5.3 Hur samverkar formella och informella styrmedel?
5.3.3 Samband mellan regler och utbildning Regler påverkar utbildning
I studien framgår det tydligt av samtliga respondenter att banker är en väldigt regelstyrd verksamhet och detta ställer krav på att anställda följer de regler som organisationen utformat. Finansinspektionen (2018) kräver att samtliga banker i landet har minst en årlig utbildning och att de även har uppföljning på dem. Detta menar vi ligger till grund för den problematik som kan uppstå om en person har otillräcklig utbildning, vilket både Furnell och Vasileiou (2017) samt Luburic (2016) resonerar kring - nämligen att denne i det fallet blir ett hot mot organisationens säkerhet. Detta är ett tydligt exempel på att regler formar utbildningarna och något samtliga respondenter har bekräftat att dess bank arbetar med.
Vidare menar B att kunder förväntar sig att banker följer regler och arbetar på ett säkert sätt. Ur denna aspekt ställer det krav på banken att se till att anställda dels genomför utbildningarna (FI, 2018), men även är motiverade till att vilja lära sig av dem (Wolvén, 2000). Fördelen här är att den årliga säkerhetsutbildningen är obligatorisk vilket leder till att samtliga personer i organisationen måste genomföra den. Svårigheten är däremot att motivera de anställda att vilja lära sig. Här har respondenterna understrukit vikten av både tillit och att innehållet upplevs som intressant (Person B; Person C; Person E; Person F). A, B och F menar att om chefer visar att de litar på sina anställda att genomföra utbildningarna och således lära sig av dem, kan anställda uppleva ett ansvar att göra det också.
Utbildning påverkar regler
Samtliga respondenter har lyft fram vikten av att ökad medvetenhet kring cybersäkerhet kan minimera oavsiktliga fel. För att öka medvetenhet krävs det att anställda får de rätta redskapen för att kunna göra just detta. Här blir utbildning en faktor som påverkar regelefterlevnaden (Pahnila et al., 2007). McIlwraith (2006) menar just att ökad medvetenhet kommer stärka en organisations informationssäkerhet och understryker att utbildning och medvetenhet relaterar till varandra.
77
För att regler ska kunna följas ställer det krav på att utbildningen utformas på ett tydligt sätt (Eisenhardt & Sull, 2001). För att anställda ska förstå vilken information som ska skyddas och kanske ännu viktigare, varför den ska skyddas, måste de bli informerade. Dessutom menar vi att anställda måste förstå vad de får och inte får göra, för att på så vis kunna följa regelefterlevnaden, vilket både Merchant & Van der Stede (2017) och Burns & Scapens (2000) också hävdar. Genom att utbilda anställda inom ämnet kommer det förhoppningsvis leda till att anställda får ökad kompetens och blir mer medvetna om vilka risker som finns vilket i sin tur leder till regelefterlevnad. Fortsättningsvis menar både B, C och E att återkommande utbildningar är viktigt för lärandet. Här lyfter E fram att nano-lektionerna är ett bra verktyg för att öka medvetenheten kring cybersäkerhet eftersom de ska göras kontinuerligt.
Vidare resonerar vi att utbildning, regelefterlevnad och kundförtroende går hand i hand. Genom att inneha tillräcklig kompetens, som utbildning och träning stärker, kommer det leda till en bättre riskhantering - vilket i sin tur ger ökat kundförtroende. Bankerna är väl medvetna om, att om de inte följer regler, kan företagen få sanktioner (FI, 2018). Detta menar både B och C försämrar bankens rykte, vilket i sin tur ger försämrat kundförtroende. Därför menar vi att det ligger i bankens intresse att utforma kvalitetssäkra utbildningar för att säkerställa att anställda har tillräcklig kompetens för att följa de angivna reglerna. Detta anser vi att samtliga respondenter har förståelse för, men det är framför allt B och C som diskuterar denna aspekt närmare. Avslutningsvis menar vi därför att utbildning har en stor påverkan på regelefterlevnaden.
78
5.4 Sammanfattning av analys
Sammantaget kan det konstateras att banker idag arbetar med formella styrmedel, främst i form av regler. Bankernas arbete med cybersäkerhet sker även med informella styrmedel där vi har identifierat utbildning och kultur som två viktiga styrmedel. I följande kapitel presenteras en visuell sammanställning av studiens analyskapitel. Således ges läsaren en övergripande förståelse av studiens resultat inför slutsatsen.
