om olika sätt att förbättra utformningen av informationssäkerhetsriktlinjer som används i organisationer för att vägleda anställda i deras dagliga arbete. En viktig orsak till att anställda inte följer informationssäkerhetsriktlinjer är att de är dåligt utformade. Idag är många informationssäkerhetsriktlinjer svåra att följa, inkonsekventa, ofullständiga eller till och med i konflikt med organisationens kärnuppgifter. Under de senaste åren har vi utvecklat en programvara, POLCO, som gör det möjligt att skräddarsy informationssäkerhetsriktlinjer för olika roller i organisationerna, vilket innebär att man går ifrån en universallösning och endast presenterar de delar som är relevanta för varje roll. För närvarande arbetar vi med hur man kan använda stora språkmodeller för att hjälpa informationssäkerhetschefer att förbättra innehållet när de skriver riktlinjer.

Huvudpublikationer

Karlsson, F., Hedström, K., & Goldkuhl, G. (2017). Practice-based discourse analysis of information security policies. Computers & Security, 67(June 2017), 267-279.  doi.org/10.1016/j.cose.2016.12.012

Rostami, E., & Karlsson, F. (2024). Qualitative Content Analysis of Actionable Advice in Information Security Policies – Introducing the Keyword Loss of Specificity Metric. Information & Computer Security, 32(4), 492-508. doi.org/10.1108/ICS-10-2023-0187

Rostami, E., Karlsson, F., & Gao, S. (2020). Requirements for computerized tools to design information security policies. Computers & Security, 99(December 2020), Article number 102063. doi.org/10.1016/j.cose.2020.102063

Rostami, E., Karlsson, F., & Shang, G. (2023). Policy components - a conceptual model for modularizing and tailoring of information security policies. Information & Computer Security, 31(3), 331-352. doi.org/10.1108/ICS-10-2022-0160

Efterlevnad av informationssäkerhet

Vi forskar om anställdas efterlevnad av informationssäkerhetsregler i organisationer, vilket är ett klassiskt område inom forskningen om mänskliga aspekter av informationssäkerhet. Vår forskning inom detta område är nära kopplad till vår forskning om värdekonflikter, eftersom det är en av orsakerna till att anställda inte följer reglerna. Vi forskar också om olika instrument för att undersöka anställdas bristande efterlevnad, vilket är viktigt både för praktiker och forskare.

Huvudpublikationer

Hedström, K., Karlsson, F., & Kolkowska, E. (2013). Social action theory for understanding information security non-compliance in hospitals: The importance of user rationale. Information Management & Computer Security, 21(4), 266-287. doi.org/10.1108/IMCS-08-2012-0043

Karlsson, F., Karlsson, M., & Åström, J. (2017). Measuring employees’ compliance – the importance of value pluralism. Information & Computer Security, 25(3), 279-299. doi.org/10.1108/ICS-11-2016-0084

Gerdin, M., Kolkowska, E., & Grönlund, Å. (2024). What goes around comes around: an in-depth analysis of how respondents interpret ISP non-/compliance questionnaire items. Information & Computer Security, 32(4), 459-476. doi.org/10.1108/ICS-12-2023-0240

Gerdin, M., Grönlund, Å., & Kolkowska, E. (2025). Conceptual Inconsistencies in Variable Definitions and Measurement Items within ISP Non-/compliance Research: A systematic literature review. Computers & Security, 152(May 2025), Article 104365. doi.org/10.1016/j.cose.2025.104365

Cybersäkerhet och medborgare

Vi forskar om olika sätt att öka medborgarnas medvetenhet om cyberssäkerhet. Detta arbete är kopplat till vår forskning om utformning av informationssäkerhetsriktliner. Samma programvara som utvecklades för att utforma skräddarsydda policyer för anställda i organisationer (POLCO) kan fungera som grund och vidareutvecklas för att skapa informationssäkerhetsriktlinjer för olika medborgargrupper, i syfte att öka deras medvetenhet när de använder onlinetjänster. För närvarande forskar vi om hur dessa riktlinjer kan skräddarsys utifrån olika medborgargruppers egenskaper för att göra riktlinjerna mer relevanta för dem.

Huvudpublikationer

Rostami, E., Hanif, M., Karlsson, F., & Gao, S. (2025). Defining Actionable Advice in Information Security Policies-Guiding Employees to Strengthen Digital Sovereignty of Organizations. Procedia Computer Science, 254, 30-38. doi.org/10.1016/j.procs.2025.02.061

Informationsdelning mellan organisationer

Vi forskar om informationsdelning mellan organisationer, vilket är nära kopplat till informationssäkerhet. Informationsdelning mellan organisationer är den process där flera organisationer utbyter data, kunskap eller information. Sådana processer är beroende av harmonisering av de ramverk för informationssäkerhet som används i de samarbetande organisationerna.

Huvudpublikationer

Karlsson, F., Frostenson, M., Prenkert, F., Kolkowska, E., & Helin, S. (2017). Inter-organisational information sharing in the public sector: A longitudinal case study on the reshaping of success factors. Government Information Quarterly, 34(4), 567-577. doi.org/10.1016/j.giq.2017.10.007

Karlsson, F., Hedström, K., Frostenson, M., Prenkert, F., Kolkowska, E., & Helin, S. (2021). Attempts to share information between public sector organisations over time: A case-based exploration of value conflicts. Information Polity, 26(3), 289-310. doi.org/10.3233/IP-200234

Karlsson, F., Kolkowska, E., & Prenkert, F. (2016). Inter-organisational information security: a systematic literature review. Information and Computer Security, 24(5), 418-451. doi.org/10.1108/ICS-11-2016-091