5.2.1 Formella styrmedel
När vi i denna studie har frågat respondenterna en öppen fråga om hur de arbetar för att stärka cybersäkerheten i företaget nämns regler i samtliga fall nästan omedelbart, då många respondenter förklarat att banken är en oerhört regelstyrd verksamhet. Doherty et al. (2009) menar att säkerhetsregler är grundläggande när man hanterar informationssäkerhet, vilket skulle kunna förklara varför respondenterna har en så stor anknytning till just regler. En annan anledning skulle kunna vara just att banker har yttre krav från exempelvis Finansinspektionen (2018) att säkerställa godtyckligt arbetsutförande genom regelefterlevnad, vilket vi misstänker skulle kunna göra att det automatiskt förknippas direkt med cybersäkerhet.
57
Däremot har inte standarder nämnts av någon respondent vid första anblick, vilket skulle kunna tyda på att standarder inte uppfattas som den viktigaste delen av säkerhetsarbetet i banker. När vi ställer en specifik fråga om hur bankerna arbetar med standarder medger dock många respondenter att arbetet med standarder är en självklar del av säkerhetsarbetet (Person A; Person B; Person C; Person D). Orsaken till att standarder inte tas upp spontant av respondenterna skulle därmed kunna bero på att arbetet med standarder är så självklart och ofta obligatoriskt för banker vilket gör att det helt enkelt inte reflekteras över i större utsträckning. Samtidigt nämner flertalet respondenter att standarder följs framför allt som ett stöd i utformningen av företagets egna regler och policys, vilket även tidigare forskning menat är det korrekta sättet att använda standarder på (Höne & Eloff, 2002).
Eftersom banker inte har möjlighet att utforma sin verksamhet hur som helst skulle en förklaring på respondenternas svar även kunna vara att respondenterna har tolkat frågan utifrån ett perspektiv om vad de faktiskt kan välja att göra själva som en del av deras arbete, varav policys och regelverk är styrmedel som banker just har möjlighet att utforma själva, men detta gäller inte för standarder (Höne & Eloff, 2002).
5.2.1.1 En standard att använda standarder?
Trots att vi har kunnat se att samtliga fall använder standarder, så har synen på standarder kunnat ses variera något. A ser standarder som ett starkt hjälpmedel vad gäller stärkandet av informationssäkerhet, medan B lyfter upp den potentiella problematiken i att standarder ibland kan vara svåra att tolka och förstå. Det resonemang som B för är i linje med vad Collier et al. (2014) lyfter för problematik, då de menar att standarder erbjuder lite förklaring om hur företag praktiskt ska införa lämpliga strategier. Även E menar att inte anställda har koll på vilka standarder banken följer, utan menar att det finns särskilda grupper som arbetar med att tolka standarder. Höne och Eloff (2002) menar också att standarder inte är heltäckande utan att de snarare behandlar de processer som är nödvändiga för att implementera en policy. Därför har teori diskuterat att standarder snarare bör användas som riktlinjer när företag utformar sina egna säkerhetsregler (Collier et al., 2014; Höne & Eloff, 2002). Att banker idag har en liknande syn på standarder och hur de ska användas i säkerhetsarbetet tyder därför på att det finns en djup och enhetlig förståelse för standarder inom banker, och att budskapet med standarder nått ut på ett lämpligt sätt.
D berättar likt övriga respondenter att dess bank använder standarder vid utformandet av bankens egna regelverk, men förklarar att dennes arbetsgivare inte är certifierade inom alla standarder. Däremot utövas standarder i bankens policys, instruktioner och kontrollsätt som sedan kan mätas och följas upp. Resterande respondenter lyfter dock inte aspekten med certifieringar mot standarder, varpå vi gör antagandet att ett liknande tankesätt som D har kan existera i andra banker.
58
Å ena sidan menar Collier et al. (2014) att standarder framför allt bör ses som riktlinjer, vilket är i enlighet med D:s resonemang. Å andra sidan menar Swedish Standards Institute (2021b) att certifieringar mot standarder bekräftar att säkerhetsarbetet upprätthåller en kvalitetsförankrad nivå vilket kan ge en förtroendeingivande bild av företaget. Huruvida certifieringar inom standarder är något som faktiskt tillför ökat kundförtroende och således ökad lönsamhet är dock inte bekräftat, men här menar vi att banker ytterligare skulle kunna undersöka huruvida certifieringar mot standarder är något som är nödvändigt.
