6 Diskussion och slutsats
6.5 Studiens kvalitet
Metoden som till en början var tänkt att användas var i form av en fallstudie med in-slag av både kvantitativ samt kvalitativa inin-slag. Förfarandet skulle dock vara den-samma som senare utfördes i studien med att först göra en mätning av informations-säkerhetskulturen för att därefter samla en fokusgrupp för att diskutera resultatet med den skillnaden att fokus hade även lagts på den kvantitativa data som insam-lats. För att strömlinjeforma arbetet valdes denna metod bort och istället lades fokus på att genomföra den enligt action-research. Sett till urvalet för fokusgruppen är för-fattaren till viss del nöjd med utfallet även om det vore positivt om ytterligare perso-ner med eventuella nya perspektiv hade tillförts men dessvärre var detta inte ett al-ternativ i det här fallet. Att enbart en iteration utfördes är också en viss begränsning om man ser till metodvalet. Detta beror främst på att kommunikationen med
organi-sationen och att få den första mätningen gjord tog en stor del tid i anspråk. Då empi-rin dessutom ansågs innehålla tillräcklig data för den fortsatta analysen utfördes därmed inga ytterligare iterationer.
Eftersom detta arbete utförts i form av action research bör man se till slutsatserna i skenet av detta. Detsamma gäller som nämnts tidigare urvalet av studien sett till den organisation som studerats. Då urvalet enbart inbegriper en organisation och ett fåtal av dess medarbetares syn på saker krävs ytterligare validitet för att säkert använda de slutsatser som dras i detta arbete vid fortsatt forskning.
Valet att enbart se huruvida enkät är lämplig för att mäta informationssäkerhetskultur är att förenkla de processer och strukturer som verkar inom en organisation. Dels kan man se det som att formulera sig att enbart se till enkätens lämplighet egentligen kan delas upp i flera delar. Exempel är att se huruvida analysen som använts är lämplig? Är formen av presentationen lämplig för att förklara för icke-insatta indivi-der? Hur enkäten kopplas till en organisations beslutsprocesser rörande resultatet.
Referenser
Al Hogail, A. & Mirza, A (2014) A Proposal of an organization information security culture framework, 2014 International conference on information, communication technology and System
Alvehus, J. (2013). Skriva uppsats med kvalitativ metod : en handbok. Stockholm. Retrieved from http://urn.kb.se/resolve?urn=urn:nbn:se:hkr:diva-14853
Antonsen, S. (2009). Safety Culture: Theory, Method and Improvement. Farnham: CRC Press.
Ashenden D, Sasse A(2013). CISOs and organisational culture: their own worst enemy? Comput Secur 2013;30:396-405.
Askwall, N (2013). Utvärderingsmetod Säkerhetskultur (Kandidatuppsats). Blekinge Tek-niska Högskola, Karlskrona.
Baruch, Y., & Holtom, B. C. (2008). Survey response rate levels and trends in organizational research. Human Relations, 61(8), 1139-1160.
Boyatzis, R. E. (1998). Thematic analysis: Coding as a process for transforming qualitative information. sage Publications.
Brydon-Miller, M., Greenwood, D., & Maguire, P. (2003). Why action research?.
Calder, A. (2010). Selling Information Security to the Board : A Primer. Ely: IT Governance Publishing.
Da Veiga, A. (2009). Cultivating and assessing information security culture (Doctoral dissertation, University of Pretoria).
Da Veiga, A (2016) "Comparing the information security culture of employees who had read
the information security policy and those who had not: Illustrated through an empirical study", Information & Computer Security, Vol. 24 Issue: 2, pp.139-151
Da Veiga, A., , , Da Veiga, A., & Martins, N. (2014). Information security culture and
inform-ation protection culture: A validated assessment instrument. Computer Law & Security
Re-view, 31(2), 243-256.
Da Veiga, A., & Martins, N. (2015). Improving the information security culture through moni-toring and implementation actions illustrated through a case study. Computers & Security,
49162-176.
Da Veiga, A., & Eloff, J. H. P. (2010). A framework and assessment instrument for
Dawson, G., Desouza, K., Ho, A,. Krishnamurthy, R,. (2018) Factors Promoting the Col-lection of Performance Measurement: Evidence from US Local Governments. Hawaii International Conference on System Sciences 2018
de Lancer Julnes, P., & Holzer, M. (2001). Promoting the Utilization of Performance Measu-res in Public Organizations: An Empirical Study of Factors Affecting Adoption and Implemen-tation. Public Administration Review, 61(6), 693-708.
Denscombe, M. (2016). Forskningshandboken: för småskaliga forskningsprojekt inom
sam-hällsvetenskaperna Lund: Studentlitteratur AB.
Dhillon, G(2007) Principles of Information Systems Security: text and cases, John Wiley & Sons inc
Europaparlamentets och Rådets förordning(2016) Dataskyddsförordningen hämtad 2018-05-20 från http://eur-lex.europa.eu/legal-content/SV/TXT/PDF/?uri=CELEX:32018-05-2016R0679&rid=1 Furnell, S., & Clarke, N. (2005). Organisational security culture: embedding security aware-ness, education and training. Proceedings of the IFIP TC11 WG, 11, 67-74.
