Återskapandet av studien blir svårt i och med att deltagande organisationer är anonymiserade, men det ses inte som negativt då det öppnar upp till nya möjliga åsikter och perspektiv som kan påverka resultatet. Ett ytterligare forskningsområde som borde undersökas är ifall anställda “på golvet” får samma utbildning eller information som resterande anställda inom organisationen. Detta var något som uppkom vid ett antal intervjuer där anställda hade skilda åsikter kring ifall alla anställda ska få samma utbildning eller ifall vissa behöver den mer än andra och därmed prioriteras.
Författarna såg inom några organisationer en slags mentalitet att lösa problemet med informationssäkerhetsmedvetenheten med hjälp av tekniska medel i stället för administrativa, därmed kan framtida studier undersöka ifall en partiskhet för tekniska informationssäkerhetsåtgärder finns inom tillverkningsindustrin. Framtida studier skulle också kunna utföra en fallstudie där presenterade rekommendationer införs eller förändrar nuvarande utbildningsåtgärder hos en organisation och sedan mäter effektiviteten av dessa på de anställdas informationssäkerhetsmedvetenhet.
Majoriteten av de deltagande organisationerna hade införda utbildningsåtgärder för att utbilda anställda inom informationssäkerhet. Däremot hade ett företag inga nuvarande utbildningsåtgärder, vilket medför att vidare forskning borde inkludera ett större antal organisationer för att se om flera organisationer inte har införda utbildningsåtgärder. Därefter kan en generaliserad bild av situationen inom tillverkningsindustrin framställas.
Referenser
Abawajy, J. (2014). User preference of cyber security awareness delivery methods.
Behaviour & information technology, 33(3), 237-248.
doi:10.1080/0144929X.2012.708787
Ajzen, I., & Dolores, A. (2011). Predicting and changing behavior: A reasoned action approach. In M. Fishbein, & I. Ajzen, Prediction and Change of Health Behavior: Applying the Reasoned Action Approach (pp. 3-21). Psychology Press.
Al-Omari, A., Deokar, A., El-Gayar, O., Walters, J., & Aleassa, H. (2013). Information Security Policy Compliance: An Empirical Study of Ethical Ideology. 2013 46th Hawaii International Conference on System Sciences (pp. 3018-3027). ailea, Maui, HI, USA: IEEE.
Bada, M., & Nurse, J. R. (2019). Developing cybersecurity education and awareness programmes for Small and medium-sized enterprises (SMEs). Information & Computer Security Journal, 27(3), 393-410. doi:10.1108/ICS-07-2018-0080 Bauer, S., & Bernrioder, E. (2017). From Information Security Awareness to Reasoned
Compliant Action: Analyzing Information Security Policy Compliance in a Large Banking Organization. The data base for advances in information systems, 48(3), 44-68. doi:10.1145/3130515.3130519
Bergström, E., Lundgren, M., & Ericson, Å. (2019). Revisiting information security risk management challenges: a practice perspective. Information and Computer Security, 27(3), 358-372. doi:https://doi.org/10.1108/ICS-09-2018-0106 Beznosov, K., Beznosova, O., & Furnell, S. (2007). On the imbalance of the security
problem space and its expected consequences. Information management & computer security, 15(3), 420-431. doi:10.1108/09685220710831152
Bilal, K., Khaled S, A., Syed Irfan, N., & Muhammad Khurram, K. (2011). Effectiveness of information security awareness methods based on psychological theories. African journal of business management, 5(26), 10862- 10686. doi:10.5897/AJBM11.067
Blomqvist, P., & Hallin, A. (2015). Metod för teknologer. Lund: Studentlitteratur. Bryman, A., & Nilsson, B. (2002). Samhällsvetenskapliga Metoder. Malmö: Liber. Bulgurcu, B., Cavusoglu, H., & Benbasat, I. (2010). Information Security Policy
Compliance: An Empirical Study of Rationality-Based Beliefs and Information Security Awareness. MIS quarterly, 34(3), 523-548. doi:10.2307/25750690
Carter, N. B.-L., DiCenso, A., Blythe, J., & Neville, A. J. (2014). The use of triangulation in qualitative research. Oncology nursing forum, 41(5), 545-547. doi:10.1188/14.ONF.545-547
Cavusoglu, H., Cavusoglu, H., Son, J., & Benbasat, I. (2009). Information security control resources in organizations: A multidimensional view and their key drivers. working paper, Sauder School of Business, University of British Columbia.
