Genomförandet av intervjuer - Val av forskningsansats

3.1 Val av forskningsansats

3.4.3 Genomförandet av intervjuer

Eftersom detta är en kvalitativ forskningsstudie är genomförandet av intervjuerna viktig att prioritera. På grund av de restriktioner som råder i Sverige till följd av spridningen av COVID-19 (Folkhälsomyndigheten, 2021) har samtliga intervjuer genomförts digitalt. Vi har använt oss av det digitala hjälpmedlet Microsoft Teams och samtliga intervjupersoner har fått bestämma själva om de ska befinna sig i sitt hem eller på sin arbetsplats. Innan varje intervju har påbörjats har frågan ställts till respondenten om vi får tillåtelse att spela in intervjun, där alla utom en respondent har givit sitt godkännande. För att förhålla oss till dataskyddsförordningen, GDPR, har vi varit tydliga med att det enbart är vi forskare som får ta del av det icke bearbetade materialet och att det inspelade materialet har kommit att raderas efter att transkriberingen genomförts, vilket vi också fått godkännande på. Vi har även valt att låta alla respondenternas svar vara anonyma så att de inte kan kopplas till personen eller dess bank, något vi varit noga med att upplysa dem om.

Enligt Bryman och Bell (2017) är det lämpligt att vara två personer vid intervjutillfället då man kan hjälpas åt med att styra intervjun åt rätt håll och inte tappa bort sig. Vid majoriteten av intervjuerna har båda författarna medverkat, men vid ett intervjutillfälle kunde bara en intervjuare närvara. Innan de intervjutillfällen där båda författarna närvarade bestämdes vem som skulle inleda intervjun och vid vilken fråga som nästa författare skulle ta vid, detta för att minimera risken att avbryta varandra. Följdfrågor har dock ställts gemensamt eftersom vi har genomfört semistrukturerade intervjuer. Efter att de förberedda frågorna ställts fick respektive respondent möjligheten att tillägga information, och vi lät ljudinspelningen fortsätta ifall intervjupersonen skulle nämna information som kan vara relevant data. Detta är något som Bryman och Bell (2017) menar är ett viktigt tillvägagångssätt eftersom intervjupersoner tenderar att känna sig mer avslappnade när intervjun börjar lida mot sitt slut. Datum och tidslängd för intervjuerna finns inskrivna i tabell 1 under rubrik 3.4.2.1 Presentation av respondenterna.

3.5 Bearbetning och analys av insamlade data

Enligt Bryman och Bell (2017) finns det inga tydliga riktlinjer för hur kvalitativa data ska analyseras, men däremot finns det några gemensamma nämnare som ofta återkommer i kvalitativa studier. Inspelning och transkribering av information menar exempelvis Bryman och Bell (2017) är ett viktigt element i kvalitativ forskning. Eftersom en ljudfil ofta innehåller överflödigt material är transkribering en viktig del av en kvalitativ undersökning, eftersom det är mer enkelt och tidseffektivt att söka i ett skriftligt dokument än att behöva lyssna igenom en ljudfil flera gånger (ibid). Intervjuerna bör med fördel skrivas ut i sin helhet, men det kan ta väldigt lång tid (Bryman & Bell, 2017). I denna studie har vi följt detta råd och transkriberat varje enskild intervju så noggrant som möjligt. Trots att det har inneburit en väldigt tidskrävande process så har det underlättat arbetet med empiri och analys i uppsatsen. Det har även gjort det enklare att förstå och tolka intervjusvaren.

För att bekräfta att vi har uppfattat respondenternas uttalanden korrekt har transkriberingarna även mailats till respektive deltagare för att få ett godkännande. Vid transkriberingen tog vi med både huvudfrågorna samt de följdfrågor som ställdes vid vissa frågor. Respondenternas svar på dessa mail adderades även i vårt transkriberingsdokument. Dessutom antecknades vem som närvarade under intervjun, vad dennes roll var, hur lång tid intervjun tog samt övriga intryck, som exempelvis skratt. Vid vissa tillfällen har utfyllnadsord exkluderats för minskad talspråklighet och även för att få en tydligare bild av svaret. Vi har inte fått svar från två respondenter när vi har mailat och frågat om godkännande av transkriberingen. Uteblivna svar tolkar vi som att inga invändningar finns, och att transkriberingen därmed är godkänd.