Figur 7. Sammanfattning av kapitel 5.2 Hur arbetar banker med formella och informella styrmedel?
Figur 8. Sammanfattning av kapitel 5.3 Hur samverkar formella och informella styrmedel?
80
6. Slutsats
Syftet med denna studie är att bidra till ökad förståelse om hur banker kan styra sin verksamhet med formella och informella styrmedel för att förebygga interna cyberhot på arbetsplatsen. Forskningsfrågorna har behandlat hur banker arbetar med formella och informella styrmedel för att förebygga interna cyberhot, samt hur samspelet mellan dessa styrmedel ser ut. Genom att ha gjort en kvalitativ flerfallsstudie där vi har intervjuat sex personer på banker som ansvarar för säkerhetsfrågor inom bland annat cybersäkerhet, har vi kunnat besvara samtliga forskningsfrågor.
Inledningsvis kan vi konstatera att respondenterna har olika sätt att använda begreppet cybersäkerhet på. Till stor del blandas begreppet med det mer omfattande begreppet informationssäkerhet, vilket enligt teoretiskt underlag är problematiskt då det kan skapa förvirring hos anställda. Vi anser dock att det finns en förståelse för vad arbetet med cybersäkerhet innebär, trots att användningen av begreppet skiljer sig åt. Med tanke på den ökande digitaliseringen bedömer vi dock att cybersäkerhet kommer bli viktigare i framtiden, och den tvetydiga begreppsanvändningen skulle därför kunna ge komplikationer i framtiden. Särskilt skulle det kunna få komplikationer för regelefterlevnaden, om man inte förstår vilken information som ska skyddas och hur. Banker ingår nämligen i en väldigt regelstyrd verksamhet, vilket gör att utformningen av regelverken behöver vara tydliga. Teoretiker menar att standarder ska användas som stöd i utformandet av organisationens egen policy och vi har sett empiriskt bevis på att det görs. Eftersom cybervärlden kan ses som en komplex och agil miljö anser många det vara viktigt att följa upp reglerna, vilket bankerna har krav på sig att göra minst en gång per år men som de gör betydligt oftare än så när det behövs.
Vidare är säkerställandet av anställdas kompetens en av de viktigaste delarna i att stärka cybersäkerheten, vilket kan göras med hjälp av utbildning. Det är viktigt att ta i beaktning att medarbetare lär sig på olika sätt, vilket ställer krav på hur banker väljer att utforma utbildningar och träningsprogram. Bankerna har dels obligatoriska utbildningar för alla anställda en gång per år, men har även kontinuerliga utbildningar samtidigt som det finns frivilliga utbildningar som anställda kan gå. Utbildning spelar en stor roll i regelefterlevnaden, då utbildning uppmärksammar anställda om regler och ökar deras medvetenhet samt motivation till att följa dem. Just medvetenhet är en faktor som visat sig särskilt viktig för samtliga respondenter, vilket gör att vi kan konstatera att banker idag är i behov av en säkerhetskultur. Ändock diskuterar få respondenter hur de praktiskt arbetar med kultur och några respondenter har till och med förklarat att banken inte aktivt arbetar med kultur. Detta kan grunda sig i teorier som menar att kultur kan vara svårt att påverka och tar lång tid att bygga upp. Det har även nämnts att det finns svårigheter att arbeta med kultur i banksektorn överlag, till skillnad från andra branscher. Däremot anser vi att det kan
81
uppstå komplikationer om säkerhetskulturen helt bortses ifrån och vi menar därför att chefer har ett ansvar att stärka kulturen. Kulturen går i sin tur hand i hand med tillit som många respondenter lyfter upp, där vi menar att en konsekvens är att anställda får ta eget ansvar.
I denna studie har vi även undersökt hur formella och informella styrmedel påverkar varandra i säkerhetsarbetet. Det har visat sig att samtliga styrmedel samverkar, vilket vi menar innebär att banker behöver anamma ett övergripande helhetstänk när det kommer till säkerhetsarbetet utifrån ett styrningsperspektiv. Exempelvis innebär detta att man vid implementeringen av regler även måste ta hänsyn till hur förändringen kommer påverka företagskulturen och på vilket sätt det ska kommuniceras via företagets utbildningar. Till vilken grad banker uppmärksammar sambandet mellan styrmedel idag har inte undersökts i denna studie, men vi menar att det kan vara intressant att undersöka denna aspekt vidare.