Chmura, J. (2017). Forming the awareness of employees in the field of information security. Journal of Positive Management, 8(1), 76-85. doi:http://dx.doi.org/10.12775/JPM.2017.006
Chua, H. N., Wong, S. F., Low, Y. C., & Chang, Y. (2018). Impact of employees’ demographic characteristics on the awareness and compliance of information security policy in organizations. Telematics and informatics, 35(6), 1770-1780. doi:10.1016/j.tele.2018.05.005
Clarke, V., Braun, V., & Hayfield, N. (2006). Thematic Analysis. In J. A. Smith, Qualitative Psychology: A Practical Guide to Research Methods (p. 312). Kalifornien: SAGE.
Culot, G., Fattori, F., Podrecca, M., & Sartor, M. (2019, september). Addressing Industry 4.0 Cybersecurity Challenges. IEEE Engineering Management Review, 47(3), 79-86. doi:10.1109/EMR.2019.2927559
D'Arcy, J., Herath, T., & Shoss, M. K. (2014). Understanding Employee Responses to Stressful Information Security Requirements: A Coping Perspective. Journal of management information systems, 31(2), 285-318. doi:10.2753/MIS0742- 1222310210
D'Arcy, J., Hovav, A., & Galletta, D. (2009). User Awareness of Security Countermeasures and Its Impact on Information Systems Misuse: A Deterrence Approach. Information systems research, 20(1), 79-98. doi:10.1287/isre.1070.0160
Diehl, E. (2016). Ten Laws for Security. Cham: Springer International Publishing AG. Enigbokan, O., & Ajayi, N. (2017). Managing Cybercrimes Through the Implementation of Security Measures. Journal of information warfare, 16(1), 112-129.
EU. (2016, April 27). Europeiska unionens officiella tidning. Retrieved from EUR-Lex: https://eur-lex.europa.eu/legal-
Franke, U., & Wernberg, J. (2020). A survey of cyber security in the Swedish manufacturing industry. 2020 International Conference on Cyber Situational Awareness, Data Analytics and Assessment (CyberSA) (pp. 1-8). Stockholm: IEEE.
Ghafir, I., Saleem, J., Hammoudeh, M., Faour, H., Prenosil, V., Jaf, S., . . . Baker, T. (2018). Security threats to critical infrastructure: the human factor. The Journal of supercomputing, 74(10), 4986-5002. doi:10.1007/s11227-018-2337-2 Goode, J., Levy, Y., Hovav, A., & Smith, J. (2018). Expert assessment of organizational
cybersecurity programs and development of vignettes to measure cybersecurity countermeasures awareness. The Online journal of applied knowledge management, 6(1), 67-80. doi:10.36965/OJAKM.2018.6(1)67-80
Gundu, T. (2019). Acknowledging and Reducing the Knowing and Doing Gap in Employee. International Conference on Cyber Warfare and Security (p. 11). Stellenbosch: ResearchGate.
