Studiens kvalitet

Metoden som till en början var tänkt att användas var i form av en fallstudie med in-slag av både kvantitativ samt kvalitativa inin-slag. Förfarandet skulle dock vara den-samma som senare utfördes i studien med att först göra en mätning av informations-säkerhetskulturen för att därefter samla en fokusgrupp för att diskutera resultatet med den skillnaden att fokus hade även lagts på den kvantitativa data som insam-lats. För att strömlinjeforma arbetet valdes denna metod bort och istället lades fokus på att genomföra den enligt action-research. Sett till urvalet för fokusgruppen är för-fattaren till viss del nöjd med utfallet även om det vore positivt om ytterligare perso-ner med eventuella nya perspektiv hade tillförts men dessvärre var detta inte ett al-ternativ i det här fallet. Att enbart en iteration utfördes är också en viss begränsning om man ser till metodvalet. Detta beror främst på att kommunikationen med

organi-sationen och att få den första mätningen gjord tog en stor del tid i anspråk. Då empi-rin dessutom ansågs innehålla tillräcklig data för den fortsatta analysen utfördes därmed inga ytterligare iterationer.

Eftersom detta arbete utförts i form av action research bör man se till slutsatserna i skenet av detta. Detsamma gäller som nämnts tidigare urvalet av studien sett till den organisation som studerats. Då urvalet enbart inbegriper en organisation och ett fåtal av dess medarbetares syn på saker krävs ytterligare validitet för att säkert använda de slutsatser som dras i detta arbete vid fortsatt forskning.

Valet att enbart se huruvida enkät är lämplig för att mäta informationssäkerhetskultur är att förenkla de processer och strukturer som verkar inom en organisation. Dels kan man se det som att formulera sig att enbart se till enkätens lämplighet egentligen kan delas upp i flera delar. Exempel är att se huruvida analysen som använts är lämplig? Är formen av presentationen lämplig för att förklara för icke-insatta indivi-der? Hur enkäten kopplas till en organisations beslutsprocesser rörande resultatet.

Referenser

Al Hogail, A. & Mirza, A (2014) A Proposal of an organization information security culture framework, 2014 International conference on information, communication technology and System

Alvehus, J. (2013). Skriva uppsats med kvalitativ metod : en handbok. Stockholm. Retrieved from http://urn.kb.se/resolve?urn=urn:nbn:se:hkr:diva-14853

Antonsen, S. (2009). Safety Culture: Theory, Method and Improvement. Farnham: CRC Press.

Ashenden D, Sasse A(2013). CISOs and organisational culture: their own worst enemy? Comput Secur 2013;30:396-405.

Askwall, N (2013). Utvärderingsmetod Säkerhetskultur (Kandidatuppsats). Blekinge Tek-niska Högskola, Karlskrona.

Baruch, Y., & Holtom, B. C. (2008). Survey response rate levels and trends in organizational research. Human Relations, 61(8), 1139-1160.

Boyatzis, R. E. (1998). Thematic analysis: Coding as a process for transforming qualitative information. sage Publications.

Brydon-Miller, M., Greenwood, D., & Maguire, P. (2003). Why action research?.

Calder, A. (2010). Selling Information Security to the Board : A Primer. Ely: IT Governance Publishing.

Da Veiga, A. (2009). Cultivating and assessing information security culture (Doctoral dissertation, University of Pretoria).

Da Veiga, A (2016) "Comparing the information security culture of employees who had read

the information security policy and those who had not: Illustrated through an empirical study", Information & Computer Security, Vol. 24 Issue: 2, pp.139-151

Da Veiga, A., , , Da Veiga, A., & Martins, N. (2014). Information security culture and

inform-ation protection culture: A validated assessment instrument. Computer Law & Security

Re-view, 31(2), 243-256.

Da Veiga, A., & Martins, N. (2015). Improving the information security culture through moni-toring and implementation actions illustrated through a case study. Computers & Security,

49162-176.

Da Veiga, A., & Eloff, J. H. P. (2010). A framework and assessment instrument for

Dawson, G., Desouza, K., Ho, A,. Krishnamurthy, R,. (2018) Factors Promoting the Col-lection of Performance Measurement: Evidence from US Local Governments. Hawaii International Conference on System Sciences 2018

de Lancer Julnes, P., & Holzer, M. (2001). Promoting the Utilization of Performance Measu-res in Public Organizations: An Empirical Study of Factors Affecting Adoption and Implemen-tation. Public Administration Review, 61(6), 693-708.

Denscombe, M. (2016). Forskningshandboken: för småskaliga forskningsprojekt inom

sam-hällsvetenskaperna Lund: Studentlitteratur AB.

Dhillon, G(2007) Principles of Information Systems Security: text and cases, John Wiley & Sons inc

Europaparlamentets och Rådets förordning(2016) Dataskyddsförordningen hämtad 2018-05-20 från http://eur-lex.europa.eu/legal-content/SV/TXT/PDF/?uri=CELEX:32018-05-2016R0679&rid=1 Furnell, S., & Clarke, N. (2005). Organisational security culture: embedding security aware-ness, education and training. Proceedings of the IFIP TC11 WG, 11, 67-74.