5.2.1.2 Regler
Som konstaterats har regler kunnat ses ha en väsentlig roll i stärkandet av cybersäkerhet inom banker idag enligt studiens respondenter. Höne och Eloff (2002) menar att den viktigaste rollen säkerhetsregler har är att göra det tydligt för anställda vad de har för ansvar när de hanterar företagets information. Detta skulle kunna förklara varför samtliga banker, utöver en obligatorisk utbildning för samtliga anställda, har valt att införa rollspecifika utbildningar om cybersäkerhet, eftersom ansvaret gällande cybersäkerhet ser olika ut beroende på vilken roll i företaget du har. Många respondenter lyfter även att det är viktigt att göra anställda medvetna om bankens säkerhetsregler så tidigt som möjligt efter att de har anställts, vilket är i enlighet med Höne och Eloffs (2002) resonemang om att säkerhetspolicys framför allt ska riktas mot anställda som vanligtvis inte arbetar med informationssäkerhet.
E väljer dock att lyfta fram problematiken med att luta sig allt för mycket mot regelverk och menar att banken som är en väldigt regelstyrd verksamhet även har utvecklat en rädsla för att få sanktioner. B:s resonemang kan tänkas bekräfta detta antagande då B berättar om sanktionerna som banken kan få om det visar sig att banken inte uppfyller de kraven de har på sig. Sanktioner kan leda till försämrat rykte och minskat förtroende hos kunder (Bank for International Settlements, 2015), vilket är något som B nämner. Rädslan för sanktioner har i sin tur resulterat i hård övervakning och leder till att man i vissa fall väljer att prioritera regelverket snarare än att förebygga brott (Person E). Detta kan härledas till det som Merchant och Van der Stede (2017) resonerar kring gällande short-termism, att det kortsiktiga perspektivet att säkerställa att varje regel följs kan missgynna banken långsiktigt, något som då kan bero på att man har prioriterat resurser på fel områden i syfte att säkerställa regelefterlevnad. Trots att det bara är E som lyfter fram denna aspekt, poängterar alla respondenter hur styrda och reglerade bankerna är av Finansinspektionen, något som vi har förstått påverkar säkerhetsarbetet mycket.
Även F och D lyfter komplikationer som skulle kunna vara ett resultat av bankens hårda regelkrav. För hård kontroll kan nämligen leda till att anställda blir mindre motiverade att ta ansvar (Person F), och kan hämma beslutsfattande inom organisationen på grund av rädsla att bryta mot regler (Person D). Eisenhardt och Sull (2001) har lyft fram att regler just inte
59
bör vara för detaljerade, eftersom reglerna då kan bli för strama och snarare begränsande. Gisladottir et al. (2017) menar att för strama regler dessutom leder till att anställda försöker hitta sätt att undgå reglerna. Detta kan förklara varför många respondenter ständigt understryker vikten av att ha enkla regler att följa och förstå, eftersom de likt teorin menar att anställda annars kommer försöka hitta genvägar (Eisenhardt & Sull, 2001). Tydlighet i regler har även nämnts av D som berättar att de försöker vara standardmässiga i sina regelverk just för att vara så tydliga som möjligt, vilket är i enlighet med Merchant och Van der Stedes (2017) resonemang om att det måste vara tydligt för anställda vad som förväntas av dem. Detta skulle man även kunna tolka att Burns och Scapens (2000) uppmuntrar, då de menar att en fördel med regler är att anställda utför handlingar på samma sätt samtidigt som de får ett sammanhang till handlingarna.