Haney, J., & Lutters, W. (2020). Security Awareness Training for the Workforce: Moving Beyond "Check-the-Box" Compliance. Computer, 53(10), 91-95. doi:10.1109/MC.2020.3001959
Herath, T., & Rao, H. (2009). Encouraging information security behaviors in organizations: Role of penalties, pressures and perceived effectiveness. Decision Support Systems, 47(2), 154-165. doi:10.1016/j.dss.2009.02.005 Hu, Q., Dinev, T., Hart, P., & Cooke, D. (2012). Managing Employee Compliance with
Information Security Policies: The Critical Role of Top Management and Organizational Culture*: Managing Employee Compliance with Information Security Policies. Decision Sciences, 43(4), 615-660. doi:10.1111/j.1540- 5915.2012.00361.x
Hänsch, N., & Benenson, Z. (2014). Specifying IT security awareness. 25th International Workshop on Database and Expert Systems Applications (pp. 326-330). Erlangen, Germany: IEEE.
Kaur, J., & Mustafa, N. (2013). Examining the effects of knowledge, attitude and behaviour on information security awareness: A case on SME. 2013 International Conference on Research and Innovation in Information Systems (ICRIIS) (pp. 286-290). Kuala Lumpur, Malaysia: IEEE.
Kävrestad, J., & Nohlberg, M. (2020). ContextBased MicroTraining: A Framework for Information Security Training. Human Aspects of Information Security and Assurance (pp. 71-81). Springer, Cham.
Journal of enterprise information management, 33(1), 191-213. doi:10.1108/JEIM-01-2019-0018
Ling, L., Wu, H., Li, X., Ivan, A., & Xiaohong, Y. (2019). Investigating the impact of cybersecurity policy awareness on employees’ cybersecurity behavior.
International journal of information management, 45, 13-24.
doi:10.1016/j.ijinfomgt.2018.10.017
Lopes, I., & Oliveira, P. (2015). Applying Action Research in the Formulation of Information Security Policies. In I. Lopes, & P. Oliveira, New Contributions in Information Systems and Technologies (pp. 513-522). Cham: Springer International Publishing.
Mastrobuoni, G. (2020, November). Crime is Terribly Revealing: Information Technology and Police Productivity. The Review of economic studies, 87(6), 2727-2753. doi:10.1093/restud/rdaa009
Merhi, M., & Ahluwalia, P. (2019). Examining the impact of deterrence factors and norms on resistance to Information Systems Security. Computers in human behavior, 92, 37-46. doi:10.1016/j.chb.2018.10.031
MSB. (2019, mars 19). Myndigheten för samhällsskydd och beredskap. Retrieved from MSB: https://www.msb.se/sv/amnesomraden/informationssakerhet- cybersakerhet-och-sakra-kommunikationer/systematiskt-
informationssakerhetsarbete/informationssakerhet-i-samhallet/
Nayak, U., & Hodeghatta Rao, U. (2014). The InfoSec Handbook: An Introduction to Information Security. Berkeley: CA: Apress.
Park, S., & Ruighaver, T. (2008). Strategic Approach to Information Security in Organizations. 2008 International Conference on Information Science and Security (pp. 23-31). Seoul, South Korea: IEEE.
Pfleeger, C. P., Pfleeger, S. L., & Margulies, J. (2015). Security in computing. Upper Saddle River: NJ : Prentice Hall.
Ponsard, C., Grandclaudon, J., & Bal, S. (2019). Survey and Lessons Learned on Raising SME. Proceedings of the 5th International Conference on Information Systems Security and Privacy (pp. 558-563). Charleroi, Belgium: CETIC Research Centre.
Press, T. A. (2000, Mars 2). The New York Times . Retrieved from 03/01-21 The New
York Times :
https://archive.nytimes.com/www.nytimes.com/library/tech/00/03/biztech/artic les/02hack.html
Rocha Flores, W., & Antonsen, E. (2013). The development of an instrument for assessing information security in organizations: Examining the content validity using quantitative methods. The International Conference on Information Resources Management (p. 44). Natal: Association for Information Systems. Rose, D. M. (2015). Employee adoption of information security measures in the
manufacturing sector using extended TAM under a quantitative study. Ann Arbor: ProQuest LLC.
Saunders, M. N., Lewis, P., & Thornhill, A. (2019). Research Methods For Business Students. Harlow: Pearson.