Hopkins, A. (2006). Studying organisational cultures and their effects on safety. Safety

Sci-ence, 44(10), 875-889. doi:10.1016/j.ssci.2006.05.005

Hedström, Carin,. 2015 Säkerhetskultur i gruvindustrin Säkrare arbetsplatser genom sam-verkan hämtad 2018-05-07

https://www.prevent.se/globalassets/documents/prevent.se/bransch/industri/gruv/sakerhetsk ultur-i-gruvindustrin.pdf

B. Khan, K.S. Alghathbar, S.I. Nabi, and M.K. Khan, “Effectiveness of Information Security Awareness Methods Based on Psychological Theories”, African Journal of Business Mana-gement, Vol. 5, No. 26, 2011, pp. 10862- 10868.

Magnusson, D. (2003). Testteori. Stockholm: Psykologiförlaget, AB.

Mahfuth, A., Yussof, S., Baker, A., & Ali, N. (2017). A systematic literature review:

Informat-ion security culture. InternatInformat-ional Conference On Research And InnovatInformat-ion In InformatInformat-ion Systems, ICRIIS, (5th International Conference on Research and Innovation in Information Systems: Social Transformation through Data Science, ICRIIS 2017),

doi:10.1109/ICRIIS.2017.8002442

Martins, A., & Eloff, J. (2002). Assessing Information Security Culture. In ISSA (pp. 1–14).

A. Martins and J. Eloff, "Information security culture," In Security in the information society. IFIP/SEC 2002, 2002.

Mitnick, K. Simon, W 2002, The art of deception - controlling the human element of security Wiley Publishing, Inc

Ngo, L., Zhou, W., & Warren, M. (2005, September). Understanding Transition towards Information Security Culture Change. In AISM (pp. 67-73).

Niekerk, J.F & Von Solms, R(2008) Information security culture: A management perspective. Computers & Security

Okere, I. )., Van Niekerk, J. )., & Carroll, M. ). (2012). Assessing information security culture: A

critical analysis of current approaches. 2012 Information Security For South Africa - Proceedings

Of The ISSA 2012 Conference, (2012 Information Security for South Africa - Proceedings of the ISSA 2012 Conference), doi:10.1109/ISSA.2012.6320442

Parsons, K, McCormac A, Butavicius M, Ferguson, L(2010). Command human factors and

in-formation security: individual, culture and security environment. Control, Communications and Intelligence Divison. Defence Science and Technology Organisation

Safa, N. S., & Von Solms, R. (2016). An information security knowledge sharing model in organizations. Computers in Human Behavior, 57, 442-451.

Schein, E. H. (2009). The corporate culture survival guide., New and rev. ed. San Francisco, CA, US: Jossey-Bass.

Schein, E.H. (2004). Organizational culture and leadership. (3. ed.) San Francisco: Jossey-Bass.

Schlienger, T., & Teufel, S. (2005, May). Tool supported management of information security culture. In IFIP International Information Security Conference (pp. 65-77). Springer, Boston, MA.

Scholl, M., Leiner, K., & Fuhrmann, F. (2017). Blind spot: Do you know the effectiveness of

your Information security awareness-raising program?. WMSCI 2017 - 21St World

Multi-Conference On Systemics, Cybernetics And Informatics, Proceedings, 1(WMSCI 2017 - 21st World Multi-Conference on Systemics, Cybernetics and Informatics, Proceedings), 361-366.

Staying ahead of insider threats and human error. (2017). Briefings on HIPAA, 17(2), 5-9.

Stringer, E. T. (2013). Action research. Sage Publications.

Svensson L, Brulin G, Ellström P-E & Widegren Ö (red) (2002): Interaktiv forskning – för utveckling av teori och praktik. Stockholm: Arbetslivsinstitutet.

Taylor, J. B. (2010). Safety Culture : Assessing and Changing the Behaviour of

Organisat-ions. Surrey, England: Gower.

Thomson, K., von Solms, R., & Louw, L. (2006). Cultivating an organizational information security culture. Computer Fraud & Security, 2006(10), 7-11.

doi:10.1016/S1361-3723(06)70430-4

Totalförsvarets forskningsinstitut(FOI) . (2013). Definition of Information Security Culture. Hämtad från/Retrieved from URL

Trim, P. J., & Upton, D. (2013). Cyber Security Culture : Counteracting Cyber Threats

Through Organizational Learning and Training. Farnham: Routledge.

Vacca, J. R. (2014). Managing Information Security. Waltham, MA: Syngress.

Van Niekerk, J., & Von Solms, R. (2010). Information security culture: A management

per-spective. Computers & Security, 29(4), 476-486. doi:10.1016/j.cose.2009.10.005

Vetenskapsrådet. (1990). Forskningsetiska principer - Codex - Vetenskapsrådet. Hämtad 2018-03-18 från http://www.codex.vr.se/texts/HSFR.pdf

Von Solms, B., & Von Solms, R. (2004). The 10 deadly sins of information security mana-gement. Computers & Security, 23(5), 371-376.

Vroom, C., & von Solms, R. (2004). Towards information security behavioural compliance.

Computers & Security, 23(3), 191-198. doi:10.1016/j.cose.2004.01.012

Wright, K. B. (2005). Researching Internet-based populations: Advantages and disadvanta-ges of online survey research, online questionnaire authoring software packadisadvanta-ges, and web survey services. Journal of computer-mediated communication, 10(3), JCMC1034.

Bilaga 1. Enkät

Frågorna i denna enkät är utformad av Askwall, N (2013). Utvärderingsmetod

Säkerhetskul-tur (Kandidatuppsats). Blekinge Tekniska Högskola, Karlskrona.