Efter färdigställandet av transkriberingen började vi strukturera upp empirikapitlet utifrån samma kategorier som använts i både teorikapitlet och som vi även hade delat in intervjuguiden i. Detta kan enligt Bryman och Bell (2017) kallas för en tematisk analys. Dessa kategorier är: cybersäkerhet, formell styrning och informell styrning. Empirin har i sin tur analyserats i två steg. Det första steget har inneburit att analysera empirin utifrån varje teori. Detta för att se om den befintliga teori som vi funnit är relevant, eller om den eventuellt behöver revideras.I det andra steget har vi gjort en jämförelse av varje analyskapitel, detta för att se om det går att dra paralleller eller likheter mellan analyserna. I detta steg har vi fått en djupare inblick i att formella och informella styrmedel tillsammans bidrar till ökad cybersäkerhet. I den bearbetade analysen kommer kopplingen mellan varje analyskapitel att lyftas fram.

3.6 Etiskt förhållningssätt

Bryman och Bell (2017) presenterar två olika krav som måste uppfyllas vid forskning, vilka har legat som grund för genomförandet av denna studie. Dessa krav kallas för

forskningskravet och individskyddskravet.

3.6.1 Forskningskravet

Forskningskravet handlar om att undersökningen måste ha en hög kvalitet samtidigt som studien ska utveckla de redan befintliga kunskaperna inom ämnet (Bryman & Bell, 2017). I denna studie har vi tagit hänsyn till detta krav genom att vid studiens start genomföra en extensiv efterforskning om vilken kunskap som redan existerar inom ämnet och vilka luckor som behöver fyllas. På detta vis har vi minskat risken att genomföra forskning eller upprepa en studie som redan gjorts. Studien har använt sig av tidigare teorier för att kunna utveckla uppsatsens problematisering och frågeställningar, men vid dessa tillfällen har noggrann referering alltid skett, så att det inte ska råda några tvivel om vad denna studie bidrar med kunskapsmässigt.

3.6.2 Individskyddskravet

Individskyddskravet innebär att respondenter ska skyddas från skada och kränkningar. Individskyddskravet består av olika delar, varav denna studie har utgått ifrån följande krav: samtyckeskravet, informationskravet, konfidentialitetskravet och nyttjandekravet (Bryman & Bell, 2017).

Samtyckeskravet innebär att det inte ska finnas någon brist på informerat samtycke av

respondenterna, därför ska respondenter informeras om att deltagandet är frivilligt och att intervjun kan avbrytas samt att alla frågor inte måste besvaras (Bryman & Bell, 2017). Bryman och Bell (2017) menar att detta även innefattar att deltagarna ska få ta del av all information som behövs för att kunna avgöra om de vill delta i undersökningen eller inte. I denna studie har vi tagit hänsyn till samtyckeskravet genom att redogöra för vad uppsatsens syfte är redan vid det första kontakttillfället med respektive respondent, samtidigt som vi har givit respondenterna bakgrundsinformation om varför vi genomför undersökningen och vad de mest centrala begreppen som används innebär. Således har även informationskravet blivit uppfyllt, vilket Bryman och Bell (2017) förklarar som respondenternas rätt till kännedom om studiens syfte och frivillighet av deltagande. Vi har dessutom i god tid, minst en vecka innan varje intervjutillfälle, skickat ut uppsatsens intervjuguide till respektive respondent. Vi har även tillfrågat varje deltagare innan varje intervju om samtycke att spela in intervjuerna för att kunna transkribera dem. Efter samtliga transkriberingar och sammanställning av analysen skickades intervjumaterialet tillbaka till respondenterna. Detta

för att få ett godkännande att materialet fortfarande överensstämde med respondentens uppfattning.