Schütz, A. E., Weber, K., & Fertig, T. (2020). Analyze Before You Sensitize: Preparation of a Targeted ISA Training. Faculty of Computer Science and Business Information Systems (pp. 6538-6547). Würzburg, Germany: University of Applied Sciences W¨urzburg-Schweinfurt.
Sessink, D. (2020). Creating and Maintaining Organizational Security Awareness in SMEs. Enschede, Nederländerna: Electrical Engineering, Mathematics and Computer Science.
Siponen, M. T. (2000). A Conceptual Foundation for Organizational Information Security Awareness. Information management & computer security, 8(1), 31- 41. doi:10.1108/09685220010371394
Siponen, M., Mahmood, A., & Pahnila, S. (2014). Employees’ adherence to information security policies: An exploratory field study. Information & management, 51(2), 217-224. doi:10.1016/j.im.2013.08.006
SIS. (2015). Terminologi för informationssäkerhet SIS-TR 50:2015. Stockholm. SIS. (2017). Svenska Institutet för Standarder. Retrieved from Informationsteknik -
Säkerhetstekniker - Ledningssystem för informationssäkerhet - Krav (ISO/IEC
27001:2013 med Cor 1:2014 and Cor 2:2015):
https://www.sis.se/produkter/terminologi-och-
dokumentation/informationsvetenskap-publicering/dokument-for- administration-handel-och-industri/ssenisoiec270012017/
Soomro, Z. A., Shah, M. H., & Ahmed, J. (2016). Information security management needs more holistic approach: A literature review. International Journal of Information Management, 36(2), 215-225. doi:10.1016/j.ijinfomgt.2015.11.009 Stalling, W., & Brown, L. (2008). Computer Security Principles and Practice. New
Stefanuik, T. (2020). TRAINING IN SHAPING EMPLOYEE INFORMATION SECURITY AWARENESS. Entrepreneurship and Sustainability Issues, 7(3), 1832-1846. doi:10.9770/jesi.2020.7.3(26)
Vetenskapsrådet. (2002, Februari 20). Diva-portal. Retrieved from diva-portal: https://hj.diva-portal.org/smash/get/diva2:1446083/FULLTEXT01.pdf
Workman, M., & Gathegi, J. (2007). Punishment and ethics deterrents: A study of insider security contravention. Journal of the American Society for Information Science and Technology, 51(2), 212-222. doi:10.1002/asi.20474
Xiaolei, C., & Pinghua, Z. (2020). Information Security and Adoptable Solutions in the Implementation of Industry 4.0 Strategy for the Fourth-generation Industrial Revolution. Journal of physics. Conference series. 1682. IOP Publishing. Yeh, Q.-J., & Chang, A. J.-T. (2007). Threats and countermeasures for information
system security: A cross-industry study. Information & management, 44(5), 480-491. doi:10.1016/j.im.2007.05.003
Yuryna Connolly, L., Lang, M., Gathegi, J., & Tygar, D. J. (2017). Organisational culture, procedural countermeasures, and employee secuirty behaviour: A qualitative study. Information & Computer Secuirty, 25(2), 118-136. doi:10.1108/ICS-03-2017-0013
Zec, M. (2015). Cyber security Measures in SMEs: a study of IT professionals’ organizational cyber security awareness. Växjö, Sverige: Department of Technology.
Bilagor
Bilaga 2 Intervjuguide – ansvarig för val av utbildningsåtgärder
Teman Exempelfrågor Källa/or Inledande Förklara att vi undersöker hur
tillverkningsindustrin arbetar aktivt med att utbilda anställda inom InfoSec.
Uppmuntra respondenten att utveckla sina svar.
Informera respondenten att intervjun spelas in samt att på respondentens önskan kan intervjun avbrytas när som helst.
Data hanteras enbart av författarna, handledaren och examinatorn samt raderas vid publicering av
examensarbetet.