Denna studie belyser hur banker praktiskt förebygger interna cyberhot genom formella och informella styrmedel. Banker har en viktig roll i samhället och utgör en unik sektor varpå vi menar att en förståelse för kontexten måste finnas för att förstå hur banker arbetar. Vi menar därför att vi med denna studie bidrar med kunskap om hur banker praktiskt bär sig åt för att förebygga interna cyberhot. Knapp forskning har även bedrivits för att visa på samspelet mellan styrmedel för att förebygga interna cyberhot. Vår studie visar på att formella och informella styrmedel måste tillämpas med hänsyn till varandra. Tidigare forskning har framför allt undersökt styrmedel kopplat till cybersäkerhet på ett isolerat sätt, alltså främst undersökt ett enskilt styrmedel utan att förklara dess samverkan med andra styrmedel, varpå vi menar att vår undersökning ger ett kunskapsbidrag i form av en helhetsbild.
Vidare vill vi beröra studies överförbarhet. Som ovan nämnt är bankbranschen en unik sektor, varpå andra branscher måste ta hänsyn till dess egen kontext och de förutsättningar som finns. Vi menar ändock att denna studie kan verka som inspiration för andra företag om hur formella och informella styrmedel kan förebygga interna cyberhot.
Sammanfattningsvis konstaterar vi att banker arbetar med formella styrmedel främst genom tydliga regler, som sedan återupprepas och lärs ut genom informella styrmedel såsom utbildning. Samtidigt genomsyrar reglerna det dagliga arbetet genom exempelvis informella dialoger och har således även en tydlig koppling till säkerhetskulturen. Resultatet visar samspelet som finns mellan formella och informella styrmedel och indikerar att en helhetssyn måste finnas vid säkerhetsarbete med styrmedel. Med detta sagt kan vi konstatera att människans förmågor krävs för att den tekniska säkerhetsutrustningen ska vara effektiv. Trots att människan kunnat identifierats som den svagaste länken inom bankers säkerhetsarbete, så visar studiens resultat på att människan även är nyckeln till framgång.
82
6.1 Förslag till vidare forskning
I denna studie har vi genomfört en kvalitativ undersökning för att ta reda på hur banker arbetar med formella och informella styrmedel för att förebygga interna cyberhot. Den kvalitativa metoden har gett oss möjlighet för att förstå ett unikt fenomen på ett djupare plan, och har även gett utrymme för tolkning. Studien kan dock inte anses ha ett generaliserbart resultat som kan appliceras på alla banker i Sverige, men har inte heller för avsikt att göra det.
Däremot anser vi att det hade kunnat vara intressant att genom en kvantitativ studie se hur effektiva de styrmedel som bankerna identifierar är i praktiken. Detta menar vi skulle kunna göras genom att även ta hänsyn till perspektiv hos anställda inom banker som inte vanligtvis arbetar med IT men som genomför bankens utbildningar. Därför föreslår vi att vidare undersöka icke-IT anställdas perspektiv på cybersäkerhet, och hur de upplever bankens nuvarande styrmedel.
En av de viktigaste aspekterna vi har noterat är att säkerhetstänket bör vara en naturlig del av varje anställdes dagliga arbete. Trots detta har få av respondenterna någon tydlig förklaring på hur säkerhetstänket integreras i kulturen, varpå vi ser möjligheter för banker att ta till sig av och utveckla. Dessutom anser vi det intressant att studera närmare på vilket sätt banker arbetar med självstyrning och tillit relaterat till cybersäkerhet.
Slutligen föreslår vi till vidare forskning att studera närmare hur arbetet med att stärka cybersäkerhet uppfattas av personer som arbetar med HR-frågor. I denna studie har vi intervjuat en person med ett HR-perspektiv och vi upplever tendenser att det skiljer sig åt mellan personer som arbetar med HR- frågor och personer som arbetar med säkerhetsfrågor, varpå vi menar det vore intressant att analysera detta på ett djupare plan.
84
7. Referenser
Adesola, M. A., Oyeniyi, K. O. & Adeuemi, M. A. (2013). Empirical study of the relationship
between staff training and job satisfaction among Nigerian Banks employees.
