Samband mellan utbildning och kultur Utbildning påverkar kultur

Många respondenter har uttryckt att säkerhetstänket bör finnas naturligt hos anställda på banken, och medvetenhet är något som nämns av alla respondenter. Kultur kan beskrivas som ett företags oskrivna regler och antaganden om hur arbetet ska utföras på (Yeats & Cadel, 1996). Därför gör vi antagandet att en medvetenhet om cybersäkerhet, som en naturlig del av det dagliga arbetet, innebär att det måste integreras i kulturen. McIlwraith (2006) menar att medvetenhet och utbildning inte är samma sak, men Finansinspektionen (2018) konstaterar att utbildning är ett sätt att öka medvetenheten på. Vi har sett att samtliga respondenter använder utbildningar för att öka medvetenheten hos anställda i banker. Dels har alla banker en årlig utbildning som är obligatorisk för samtliga anställda, vilket är i enlighet med Finansinspektionens (2018) krav. Dessutom tar bankerna ytterligare initiativ för att utbilda sina anställda, genom exempelvis e-learnings som anställda ska genomföra kontinuerligt (Person C; Person E; Person F). Vi har även noterat att många respondenter menar att informella diskussioner kan användas för att utbilda anställda och även detta menar vi formar kulturen och gör att säkerhetstänket integreras på ett naturligt sätt.

Trots att Malmi och Brown (2008) menar att företagskultur är något som växer fram och som inte alltid kan påverkas av chefer så menar A och F att chefer och ledning visst kan påverka företagskulturen genom att göra anställda medvetna om att förstå deras arbete som en del av företagets information som behöver skyddas. Detta kan härledas till metoden riktat fokus som Schein (2004) resonerar kring. Riktat fokus signalerar vad företaget anser är viktigt och både D, E och F diskuterar just chefers roll när det kommer till att motivera anställda genom sitt eget beteende. F menar att om högt uppsatta personer väljer att till exempel utbilda sig

75

inom cybersäkerhet sänder det signaler om att det är viktigt för företaget. Detta stärker inte bara säkerhetskulturen genom att öka medvetenheten utan kan även få anställda att själva vilja certifiera sig inom utbildningar, vilket även Huang och Pearlson (2019) diskuterar kring. Enligt E kan certifieringar ses som ett kvitto på att man har en viss kompetens vilket leder till att man kan få ta större ansvar, vilket kan ses som en belöning som ger motiverande effekt (Merchant & Van der Stede, 2017). Detta är också en aspekt som Schein (2004) lyfter fram, att om man belönar ett beteende kommer det i sin tur påverka värderingarna.

C berättar dock att det kan finnas ett motstånd hos personer som arbetat länge i banken att integrera cybersäkerhet i kulturen, då de inte är vana vid de digitala verktygen. Här menar vi att utbildning skulle kunna påverka denna inställning. Genom utbildningar kan banker uppmärksamma hur viktigt det är med cybersäkerhet. Samtidigt kan banker förmedla, även till de som har ett motstånd till det, hur viktigt det är med en förståelse för cybersäkerhet. Detta kan på så vis ändra de värderingar som kulturen bygger på (Huang & Pearlson, 2019). Således kan vi se att utbildningen kan hjälpa att stärka cybersäkerheten.

Kultur påverkar utbildning

Fortsättningsvis menar vi att kompetens, tillit och ansvar hänger ihop. Tillit är ett element som flertalet respondenter nämnt som en viktig faktor, och något som F uttryckt är att dess bank arbetar utifrån en tillåtande och lärande kultur där tillit är viktigt. För att få tillit måste man dock ha den kompetens som krävs för att kunna ta ansvar. Kompetens kan utökas genom utbildningar och träningsprogram (Baht, 2013). Alltså skulle detta kunna förklara varför företagen arbetar mycket med kontinuerlig utbildning, helt enkelt att detta krävs om man ska kunna upprätthålla en tillåtande kultur där man litar på varandra.

Att ha tillräcklig kompetens kan vidare visas bland annat genom att individer interagerar säkerhetstänket i det dagliga arbetet (Luburic, 2016; McIlwraith, 2006). Detta kan sända positiva signaler till den anställdes chef, som då kan göra bedömningen att medarbetaren gör ett bra jobb - vilket ökar chefens tillit för den anställde (Aronsson et al., 2020). Om chefen känner förtroende kan det resultera i att chefen ger personen ökat ansvar, vilket går hand i hand med Putnams (1995) resonemang gällande att för att kunna få tillit behövs det också ges tillit. Ökat ansvar menar A och F kan få den anställda att växa ytterligare och kan förhoppningsvis motivera individen att fortsätta öka sin kompetens. Här är det dock viktigt att ha i åtanke att banker främjar en tillåtande och lärande kultur vilket syftar till att det ska vara okej att anställda begår misstag, så länge det sker oavsiktligt (Bringselius, 2020). Om denna trygghet inte finns kan det finnas en risk att anställda inte vågar ta ansvar och fatta egna beslut om det kan resultera i att de upplever sig bli straffade (ibid). En tillåtande och lärande kultur menar vi därför kan forma utbildningarna.

76

Vidare förklarar E att individers förmåga att ta eget ansvar är ett modernt sätt att tänka på och arbeta utifrån. Med hjälp av utbildningar möjliggör det för chefer att göra just detta - att ge anställda mer ansvar. En kultur som genomsyras av att individer får ta eget ansvar kommer således kunna ta plats inom organisationen och därför blir det viktigt att skapa utbildningar som passar in i en sådan kultur, med andra ord anpassa utbildningens innehåll så att den främjar anställda att våga samt kunna ta ansvar, om det är en sådan kultur som vill eftersträvas. Detta menar vi är ett tydligt exempel på att kultur formar utbildningar.

5.3.3 Samband mellan regler och utbildning