Konfidentialitetskravet handlar om att respondenternas identitet och personuppgifter ska

behandlas på ett konfidentiellt sätt. Detta innefattar respondentens rätt till anonymitet och att ingen obehörig har åtkomst till informationen (Bryman & Bell 2017). Redan vid första kontakten med respektive respondent informerade vi om möjligheten att vara anonym, och efter intervjuerna tog vi kontakt med respondenterna för att fråga huruvida de önskade anonymitet i uppsatsen. Vidare har vi i denna studie använt oss av intervjuer, varav de flesta har spelats in med hjälp av författarnas privata mobiltelefoner. För att uppfylla konfidentialitetskravet frågade vi i samband med intervjun om vi fick tillåtelse att spela in intervjun. Vi var noga med att understryka att informationen behandlas med hög konfidentialitet och att enbart författarna kommer ha tillgång till det inspelade materialet. En av respondenterna gav ej sitt samtycke att spela in intervjun.

Det sista kravet som behandlats i denna studie är nyttjandekravet, vilket enligt Bryman och Bell (2017) innebär att de uppgifter som genererats från undersökningen enbart får användas för att besvara studiens syfte. Vid starten av varje intervju gav vi information om att syftet med inspelningen enbart är för att kunna transkribera intervjun i efterhand, och att inspelningen kommer raderas efter transkribering. Genom att radera det inspelade materialet erbjuds därför respondenterna i denna studie ett informationsskydd (Bryman & Bell, 2017).

3.7 Metodreflektion

3.7.1 Metodkritik

Denna studie har genomförts enligt en kvalitativ metod, genom att samla in data med hjälp av intervjuer. Enligt Denscombe (2016) kan detta tillvägagångssätt innebära nackdelar som behöver tas hänsyn till. Samtliga respondenter arbetar inom bankbranschen vilket innebär att de omfattas av banksekretessen, som gör att de inte kan ge ut vilka uppgifter som helst. Som forskare har vi haft detta i åtanke när vi utformade intervjufrågorna och har till exempel valt att inte ställa för känsliga frågor till respondenterna. Eftersom respondenterna har tydliga riktlinjer från bankens håll om vad som får framföras och inte kan detta ha påverkat deltagarna att inte svara utifrån personliga åsikter, något som vi som forskare dock inte ser som något negativt eftersom vi enbart vill tillhandahålla svar som ger oss information om hur det praktiskt fungerar inom banken.

Fortsättningsvis bestämde vi att en intervjuguide skulle skickas ut till varje respondent innan intervjutillfället, med de frågor som vi önskade få svar på. I studien har en abduktiv ansats använts, vilket inneburit att intervjuguiden till stor del baserats på tidigare forskning och de styrmedel vi funnit intresse av att veta mer om. De övergripande kategorierna i intervjuguiden var; cybersäkerhet, formella styrmedel samt informella styrmedel. De två sistnämnda kategorierna bestod i sin tur av frågor som behandlade ämnena standarder, regler, utbildning och kultur. Valet att skicka ut en bilaga med alla frågor som vi tänkt ställa under intervjutillfället kan ha påverkat utfallet av svaren, eftersom respondenterna har haft tillgång till frågorna och således fått tid till att kunna förbereda sig. Vi inser nämligen att intervjuguiden och dess tydliga kategorisering kan ha påverkat respondenternas svar, och att en intervju utan förberedelse möjligen har kunnat ge mer spontana och trovärdiga svar. Vi menar ändock att detta främst varit en fördel i denna studie, då vi bedömer att detta beslut kan ha medverkat till en djupare diskussion i vissa frågor. En intervjuguide har även efterfrågats av vissa respondenter för att de ifråga skulle få möjlighet att avgöra om frågorna berörde konfidentiell information, varpå en helt öppen intervju förmodligen inte hade varit möjlig att genomföra.

När vi började studien förlitade vi oss mycket på vår egna kontakter och antog att vi skulle få hjälp från dem att hitta respondenter. Däremot visade det sig att det skulle vara svårare att hitta respondenter och två av våra kontaktpersoner valde att tacka nej till att ställa upp. Detta har inneburit svårigheter i att hitta tillräckligt många personer som vill ställa upp på intervju. Vi försökte söka kontakt via bland annat LinkedIn, genom att skicka ett meddelande till personer med CISO roller, där ett flertal har valt att inte svara oss. Vår ambition var från början att hålla i 9 intervjuer, men vi fick slutligen tag på 6 respondenter som ville ställa upp.