5.2.1.3 Att följa eller inte följa bankens regler?
Att regelefterlevnad är viktigt inom banken är något som framgår av samtliga respondenter. För att säkerställa att bankens regler följs pratar många respondenter om uppföljning av reglerna, vilket A menar beror på krav från Finansinspektionen. Detta har visat sig stämma då Finansinspektionen (2020) på sin hemsida skriver just att utvärderingar ska ske minst årligen. Något som även framgår är att styrelsen har det övergripande ansvaret för att riktlinjerna förmedlas, medan chefer sedan ska säkerställa att de anställda följer dessa regler (FI, 2020). Herath och Rao (2009) har diskuterat IT-chefers roll, och menar att dessa ansvarar för att övertyga anställda om att informationssäkerhet är viktigt och att varje individs handlingar gör skillnad i säkerhetsarbetet. Detta har vi sett hos många respondenter som jobbar som IT-chefer, då de har uttryckt att de försöker befinna sig ute i organisationen för att upplysa anställda om vikten av säkerhetsarbetet (Person A; Person B).
På grund av att IT-cheferna inte kan befinna sig på alla platser samtidigt menar dock B att det är viktigt att cheferna på respektive kontor tar sitt ansvar. Chefers roll är något som även Herath och Rao (2009) har lyft som en viktig del för ett bättre säkerhetsarbete. Författarna menar att anställdas vilja att följa regler nämligen kan kopplas till vilka förväntningar de har på sig av sina chefer (ibid). Detta har speglats i respondenternas svar, då många understryker vanliga chefers ansvar. Denna koppling gör exempelvis B, som resonerar att chefen har ett ansvar att vara påläst om bankens regelverk och även ett ansvar att gå igenom behörigheter och uppmärksamma att anställda har tillräcklig utbildning om regelefterlevnad. Trots att individen har ett eget ansvar påpekar många respondenter att anställdas chefer har ett stort ansvar när det kommer till att informera om och följa upp företagets säkerhetsregler. Därför kan vi konstatera att ledarskap är en viktig ingrediens i arbetet med en starkare cybersäkerhet. Särskilt understryker D detta, och menar att ledarskap driver förändring.
60
Enligt Pahnila et al. (2007) är det viktigt att lättillgänglig information om regler finns på plats och att det även finns support om anställda har problem eller frågor rörande reglerna. I denna studie har det framgått att samtliga banker använder sig av ett intranät där det just går att hitta lättillgänglig information, men synen på användandet skiljer sig. A menar att intranätet kan fungera som ett bra stöd, och både B, C och D förklarar exempelvis att de arbetar mycket med att publicera artiklar på sitt intranät i utbildande syfte om vad som är viktigt just nu i företaget. C lyfter dock problematiken kring intranätets storlek, då C menar att intranätet är så pass stort och omfattande att det kan vara svårt att navigera sig fram. C påpekar dock att all information finns där. D menar vidare att bland annat policys och instruktioner går att hitta på intranätet, men förklarar att det inte är optimalt att hänvisa anställda allt för mycket till intranätet. D menar istället att chefer bär på ett stort ansvar i att informera och ge sina anställda exempel, vilket kopplar an till ovan diskussion om chefernas roll.
Vad gäller uppföljning medger samtliga respondenter att det görs minst en gång per år, men vi har även kunnat se att det i flera fall sker betydligt oftare än så. Person A berättar att deras bank har uppföljning en gång i kvartalet och C förklarar att uppföljning sker minst en gång per år. B berättar att regelverket som dennes bank använder sig av uppdateras i samband med att standarden de följer uppdateras, vilket är vartannat år. Oavsett hur ofta reglerna faktiskt uppdateras framkommer det att de flesta bankerna åtminstone har en årlig utvärdering av hur de fungerar, vilket enligt Finansinspektionen (2018) är ett krav. D framhäver dock att reglerna uppdateras betydligt oftare på senare tid, då både hotaktörer och hotlandskapet kräver detta.
5.2.1.4 Hur påverkar man anställdas säkerhetsarbete?
Något som samtliga respondenter nämner är vikten av medvetenhet, awareness, vilket de menar innebär att anställda ska vara medvetna om sitt agerande och de risker som de innebär (Person A; Person B; Person C; Person D). Anledningen till att så många respondenter lyfter vikten av medvetenhet skulle kunna grundas i resonemanget som Wall et al. (2015) för, då de menar att anställdas vilja att följa säkerhetsregler påverkas av hur anställda uppfattar risken att bryta mot reglerna. Med andra ord, om anställda inte är medvetna om risken av deras handlingar kommer säkerhetsarbetet försvagas. Lawton (1998) menar att en annan bakomliggande orsak till när regler bryts kan bero på att anställda vill slutföra sin uppgift på ett så snabbt och effektivt sätt som möjligt att de, som konsekvens, blir oaktsamma i sitt arbete. B styrker detta och menar att om man försöker hitta genvägar för att färdigställa sin arbetsuppgift snabbare finns det en stor risk att det blir fel, vilket även C bekräftar.