Bakgrund Vad har du för titel/arbetsroll? Hur länge har du varit anställd här? Vad har du för utbildning? (inom deras arbetsområde samt Infosec)
Generell info
InfoSec Vad betyder informationssäkerhet för er organisation?
(Bulgurcu, Cavusoglu, & Benbasat, 2010; Rocha Flores & Antonsen, 2013)
Utbildningsåtgärder Hur arbetar ni aktivt med att utbilda era anställda inom informationssäkerhet? Vilka utbildningsåtgärder används inom organisationen för att öka anställdas kunskap och medvetenhet avseende informationssäkerhet?
Ex. (Workshops,föreläsning, online-kurs, nyhetsbrev via mail, affischer)
Kan du ge ett exempel på någon av dessa, hur fungerar era föreläsningar? Är det intern eller extern expertis? Leder du workshops eller är det någon som ni hyr in?
Om du berättar om “fall/exempel” som kan förekomma inom informationssäkerhet, hur väljer du dessa?
Verksamhetsspecifika? Allmänt för samhället? (Hänsch & Benenson, 2014) (Haney & Lutters, 2020) (Ponsard, Grandclaudon & Bal, 2019) (Bada & Nurse, 2019)
Har ni någon informationssäkerhetspolicy inom organisationen?
Om inte, har ni några riktlinjer eller policys
Används ISP/policys som en form av åtgärd för att få anställda medvetna om
informationssäkerhet?
På vilket sätt förmedlas den i så fall?
Upplever du någon speciell utmaning vid förmedling av information till anställda när det gäller deras kompetensnivå inom informationssäkerhet?
Måste du förenkla informationen så att den gemena man förstår? Vilka bestämmer utbildningsåtgärderna?
Väljer du fritt fram eller måste du få ledningens godkännande? Har anställda en direkt påverkan av val av åtgärder?
Ger anställda feedback efter deltagande eller får de ge önskemål innan val genomförs? Om inte, varför?
Varför har ni bortsett från andra åtgärder? Vilka faktorer har ni fått tagit ställning till vid val av utbildningsåtgärder? (Kostnad, tid, medium, tidigare erfarenhet)
Hur limiteras valen av budgeten som bestås till
informationssäkerhet? Anpassar ni valet av
utbildningsåtgärd till anställdas tillgängliga tid?
(Finns dedikerad tid, eller måste de ta del av
utbildning på eget ansvar?) & (tid beror även på vad för sorts åtgärd som används) Varför har ni valt att utföra
utbildningen online alt. face-to- face?
Hur har tidigare erfarenhet påverkat valet av
anställning, läst på nätet eller liknande)
Har utbildningsåtgärder anpassats till olika avdelningar eller är det detsamma för alla?
Om det är anpassat, på vilket sätt anpassas åtgärderna?
Varför har
utbildningsåtgärderna anpassats?
Utöver anpassning, har åtgärderna begränsats till någon viss
avdelning?
Varför i så fall?
Följer ni upp utbildningsåtgärderna? Är det återkommande och isåfall hur läggs arbetet upp.
Har ni upplevt några utmaningar vid införandet av åtgärder?
Vilka i så fall?
Hur hanterade ni de?
Upplevelse Hur upplever du att dessa åtgärder fungerar?
Vad för respons upplever du att de anställda ger till de olika utbildningsåtgärderna?
Ses det någon förändring hos de anställda?
Vilka förändringar “ses”?
(Zec, 2015) (Stefanuik, 2020)
Övrigt Är det något du tycker är viktigt som vi missat att ta upp?
Varför tycker du det är viktigt?
Bilaga 3 Intervjuguide – anställda
Teman Exempelfråga Källa Inledande Förklara att vi undersöker hur
tillverkningsindustrin arbetar aktivt med att utbilda anställda inom InfoSec.
Uppmuntra respondenten att utveckla sina svar.