International Journal of Academic Research in Economics and Management Sciences, 2(6), 108-115,
Aktuell Säkerhet (2020). Prognos: Cyberattacker mot finansiella organisationer ökar
under 2021. Tillgänglig via: https://aktuellsakerhet.se/prognos-cyberattacker-mot- finansiella-organisationer-okar-under-2021/ (hämtad 2021-02-08).
Alavi, M. & Leidner, D. (2001). Research Commentary: Technology-Mediated Learning –
A Call for Greater Depth and Breadth of Research. Information Systems Research, 12 (1),
1-10.
Alvesson, M. & Sköldberg, K. (2008). Tolkning och reflektion: vetenskapsfilosofi och
kvalitativ metod. Uppl. 2. Lund: Studentlitteratur
Andersson, G. & Funck, E.K. (2017). Ekonomistyrning - Besult och handling. Uppl 2:1. Studentlitteratur AB, Lund.
Andress, M. (2000). Manage people to protect data. InfoWorld, 22 (46), 13.
Anthony, R. N, Nilsson, G., Govindarajan, V., Hartmann, F. G. & Kraus, K. (2014).
Management control systems. 1 upplagan. European ed. Maidenhead, Berkshire: McGraw-
Hill Education.
Aronsson, G., Berntson, E., Björk, L., Bolin, M. & Corin, L. (2020). Att synliggöra och
motverka
ojämställdhet i arbetslivet. En vänbok till Annika Härenstam. Helsingborg: Komlitt förlag.
Atoum, I., Otoom, A., Ali, A., (2014). A holistic cyber security implementation framework. Information Management & Computer Security. 22 (3), 251-264.
Bank for International Settlements (BIS). (2015). 85th Annual Report. Tillgänglig via:
85
Benabou, R. & Tirole, J. (2003). Intrinsic and extrinsic motivation. Review of Economic Studies, 70
Bouveret, A. (2018). Cyber Risk for the Financial Sector: A Framework for Quantitative
Assessment. International Monetary Fund.
Bringselius, L. (2020). Tillit: En ledningsfilosofi för framtidens offentliga sektor. Helsingborg: Komlitt AB.
Bryman, A & Bell, E. (2017). Företagsekonomiska forskningsmetoder. 3:e uppl. Stockholm: Liber.
Bulgurcu, B., Cavusoglu, H. & Benbasat, I. (2010). Information Security Policy
Compliance: An Empirical Study of Rationality-Based Beliefs and Information Security Awareness. MIS Quarterly
34 (3), 523-548.
Burns, J. & Scapens, R.W. (2000). Conceptualizing management accounting change: an
institutional framework. Management Accounting Research, 11 (1), 3-25.
Carrillo, R. A. (2010). Positive Safety Culture. Prof. Saf., 55 (5), 47,
Child, J. & Möllering, G. (2003). Contextual Confidence and Active Trust Development in
the Chinese Business Environment. Organization science, Vol. 14, No. 1, January-February
2003, pp. 69-80.
Chmielecki, T., Cholda, P., Pacyna, P., Potrawka, P., Rapacz, N., Stankiewicz, R. & Wydrych, P. (2014). Enterprise-oriented cybersecurity management. Federated Conference on Computer Science and Information Systems, pp. 863-870, doi: 10.15439/2014F38.
Choi, S., Martins, J. T. & Bernik, I. (2018). Information security: Listening to the
perspective of organisational insiders. Journal of Information Science, vol. 44, no. 6, pp.
752-767.
CNSS. (2010). National information assurance glossary. Committee on National Security Systems. Instruction CNSS-4009
86
Coffey, J.W. (2017). Ameliorating sources of human error in cybersecurity: technological
and human- centered approaches. The 8th International Multi-Conference on
Complexity, Informatics, and Cybernetics, Pensacola, (pp. 85-88)
Collier, Z.A., DiMase, D., Walters, S., Tehranipoor, M. M., Lambert, J. H. & Linkov, I. (2014) Cybersecurity Standards: Managing Risk and Creating Resilience. In Computer, vol. 47, no. 9, pp. 70-76, Sept. 2014, doi: 10.1109/MC.2013.448.
Cone, B. D., Irvine, C. E., Thompson, M. F. & Nguyen, T- D. (2007). A video game for cyber
security training and awareness. Computers & Security, vol. 26, no. 1, pp. 63-72.
Conteh, N. & Schmick, P. (2016). Cybersecurity: Risks, vulnerabilities and
countermeasures to prevent social engineering attacks. International Journal of Advanced
Computer Research. 6. 31-38.