Hopkins, A. (2006). Studying organisational cultures and their effects on safety. Safety
Sci-ence, 44(10), 875-889. doi:10.1016/j.ssci.2006.05.005
Hedström, Carin,. 2015 Säkerhetskultur i gruvindustrin Säkrare arbetsplatser genom sam-verkan hämtad 2018-05-07
https://www.prevent.se/globalassets/documents/prevent.se/bransch/industri/gruv/sakerhetsk ultur-i-gruvindustrin.pdf
B. Khan, K.S. Alghathbar, S.I. Nabi, and M.K. Khan, “Effectiveness of Information Security Awareness Methods Based on Psychological Theories”, African Journal of Business Mana-gement, Vol. 5, No. 26, 2011, pp. 10862- 10868.
Magnusson, D. (2003). Testteori. Stockholm: Psykologiförlaget, AB.
Mahfuth, A., Yussof, S., Baker, A., & Ali, N. (2017). A systematic literature review:
Informat-ion security culture. InternatInformat-ional Conference On Research And InnovatInformat-ion In InformatInformat-ion Systems, ICRIIS, (5th International Conference on Research and Innovation in Information Systems: Social Transformation through Data Science, ICRIIS 2017),
doi:10.1109/ICRIIS.2017.8002442
Martins, A., & Eloff, J. (2002). Assessing Information Security Culture. In ISSA (pp. 1–14).
A. Martins and J. Eloff, "Information security culture," In Security in the information society. IFIP/SEC 2002, 2002.
Mitnick, K. Simon, W 2002, The art of deception - controlling the human element of security Wiley Publishing, Inc
Ngo, L., Zhou, W., & Warren, M. (2005, September). Understanding Transition towards Information Security Culture Change. In AISM (pp. 67-73).
Niekerk, J.F & Von Solms, R(2008) Information security culture: A management perspective. Computers & Security
Okere, I. )., Van Niekerk, J. )., & Carroll, M. ). (2012). Assessing information security culture: A
critical analysis of current approaches. 2012 Information Security For South Africa - Proceedings
Of The ISSA 2012 Conference, (2012 Information Security for South Africa - Proceedings of the ISSA 2012 Conference), doi:10.1109/ISSA.2012.6320442
Parsons, K, McCormac A, Butavicius M, Ferguson, L(2010). Command human factors and
in-formation security: individual, culture and security environment. Control, Communications and Intelligence Divison. Defence Science and Technology Organisation
Safa, N. S., & Von Solms, R. (2016). An information security knowledge sharing model in organizations. Computers in Human Behavior, 57, 442-451.
Schein, E. H. (2009). The corporate culture survival guide., New and rev. ed. San Francisco, CA, US: Jossey-Bass.
Schein, E.H. (2004). Organizational culture and leadership. (3. ed.) San Francisco: Jossey-Bass.
Schlienger, T., & Teufel, S. (2005, May). Tool supported management of information security culture. In IFIP International Information Security Conference (pp. 65-77). Springer, Boston, MA.
Scholl, M., Leiner, K., & Fuhrmann, F. (2017). Blind spot: Do you know the effectiveness of
your Information security awareness-raising program?. WMSCI 2017 - 21St World
Multi-Conference On Systemics, Cybernetics And Informatics, Proceedings, 1(WMSCI 2017 - 21st World Multi-Conference on Systemics, Cybernetics and Informatics, Proceedings), 361-366.
Staying ahead of insider threats and human error. (2017). Briefings on HIPAA, 17(2), 5-9.
Stringer, E. T. (2013). Action research. Sage Publications.
Svensson L, Brulin G, Ellström P-E & Widegren Ö (red) (2002): Interaktiv forskning – för utveckling av teori och praktik. Stockholm: Arbetslivsinstitutet.
Taylor, J. B. (2010). Safety Culture : Assessing and Changing the Behaviour of
Organisat-ions. Surrey, England: Gower.
Thomson, K., von Solms, R., & Louw, L. (2006). Cultivating an organizational information security culture. Computer Fraud & Security, 2006(10), 7-11.
doi:10.1016/S1361-3723(06)70430-4
Totalförsvarets forskningsinstitut(FOI) . (2013). Definition of Information Security Culture. Hämtad från/Retrieved from URL
Trim, P. J., & Upton, D. (2013). Cyber Security Culture : Counteracting Cyber Threats
Through Organizational Learning and Training. Farnham: Routledge.
Vacca, J. R. (2014). Managing Information Security. Waltham, MA: Syngress.
Van Niekerk, J., & Von Solms, R. (2010). Information security culture: A management
per-spective. Computers & Security, 29(4), 476-486. doi:10.1016/j.cose.2009.10.005
Vetenskapsrådet. (1990). Forskningsetiska principer - Codex - Vetenskapsrådet. Hämtad 2018-03-18 från http://www.codex.vr.se/texts/HSFR.pdf
Von Solms, B., & Von Solms, R. (2004). The 10 deadly sins of information security mana-gement. Computers & Security, 23(5), 371-376.
Vroom, C., & von Solms, R. (2004). Towards information security behavioural compliance.
Computers & Security, 23(3), 191-198. doi:10.1016/j.cose.2004.01.012
Wright, K. B. (2005). Researching Internet-based populations: Advantages and disadvanta-ges of online survey research, online questionnaire authoring software packadisadvanta-ges, and web survey services. Journal of computer-mediated communication, 10(3), JCMC1034.
Bilaga 1. Enkät
Frågorna i denna enkät är utformad av Askwall, N (2013). Utvärderingsmetod
Säkerhetskul-tur (Kandidatuppsats). Blekinge Tekniska Högskola, Karlskrona.