Förberedelse av intervjuer - Val av forskningsansats

3.1 Val av forskningsansats

3.4.1 Förberedelse av intervjuer

Jensen och Sandström (2016) menar att det finns en stor bredd av olika typer av datainsamlingsmetoder för fallstudier, men sammanfattar dem som observation, intervju och dokument. Eftersom studien använder sig av en kvalitativ forskningsmetod och har som syfte att skapa en djupgående förståelse för hur banker arbetar med styrning för att öka cybersäkerheten anser vi det lämpligt att tillämpa intervju som datainsamlingsmetod. Enligt Yin (2007) finns det olika typer av intervjumetodik men den vanligaste formen av intervjuer under fallstudier är av öppen karaktär, vilket innebär att man under intervjutillfället har möjlighet att fråga respondenterna om både fakta och deras åsikter. Yin (2007) förklarar att detta kan göras med hjälp av så kallade semistrukturerade intervjuer, vilket vi i denna studie har använt oss av.

Semistrukturerade intervjuer innebär att man med hjälp av en intervjuguide har sammanställt frågor på förhand, men att ordningsföljden sedan anpassas utifrån hur intervjun struktureras av intervjupersonen (Denscombe, 2016). Enligt Bryman och Bell (2017) karaktäriseras en semistrukturerad intervju av att intervjuaren ställer frågor som respondenten har möjlighet att svara fritt på. Detta har vi varit noga med under intervjutillfällena och har därför inte ställt allt för förberedda och strikta frågor utan snarare försökt låta respektive respondent leda samtalet. Vi har enligt Denscombe (2016) förberett en intervjuguide innan samtliga intervjuer genomförts, som vi sedan haft som grund för att hålla oss till forskningsämnet och hålla en röd tråd (Yin, 2007). Vi har utifrån de svar vi erhållit ställt följdfrågor vilket ställt krav på oss att kunna vara flexibla under intervjutillfället. Genom semistrukturerade intervjuer gav vi respondenterna utrymme att förklara hur de ser på ämnet samt för att ta upp delar som personen anser är viktiga att berätta om.

3.4.1.1 Intervjuguide

Enligt Bryman och Bell (2017) kan en intervjuguide förklaras som ett mindre strikt intervjuschema som intervjuaren kan använda som hjälpmedel under intervjutillfället. En intervjuguide består av frågor som intervjuaren vill få besvarade. Med hjälp av vårt teoretiska ramverk har vi skrivit upp frågor som vi anser är viktiga att ställa för att kunna besvara våra frågeställningar och relatera till studiens syfte. Det är dessutom viktigt att ha vetskap om vilken förkunskap som innehas av intervjupersonen för att man ska kunna få tillförlitliga svar (Bryman & Bell, 2017). Bryman och Bell (2017) förklarar vidare att bakgrundsfrågor är viktiga att ställa för att de djupgående frågorna i sin kontext mot det specifika forskningsämnet ska bli förstådda på rätt sätt. Under kapitel 8. Bilagor, i bilaga 1 och 2, finns de intervjuguider som vi har utformat och som tabellerna visar inleds respektive intervju med att ställa bakgrundsfrågor för att skapa en bekväm miljö för intervjupersonen. Innan vi skickade ut intervjuguiden till respondenterna har vi rådfrågat vår handledare om de frågor som utformats, för att säkerställa att de ger oss hjälp att besvara studiens syfte.

Anledningen till att vi har valt att utforma två intervjuguider beror på att vi fått möjlighet att intervjua anställda med olika befattningar. Intervjuguide som återfinns i bilaga 1 har skickats till intervjupersonerna A, B, C och D medan bilaga 2 har skickats till intervjupersonerna E och F. Eftersom en intervjuguide kan ses som en mall har vi under respektive intervjutillfälle lagt till frågor som vi i stunden har ansetts vara relevant att få svar på. Detta kan till exempel vara följdfrågor till de redan tillskrivna frågor som finns med i intervjuguiderna. Gällande intervjuperson F var personen tydlig med att dennes arbetsuppgifter inte specifikt är kopplade till cybersäkerhet utan att personens huvudsakliga arbetsuppgift är kopplat till HR och utbildning, vilket är anledningen till att vi exempelvis valde att inte fråga om standarder som specifikt kretsar kring cybersäkerhet.