Datt, S. (2016). Learning Network Forensics. Birmingham: Packt Publishing.
Daft, R.L. & Macintosh, N.B. (1984). The Nature and Use of Formal Control Systems for
Management Control and Strategy Implementation. Journal of Management, 10 (1), 43-
66.
Da Veiga, A. (2016). A cybersecurity culture research philosophy and approach to develop
a valid and reliable measuring instrument. In Proceedings of 2016 SAI Computing
Conference, 1006–1015
David, M. & Sutton C.D. (2016). Samhällsvetenskaplig metod. Lund, Studentlitteratur.
Denscombe, M (2016). Forskningshandboken: för småskaliga forskningsprojekt inom
samhällsvetenskaperna. Uppl. 3. Lund: Studentlitteratur
Doherty, N. F., Anastasakis, L. & Fulford, H. (2009). Aligning the information security
policy with the strategic information systems plan. Computers & Security, 25 (1), 55-63.
Duisenberg, F. W. (2001). European Central Bank. The role of financial markets for
economic growth, tillgänglig via:
https://www.ecb.europa.eu/press/key/date/2001/html/sp010531.en.html (hämtad 2021- 01-03).
87
Eisenhardt, K. M. & Sull, D. N. (2001). Strategy as simple rules. Harvard business review, 79 (1), 106-176
Elifoglu, I.H., Abel, I. & Tasseven, O. (2018). Minimizing Insider Threat Risk with
Behavioural Monitoring. Review of Business, 38 (2), 61-73.
Finansinspektionen. (2020). Riskbedömning. Tillgänglig via:
https://www.fi.se/sv/bank/penningtvatt/process/riskbedomning/ [Hämtad 2021-05-13].
Finansinspektionen. (2014). FFFS 2014:5 - Finansinspektionens föreskrifter och allmänna
råd om informationssäkerhet, it-verksamhet och insättningssystem. Tillgänglig via: https://www.fi.se/contentassets/a8d558e3a0074cc796c4c23f6e6b3f53/fs1405.pdf
[Hämtad 2021-02-17].
Finansinspektionen (2005). FFFS 2005:1 - Allmänna råd om styrning och kontroll av
finansiella företag. Tillgänglig via:
https://www.fi.se/contentassets/664991624ecd4527bae7282e6836c432/fffs0501.pdf
Finansinspektionen. (2018). FI-tillsyn 9: Bankernas arbete med informations- och
cybersäkerhet. Tillgänglig via:
https://fi.se/contentassets/84144fb815c44be88f2bc1773e55a559/fi-tillsyn-9-banker-info- cybersakerhet.pdf [Hämtad 2021-02-17].
Fischer EA. (2015). Cybersecurity issues and challenges: In brief. Congressional Research Service.
Folkhälsomyndigheten (2021). Frågor och svar om covid-19 (coronavirus), tillgänglig via:
https://www.folkhalsomyndigheten.se/smittskydd-beredskap/utbrott/aktuella- utbrott/covid-19/fragor-och-svar/ (hämtad 2021-01-11).
Furnell, S. & Vasileiou, I. (2017). Security education and awareness: just let them burn? Network Security, 2017 (12), 5-9
Geber, B. (1990). Goodbye classrooms. Training, 27 (1), 27-32.
Gisladottir, V., Ganin, A. A., Keisler, J. M., Kepner, J. & Linkov, I. (2017). Resilience of
88
Gummesson, E. (2004). Fallstudiebaserad forskning, i Gustavsson (red.) Kunskapande metoder inom samhällsvetenskapen, Lund: Studentlitteratur.
Gunduz, M. & Das, R. (2020). Cyber-security on smart grid: Threats and potential
solutions. Computer Networks, 169.
Hadlington, L. (2017). Human factors in cybersecurity; examining the link between
Internet addiction, impulsivity, attitudes towards cybersecurity, and risky cybersecurity behaviours. Heliyon, 3 (7)
Han, J.Y., Kim, Y.J. & Kim, H. (2017). An integrative model of information security policy
compliance with psychological contract: Examining a bilateral perspective. Computers &
Security, 66, 52-65.
Hanaysha, J. & Tahir, P.R. (2016). Examining the Effects of Employee Empowerment,
Teamwork, and Employee Training on Job Satisfaction. Procedia - Social and Behavioral
Sciences, 219, 272-282.