Vid frågan om hur företagen arbetar för att uppmuntra anställda till rätt beteende är det tydligt att utbildning ses som en viktig del för att göra anställda medvetna om vikten av
61
reglerna. Pahnila et al. (2007) menar dock att anställda inte bara behöver vara medveten om reglerna och riskerna, de måste även vara motiverade att vilja följa reglerna. A nämner att det är viktigt att personer som likt A har en roll inom säkerhet tar en konsultativ roll och är hjälpsam mot sina medarbetare. Detta är något som Panhila et al. (2017) lyfter som en viktig del i att motivera anställda, där chefer har en viktig roll i att göra säkerhetsregler till en naturlig del av anställdas vardag. Vi kan konstatera att detta görs, då både A och B berättar om vikten av att finnas ute och synas i sin bank, samtidigt som det är viktigt att inte jobba med att uppmuntra till rätt beteende snarare än att bestraffa folk vid felaktigt agerande. Vidare är det inte någon av våra respondenter som har påpekat att regelefterlevnad direkt belönas, vilket gör att incitamentsystem inte kan antas användas för uppmuntran.
Sannolikheten att bli bestraffad har visat sig ha större påverkan på regelefterlevnad än att införa hårda straff vid regelbrott (Hollinger & Clark, 1983; Kankanhalli et al., 2003). Detta skulle kunna förklara A:s resonemang om att cybersäkerhet främst bör stärkas genom förebyggande åtgärder snarare än att “jobba med pekpinne”. Även D förklarar att banken inte skäller ut personer vid incidenter, utan istället tar fram artiklar till intranätet för att informera övriga anställda om incidenten så att den inte inträffar igen. Herath och Rao (2009) diskuterar att anställda som upplever sannolikheten att bli fångad i större utsträckning kommer följa reglerna, och att det därför är viktigt att regelbrytande bestraffas men även att det finns synliga kontrollmekanismer. E motsäger dock detta och berättar att bestraffning inte har fått spridning i de nordiska länderna på grund av kulturen. Vi har noterat att bestraffning inte har nämnts som ett styrmedel, men några respondenter berättar att bedrägerier av anställda kan resultera i uppsägning - vilket är ett straff. Eftersom Höne och Eloff (2002) understryker vikten av att just regler ska överensstämma med ett företags kultur skulle E:s resonemang om den nationella kulturen kunna förklara varför bankerna inte kunnat ses arbeta med straff av regelbrott i större utsträckning.
62
5.2.2 Informella styrmedel - Utbildning
Ett av de informella styrmedel vi noterat i allra störst utsträckning är utbildning. Det framgår tydligt av samtliga respondenter att bankerna regelbundet genomför utbildningar kopplat till cybersäkerhet, vilket är en obligatorisk åtgärd som Finansinspektionen ställer krav på (FI, 2018). På grund av att allt fler cyberattacker riktas mot banker finns det nämligen ett stort behov av att öka cybersäkerheten och som konsekvens har Finansinspektionen infört krav på årliga säkerhetsutbildningar (FI, 2018). Detta beslut om obligatoriska utbildningar markerar hur viktigt det är med kompetent personal inom cybersäkerhet. Flera respondenter identifierar just människan som den svaga länken, och E förklarar att medarbetare med bristande kunskap högst troligt kommer utgöra ett hot mot organisationens säkerhet. För att motverka denna risk krävs det att anställda har förståelse för hur säkerheten ska upprätthållas (Furnell och Vasileiou, 2017).