I samband med att intervjutillfället fastställdes skickades intervjuguiden till respondenten via mail så att personen skulle kunna vara förberedd på våra frågor. Detta gjorde vi för att säkerställa att personen skulle känna sig bekväm med frågorna som planerades ställa samt att intervjupersonen gavs möjlighet att fundera över vilka svar som denne önskade ge oss, detta för att spara tid samt generera förhoppningsvis djupgående och genomtänkta svar. I intervjuguiden förklaras också vad begreppen formella och informella styrmedel syftar till.

3.4.2 Urval

Vid val av intervjuobjekt har vi haft som önskan att få kontakt med högt uppsatta personer som arbetar med säkerhetsfrågor inom banksektorn. Detta då vi har gjort bedömningen att dessa bör ha en bättre förståelse för cybersäkerhet samt på vilket sätt företaget använder styrmedel på. Mer specifikt har vi initialt sökt efter personer som har en CISO roll, där personen i fråga har en chefs- eller ansvarsroll över IT- och informationssäkerhet. Vi bedömer att dessa personer har en uppfattning om hur organisationen i fråga arbetar med cybersäkerhet och styrning. Detta beskriver Bryman och Bell (2017) som ett målstyrt urval, vilket är lämpligt om man har valt en kvalitativ forskningsmetod. Detta innebär att urvalet av deltagare väljs i relation till studiens syfte och dess forskningsfrågor (ibid).

Inledningsvis tog vi kontakt med lämpliga personer för att förklara vår studie samt hur deras medverkan som respondent kan bidra till studien. Denna kontakt gjordes lämpligast via e- mail alternativt telefon. Då vi har ett kontaktnät inom många banker valde vi till en början att använda oss av dessa privata kontakter för att finna deltagare till studien samt möjliggöra att uppnå ett högre antal respondenter. Detta kan enligt Bryman och Bell (2017) beskrivas som ett bekvämlighetsurval. Anledningen till att vi valde att börja med ett bekvämlighetsurval berodde på att vi ville komma i kontakt med fler respondenter än vi förmodligen hade gjort om vi uteslutande hade kontaktat personer utanför vårt kontaktnät. Som tidigare nämnt kontaktade vi även diverse personer med CISO-roller inom bank via LinkedIn, vilket kan ses som ett målstyrt urval (ibid).

Under processens gång insåg vi att personer som har en HR-roll kan verka som ett bra komplement för att ge ett djupare perspektiv på utbildningsfrågorna. Den redan insamlade empirin från respondenterna A, B, C och D gav en väldigt gedigen inblick i bankens formella styrmedel, men att vi gärna ville ha en djupare inblick i bankens informella styrmedel och då framför allt utbildning. Vi kontaktade därför våra tidigare respondenter för att få hjälp med att komma i kontakt med personer i deras bank som arbetar med närmare utbildningsfrågor kopplat till cybersäkerhet. I två av fallen fick vi då hjälp att finna ytterligare respondenter. Precis som innan, kan detta tolkas vara både ett målstyrt urval och ett bekvämlighetsurval då vi sökte kontakt genom redan befintliga källor (Bryman & Bell, 2017).

Vi har tyvärr upplevt svårigheter vid insamling av empirin, framför allt då det har varit svårt att få personer att svara både via mail och LinkedIn. Störst framgång upplevde vi när vi fick hjälp av redan befintliga kontakter inom bankerna, som i samtliga fall har kunnat rekommendera oss personer inom sin organisation som vi vidare fått ta kontakt med. Utöver detta fick vi kontakt med många personer där allt tydde på att vi hade respondenter som var intresserade av att delta i studien, men som tyvärr slutade svara på våra mail eller meddelanden. Det fanns även fall då personer som initialt var intresserade av att delta avböjde när intervjuguiden skickades, då dessa ansåg att de ej hade tillräcklig kunskap inom ämnet för att kunna bidra till studien.

3.4.2.1 Presentation av respondenteerna

I denna uppsats har vi intervjuat sex olika respondenter som jobbar inom bank - mer specifikt och utan inbördes ordning Handelsbanken, Nordea, Resurs Bank och SEB. Med tanke på den anonymitet som utlovats respondenterna kommer de inte namnges, och det kommer inte heller specificeras vad som görs på respektive bank.

Respondent Befattning Datum Tidslängd Transkriberad

A Head of Information Security 2021-04-08 32:51 Ja B Information Security Officer 2021-04-08 57:18 Ja C Chief Business Risk Manager 2021-04-12 46:58 Ja D Group Security Chief Architect 2021-04-14 85:00 Ja E Senior Information Security

Officer 2021-05-05 74:40 Ja

F Group HR Learning and

Development 2021-05-19 47:15 Ja

Tabell 1. Sammanfattning intervjuer

Person A - Head of Information Security.