Informera respondenten att intervjun spelas in samt att på respondentens önskan kan intervjun avbrytas när som helst.
Data hanteras enbart av författarna, handledaren och examinatorn samt raderas vid publicering av
examensarbetet.
Bakgrund Vad har du för titel/arbetsroll? Hur länge har du varit anställd här? Vad har du för utbildning? (inom deras arbetsområde)
Generell info
InfoSec Hur kopplar du informationssäkerhet till ditt arbete?
Har du kännedom om de riktlinjer och policys som organisationen har infört för att bibehålla informationssäkerhet?
Förstår du innehållet och hur du applicerar dem till ditt arbete?
(Bulgurcu, Cavusoglu, & Benbasat, 2010; Rocha Flores & Antonsen, 2013)
Upplevelse av utbildningsåtgärder
(Öppen fråga) hur vill ni att man ska arbeta med utbildningar kopplade till informationssäkerhet?
På vilket sätt upplever du att
organisationen försöker utbilda dig inom informationssäkerhet?
När läste du senast något
informationssäkerhets relaterat inom organisationen?
Vad för “medium” användes? Var det intressant?
Varför? Om inte, varför?
Får ni uppdateringar eller nyhetsbrev angående informationssäkerhet?
Läser du dem?
Hur ofta skickas det ut?
Tycker du de är intressant eller orelevanta till ditt arbete?
Finns det någon eller några affischer som uppmärksammar just
informationssäkerhet?
Är de tydliga eller inte?
Vad upplever du att de förmedlar? Om organisationen inte använder sig av någon av de tidigare nämnda åtgärderna, är det något du känner hade påverkat ditt intresse eller åsikt om
informationssäkerhet?
(Goode et al., 2018)
(Bada & Nurse, 2019) (Haney & Lutters, 2020) (Bulgurcu, Cavusoglu, & Benbasat, 2010)
Varför, varför inte?
Vilken åtgärder hade enligt dig vart det bästa valet?
Varför?
Hur intressant tyckte du föreläsningar inom informationssäkerhet har varit?
Fångade de din uppmärksamhet eller var det väldigt tröttsamt och ointressant?
Är det stora grupper per
föreläsning eller relativt små så föreläsaren kan lättare
engagerade publiken? Gav föreläsningen dig en förståelse för
informationssäkerhetens vikt eller var den repetitiv och meningslös? Tyckte du workshops/praktiska moment var lärorika och givande?
Var denna åtgärd applicerbar i arbetet, kunde du dra en praktisk nytta?
Gjorde workshopen/praktiska momentet dig mer engagerad och aktiv inom informationssäkerhet? Vad är det för exempel/fall som används för att förmedla konsekvenser vid
“intrång”?
Hur hade du blivit bemött ifall du hade klickat på en “länk”?
Får man någon slags bestraffning eller får man beröm för man vågat erkänna, etc.?
Hur upplever du att dessa
utbildningsåtgärder fungerar alt. inte fungerar?
Varför? Är de intressanta,
förståeliga, tidskrävande (har dem tiden att lägga), applicerbarhet i arbetet
Upplever du att ni kan påverka valet av utbildningsåtgärder?
Hur i så fall? (Feedback efter deltagande eller önskemål innan) Om inte, är det något du anser skulle påverka din delaktighet eller engagemang till InfoSec
Upplever du att någon utbildningsåtgärd saknas eller bör förändras för att fungera bättre?
Vad för åtgärd anser du saknas och varför?
Vad är det för åtgärd som kan förändras och varför?
Har du erfarenhet av andra utbildningsåtgärder? (från tidigare använda åtgärder)
Vilka då?
Hur upplevde du dem? Var de bättre eller sämre än de som används i nuvarande
organisation?
(Öppen fråga) hur vill ni att man ska arbeta med utbildningar kopplade till informationssäkerhet?
Övrigt Är det något du tycker är viktigt som vi missat att ta upp?