Både A och C är tydliga med att framföra att om anställda inte genomför de obligatoriska utbildningarna kommer de få en påminnelse. C berättar vidare att det dessutom kan bli disciplinära åtgärder, i form av straff, om utbildningarna inte genomförs. Detta kan enligt Söderströms (2018) resonemang tolkas som en rimlig konsekvens. Söderström (2008) förklarar nämligen att kunskap kan ses som en konkurrensfördel och om banker väljer att investera resurser i att öka anställdas kompetens kommer det leda till större konkurrenskraft. Om personalen inte genomför träningsprogrammen kan det resultera i bristande kunskap vilket försämrar arbetsutförandet (ibid). B lyfter vidare fram att kunder förutsätter att det är säkert på banken och därför är det oerhört viktigt att alla medarbetare är medvetna om de risker som finns. Med detta kan vi konstatera att kompetent personal ses som en konkurrensfördel utifrån Söderströms (2018) resonemang, vilket är avgörande för bankers överlevnad på marknaden då banker lever på nöjda kunder (Person B).
Många respondenter har berättat att det dessutom finns frivilliga utbildningar inom banken som anställda själva kan välja att gå, och D berättar särskilt om att dess bank har skapat ett eget campus med interna utbildningar. Gör man interna utbildningar och certifierar sig inom dem kan man få belöningar i form av större ansvar eller lönepåslag (Person E). Att banker gör detta skulle kunna tänka sig bero på Ohlssons (2008) resonemang om att ett företags anställda är dess största framgångsfaktor och en bra arbetsplats måste därför säkerställa att medarbetare får möjlighet till kompetensutveckling då det skapar nöjdhet och trivsel hos medarbetarna. Användningen av både obligatoriska utbildningar för hela organisationen samt rollspecifika utbildningar kan även tänka sig grundas i Luburics (2006) resonemang om att ökad cybersäkerhet kräver att man minskar de interna cyberhoten genom att förse medarbetarna med rätt verktyg, vilket många respondenter menar varierar beroende på ens roll.
63
5.2.2.1 Hur ökar banker anställdas medvetenhet om cyberhot?
E menar att medvetenhet kring cyberhot i grund och botten handlar om att skydda banken och dess kunder mot hot. Banker behöver skapa medvetenhet hos anställda kopplat till de problem som uppkommer från bristande informationssäkerhet, men banker behöver även uppmuntra anställda att agera på ett säkert sätt (McIlwraith, 2006). Både A, B och E poängterar att de flesta misstag som anställda begår är oavsiktliga och därför är det oerhört viktigt att anställda blir påminda om de rutiner som finns. Vidare menar A, B och C att det finns en problematik i att människor ofta försöker hitta genvägar vilket gör ökad medvetenhet en central del i att skapa förståelse kring varför säkerhetsregler behöver följas. Detta går att koppla till det resonemang som Lawton (1998) för om att regler ibland bryts när anställda är drivna att vilja slutföra sin uppgift. Här blir det därför viktigt säkerhetstänket finns naturligt hos anställda så att de inte försöker hitta genvägar för att förenkla sitt arbete.
För att medarbetare ska utveckla sin kompetens behöver de även känna sig motiverade till att faktiskt vilja lära sig (Wolvén, 2000; Person F), vilket E betonar kan finnas svårigheter i. Faktumet att anställda behöver vara motiverade till att vilja lära sig bygger nämligen inte enbart på individens egna inställning utan McDowell och Saunders (2010) lyfter också fram att chefer och ledare har ett viktigt ansvar att uppmuntra lärandet. Även Finansinspektionen (2018) menar att ledningen och styrelsen i banker har ett ansvar att bidra till att öka anställdas medvetenhet kring cybersäkerhet, vilket kan göras med hjälp av effektiva träningsprogram (FI, 2018; McIlwraith, 2016). Chefens roll inom cybersäkerhet är något som flertalet respondenter har nämnt, och D menar att chefer har ett stort ansvar i att informera sina anställda.
Vidare menar Huang och Pearlson (2019) att ledning och chefer tydligt behöver visa att cybersäkerhet är en av deras prioriteringar och kan med fördel personligen delta i cybersäkerhetsrelaterade aktiviteter. Detta resonemang skulle kunna förklara varför D menar att denne som IT-chef har anpassat sitt beteende för att föregå med gott exempel. Det