Person A, vidare benämnd som A, beskriver sig ha en lång och bred erfarenhet inom säkerhet. Efter att ha arbetat 12 år inom den offentliga sektorn som säkerhetschef valde A att börja arbeta med informationssäkerhet inom den privata sektorn. Efter ungefär 3 år inom den privata sektorn har A arbetat både som seniorkonsult, konsultchef och regionchef inom informationssäkerhet och rollerna har inneburit stort ansvar. Sedan 1 mars 2021 har A arbetat som Head of Information Security inom banken. Denna roll innebär att A ansvarar och leder IT och informationssäkerhetsarbetet, med huvudansvar för regelefterlevnad.

31 Person B - Information Security Officer.

Person B, vidare benämnd som B, har arbetat inom banken i drygt 30 år och har under åren haft olika arbetsuppgifter, främst internt där B arbetade med utvecklingen av både interna och externa produkter och tjänster. Sedan ungefär 7 år har B arbetat med bankens informationssäkerhet. När B började arbeta inom informationssäkerhet var B ansvarig för bankens metod för att analysera system, efter några år arbetade B med ICT-regelverket och har även varit med och utvecklat bankens ISO-certifiering “ISO 27001”, och idag har B huvudansvar för all utbildning i dem delar där informationssäkerhet ingår.

Person C - Chief Business Risk Manager.

Person C, vidare benämnd som C, har arbetat inom banken i 45 år där C främst har arbetat med uppgifter som kretsar kring värdepapper, mäkleri samt haft rollen som administrativ chef för denna typ av verksamhet. För ungefär 20 år sedan utvecklades regelefterlevnad och efter att ha arbetat med detta i ungefär 10–12 år började C arbeta inom Risk Management, där C idag sitter med i ledningen för Wealth Management som är den enhet i banken som betjänar de kunder som har mest kapital. I denna roll arbetar C bland annat med riskfrågor, där regelefterlevnad ses som en utav de största riskerna. C har även varit delaktig i den nya svenska säkerhetslagen för företagets del, där C arbetat med hur denna lag ska implementeras i bankens verksamheter.

Person D - Group Security Chief Architect.

Person D, vidare benämnd som D, har arbetat mer än 10 år på banken, främst som Enterprise Architect CIO där D har certifiering inom den disciplinen. Innan D blev anställd hos företaget arbetade D som konsult i några år och D förstod tidigt att det måste finnas en infrastruktur kopplat till data, processer, information och säkerhet. För ett år sedan började D arbeta inom Group Security and Cyber Defense och i rollen arbetar D med att driva den strategiska förändringsresan framåt med fokus på uppföljning och förbättringar inom cybersäkerheten. D arbetar med frågor som fokuserar på hur man gör cybersäkerhet mer begriplig och hur den kan inkluderas i det dagliga arbetet.

Person E - Senior Information Security Officer.

Person E, hädanefter kallad E, har arbetat inom bankbranschen i 41 år med väldigt bred erfarenhet då E har arbetat både i olika supportfunktioner och inom kärnverksamheten. E har exempelvis arbetat som kundansvarig, med administration samt med ledarutveckling. Sedan 10 år tillbaka arbetar E med säkerhetsfrågor, och de senaste 5 åren har E främst arbetat med utbildning och awareness inom informationssäkerhet. E sammanfattar sin erfarenhet med att förklara att han har arbetat halva sin karriär i chefsbefattningar och den andra hälften i specialistbefattningar. Idag arbetar personen med medvetandehöjande utbildningar för att uppnå förbättrat informationssäkerhetsbeteende hos samtliga anställda.

Person F - Group HR Learning and Development.

Person F, fortsättningsvis kallad F, har arbetat inom banken i 20 år och har utbildningsbakgrund inom både ekonomi och psykologi. I början av sin karriär på banken arbetade F som sommarvikarie, då framför allt med privat- och företagskunder. Senare började F arbeta med fastighetsfinansiering och började några år senare på den regionala personalavdelningen. Idag arbetar F på den centrala personalavdelningen, framför allt med digitaliseringen av lärande. F arbetar även med att stötta funktionsägare där cybersäkerhet ses som en av många funktioner. Sedan två år tillbaka stöttar F exempelvis bankens säkerhetsgrupp med deras awareness-arbete.

In document Cybersäkerhet - Att stärka den svaga länken : En flerfallsstudie om hur formella och informella styrmedel förebygger interna cyberhot i banksektorn (Page 39-44)