Hatch, M. J. (2002). Organisationsteori - Moderna, symboliska och postmoderna
perspektiv. Lund: Studentlitteratur.
Heisler, W. (1996). 360-Degree Feedback: An Integrated Perspective. Career Development International , 20-23.
Herath, T. & Rao, H.R. (2009). Encouraging information security behaviors in
organizations: Role of penalties,pressures and perceived effectiveness. Decision Support
Systems, 47, 154-165.
Hollinger, R. & Clark, J. (1983). Deterrence in the workplace: perceived certainty,
perceived severity, and employee theft. Social Forces, 62 (2)
Huang, K., & Pearlson, K.E. (2019). For What Technology Can't Fix: Building a Model of
Organizational Cybersecurity Culture. HICSS.
Hunt, D.P. (2003). The concept of knowledge and how to measure it. Journal of Intellectual Capital, 4 (1), 100-113.
Höne, K. & Eloff, J.H.P. (2002). Information security policy — what do international
89
Ifinedo, P. (2014). Information systems security policy compliance: An empirical study of
the effects of socialisation, influence and cognition. Information & Management, 51(1), 69-
79.
Jacobsen, D. (2017). Hur genomför man undersökningar? Introduktion till
samhällsvetenskapliga metoder. 2 uppl. Lund: Studentlitteratur
Jensen, T. & Sandström, J. (2016). Fallstudier. Villatuerta: GraphyCems.
Justesen, L. & Mik-Meyer, N. (2011). Kvalitativa metoder: från vetenskapsteori till
praktik. Lund: Studentlitteratur AB.
Kankanhalli, A., Teo, H.H., Tan, B.C.Y. & Wei, K.K. (2003). An integrative study of
information systems security effectiveness. International Journal of Information
Management, 23
Kumar, A., Saxena, A., Suvarna, V. K. & Rawa, V. (2016). Top 10 trends in banking in 2016, tillgänglig via: https://www.capgemini.com/resource-file-
access/resource/pdf/banking_top_10_trends_2016.pdf (hämtad 2021-01-03).
Lave, J. & Wenger, E. (1991). Situatedlearning: Legitimate peripheral participation. New York, NY: Cambridge University Press.
Lawton, R. (1998). Not working to rule: understanding procedural violations at work. Safety Science, 28, 77-95.
Leal, C., Meirinhos, G., Loureiro, M. & Marques, C.S. (2017). Cybersecurity management,
intellectual capital and trust: a new management dilemma. Ecic 2017 - 9th European
Conference on Intellectual Capital
Leidner, D. E. & Kayworth, T. (2006). A Review of Culture in Information Systems
Research: Toward a Theory of Information Technology Culture Conflict. MISQ Rev., 30
(2), 357–399
Lynn, L. E. (1999). Teaching and Learning with Cases: A Guidebook. Chatham House Publishers.
Malmi, T. & Brown, D.A. (2008). Management control systems as a package -
opportunities, challenges and research directions. Management Accounting Research, vol.
90
Marotta, A. & McShane, M. (2018). Integrating a Proactive Technique Into a Holistic
Cyber Risk Management Approach. Risk Management and Insurance Review, 21 (3), 435-
452.
McDowall, A. and Saunders, M.N.K. (2010) UK Manager’s Conceptions of Training and Development. Journal of European Industrial Training, 34, 609-630.
McIlwraith, A. (2006). Information Security and Employee Behaviour: How to Reduce
Risk Through Employee Education, Training and Awareness. Gower Publishing, Ltd.
Melé, D. (2005). Ethical Education in Accounting: Integrating Rules, Values and Virtues. J Bus Ethics, 57, 97–109. https://doi.org/10.1007/s10551-004-3829-y
Merchant, K.A., Van der Stede, W. A. (2017). Management control systems. Edinburgh Gate: Pearson education limited.
Morsing, M. & Oswald, D. (2009). Sustainable leadership: Management control systems
and organizational culture in Novo Nordisk A S. Corporate Governance. The International
Journal of Business in Society, 9(1), 83-99.
Mouton, F., Leenes, L. & Venter, H.S. (2016). Social engineering attack examples,
templates and scenarios. Computers & Security, 59, 186-209.
Nadler, L. & Nadler, Z. (2011). Designing Training Programs: The Critical Events Model. 2 uppl.
Routledge, Taylor & Francis
Ng, B.Y. & Xu, Y. (2007) Studying users’ computer security behavior using the health