Å ena sidan skulle det knappa empiriska underlaget kunna minska trovärdigheten av studien, då det tveksamt kan påstås att sex personer kan svara för hur hela banksektorn i Sverige arbetar med styrning för att förebygga interna cyberhot. Å andra sidan är inte studiens syfte att presentera ett statistiskt generaliserbart svar samtidigt som vi anser att de respondenter som deltagit i studien är de personer inom respektive bank som besitter allra störst kunskap inom ämnet och därför ger tillförlitliga svar.

Med tanke på att de personer vi har intervjuat är högt uppsatta inom sina områden finns det få personer med samma befogenheter eller erfarenhet inom samma företag. Därför är vi nöjda över det empiriska materialet som har åstadkommits i denna studie. Fortsättningsvis vill vi diskutera det val av respondenter som gjorts, då detta beslut kan kritiseras. Vi vill poängtera att studiens respondenter har givit oss en djup och gedigen förståelse för hur banker arbetar med cybersäkerhet just tack vare deras expertis kring IT och utbildning inom området. Problematiken med att ha intervjuat personer med högt uppsatta roller är att studien tar detta perspektiv i anspråk och fångar således inte upp hur bankernas medarbetare faktiskt nås av den information som distribueras ut. Det vore intressant att få vetskap om hur personerna som nås av reglerna eller utbildningarna i det dagliga arbetet uppfattar säkerhetsarbetet, något som beskrivs närmare i kapitel 6.1. Förslag till vidare forskning.

3.7.2 Giltighet

I denna studie har vi tagit hänsyn till intern giltighet och extern giltighet. När forskare ger en riktig och sann beskrivning av verkligheten kan intern giltighet uppnås (Bryman & Bell, 2017). Jacobsen (2017) menar dock att det kan finnas svårigheter när det gäller subjektivitet såsom människors upplevelser då det måste tolkas och analyseras. För att säkerställa intern giltighet har vi därför tolkat det insamlade materialet gemensamt, samtidigt som en regelbunden dialog har förts med vår handledare för uppsatsskrivandet. Dessutom presenteras det empiriska underlaget på ett objektivt sätt i empirikapitlet, vilket ger läsaren möjlighet att själv tolka och förstå materialet.

Extern giltighet handlar likt intern giltighet om att skapa ett trovärdigt resultat, som dessutom ska vara överförbart (Bryman & Bell, 2017). Detta innebär dock att studien ska kunna verka som kunskapsunderlag till framtida studier inom liknande område, vilket kan ifrågasättas i denna studie då både fall i form av antal banker samt antal respondenter har varit få. Vi menar ändock att denna studie skulle kunna verka som ett visst stöd genom resultatet som indikerar vad som behöver forskas vidare inom, samtidigt som intervjuguiden kan rådge framtida forskare om vilka frågor som kan ställas för att få ut viss information. Eftersom säkerhet inte är konkurrensutsatt menar vi även att banker kan ta inspiration av varandra, genom att öka förståelsen för hur andra liknande verksamheter arbetar med cybersäkerhet, utan att komma åt konfidentiell information.

4.Empiri

I detta kapitel presenteras den data som insamlats från intervjuerna där svaren introduceras under varje kategori. Som inledning kommer vi presentera varje respondents definition av begreppet cybersäkerhet då vi anser att det ger oss en bild på respondenternas syn kring begreppets innebörd, vilket vi antar kan få konsekvenser för styrningen. Detta klargör även vilken förståelse som finns för begreppet cybersäkerhet. Därefter presenteras deltagarnas uppfattningar gällande formella och informella styrmedel.

In document Cybersäkerhet - Att stärka den svaga länken : En flerfallsstudie om hur formella och informella styrmedel förebygger interna cyberhot i banksektorn (Page 44-51)