Vad påverkar anställdas regelföljande inom informationssäkerhet?
En litteraturstudie som kartlägger och undersöker samband mellan aspekterna motivation, medvetenhet, utbildning och ledarskap.
Författare: Ellinor Danielsson (921116), Malin Malmgren (930801) och Anna Svensson (841225)
Ht 2020
Informatik med systemvetenskaplig inriktning, kandidatkurs 30 hp Ämne: Informatik
Handelshögskolan vid Örebro universitet Handledare: Ella Kolkowska
Sammanfattning
Den mänskliga faktorn är det största hotet mot informationssäkerheten inom organisationer. Informationssäkerhet handlar om att skydda viktig information då informationen är en väsentlig tillgång. De flesta organisationer har regler, riktlinjer och principer inom informationssäkerhet som de anställda förväntas följa men det är inte alltid regelföljandet håller den höga nivå som organisationer önskar eller har behov av. Vi har därför studerat vad det är som påverkar regelföljandet inom informationssäkerhet bland anställda inom organisationer. Vi har utifrån tidigare forskning identifierat fyra centrala begrepp inom ämnesområdet som vår studie utgår ifrån och dessa var motivation, medvetenhet, utbildning och ledarskap. Syftet med vår studie var att systematiskt kartlägga tidigare forskning för att studera hur de centrala begreppen påverkar regelföljandet inom informationssäkerhet bland anställda. Utifrån detta formulerade vi två forskningsfrågor där den första syftade till att kartlägga vad den tidigare forskningen hade lyft fram för att sedan i fråga två studera eventuella samband mellan de centrala begreppen. Vi har utfört en teoriutvecklande litteraturstudie där vi analyserade de utvalda artiklarna genom en kvalitativ innehållsanalys. Detta resulterade i en sammanställning av den tidigare forskningen inom ämnesområdet, samt en grafisk representation av relationerna mellan de centrala begreppen i form av ett diagram. Vi såg därmed att det existerade relationer mellan de centrala begreppen men vi behövde utröna hur sambanden såg ut och på vilket sätt de samverkade. Utifrån detta identifierade vi fyra ofta förekommande teman, självförmåga, kunskap, uppmuntran och organisation, som låg till grund för hur vi strukturerade sambanden. Sambanden ställdes upp i ett konceptuellt ramverk. Ramverket har inom omfattningen av denna studie inte testats empirisk utan det åligger andra forskare att fortsätta arbetet och empiriskt testa de framtagna sambanden. Nyckelord: Informationssäkerhet, ledarskap, medvetenhet, motivation, regelföljande, utbildning.
Förord
Vi vill utdela ett stort tack till Ella Kolkowska som har varit vår handledare och bistått med stort stöd under uppsatsskrivandet. Hon har bidragit med värdefulla råd och feedback genom hela processen och alltid tagit sig tid att diskutera och vägleda oss genom oklarheter.
Begreppslista
Följande begreppslista beskriver våra egna definitioner av vanligt förekommande begrepp och förkortningar som använts i uppsatsen.
Informationssäkerhet - Avser att bibehålla och skydda konfidentialiteten, tillgängligheten och
riktigheten hos information (Svenska Institutet för Standarder [SIS], 2020).
Informationssäkerhetsregler - Regler, riktlinjer och principer som ställts upp av en organisation
med syftet är att hantera information på ett säkert sätt och därigenom öka informationssäkerheten. Ett exempel på en informationssäkerhetsregel är: Anställda ska logga ut från IT-resurser eller låsa skärmen när de lämnar sin dator utan uppsikt.
ISM - Förkortning av informationssäkerhetsmedvetenhet. Se medvetenhet nedan.
Ledarskap - Ledarskap i relation till regelföljande inom informationssäkerhet innebär de personer
som har auktoritet och ansvarar för att formulera och ge ut säkerhetspolicys till anställda inom organisationen. Exempelvis ledning, chefer och informationssäkerhetsansvariga.
Medvetenhet - I denna kontext innebär medvetenhet de anställdas förståelse och övergripande
kunskap kring informationssäkerhet inom organisationen.
Motivation - Motivation i detta sammanhang syftar till de anställdas drivkraft till att följa regler
inom informationssäkerhet.
Organisation - Begreppet organisation innefattar företag och verksamheter som på något vis har
ett behov av att skydda sin information och som har riktlinjer för hur detta ska uppnås.
Regelföljande inom informationssäkerhet - Syftar till hur anställda förhåller sig till att följa och
faktiskt följer informationssäkerhetsregler.
SETA-program - Security Education Training Awareness program. Ett utbildningsprogram som
syftar till att uppnå informationssäkerhetsmedvetenhet.
Utbildning - Utbildning i relation till informationssäkerhet syftar på alla typer av
utbildningsmetoder som genomförs för att öka kunskapen och regelföljandet hos de anställda, i egenskap att uppnå informationssäkerhet.
Innehållsförteckning
1. Introduktion 1
1.1 Syfte och forskningsfråga 2
1.2 Avgränsning 3
2. Tidigare Forskning 3
2.1 Centrala begrepp 3
2.2 Relaterad forskning 4
3. Metod 6
3.1 Litteraturstudie (sökning och urval) 7
3.2 Kvalitativ innehållsanalys 12
3.2.1 Kodschema 13
3.3 Käll- och metodkritik 15
4. Analys och Resultat 16
4.1 Resultat av kvalitativ innehållsanalys 16
4.1.1 Motivation 16 4.1.2 Medvetenhet 19 4.1.3 Utbildning 20 4.1.4 Ledarskap 22 4.2 Konceptuellt ramverk 24 4.2.1 Självförmåga 27 4.2.2 Kunskap 27 4.2.3 Uppmuntran 28 4.2.4 Organisation 30 5. Diskussion 31 5.1 Diskussion av resultat 31
5.2 Återkoppling till tidigare forskning 32
6. Slutsats och bidrag 33
6.1 Besvarande av forskningsfrågor och slutsatser 33
6.2 Bidrag och uppslag till framtida forskning 34
1. Introduktion
Information är en betydelsefull tillgång för organisationer och företag runt om i världen; utan information kan många verksamheter inte operera överhuvudtaget. På grund av den snabba utvecklingen av informationstekniker, den omfattande användningen av internet i synnerhet, blir den information som organisationer förlitar sig på sårbar för både externa och interna informationssäkerhetshot (Tang, Li & Zhang, 2015). Arbetet med informationssäkerhet som har som mål att skydda viktig information inom organisationer och företag är följaktligen av största vikt och informationssäkerhet är därför ett aktuellt och intressant ämne att studera.
Enligt Govender, Kritzinger och Loock (2016) är det mänskliga handlingar som står för de flesta säkerhetsöverträdelser inom organisationer och de anställda anses vara det största hotet då de kan orsaka skada antingen med avsikt eller genom att inte tänka sig för. De lyfter fram att faktorer som kan leda till att anställda omedvetet utsätter organisationen för säkerhetsrisker är låg medvetenhet, bristande utbildning och avsaknad av motivation.
Det ämnesområde vi har valt att fördjupa oss i är informationssäkerhet med fokus på faktorer som påverkar regelföljandet inom informationssäkerhet bland anställda inom organisationer. Sommestad et al. (2014) beskriver att informationssäkerhet handlar om att skydda sin organisation från interna och externa säkerhetsrelaterade hot och för att organisationer ska kunna skydda sig mot dessa hot är det vanligt att ledningen inför informationssäkerhetspolicys som bland annat innefattar principer, regler och riktlinjer som de vill sina anställda ska följa. Vidare lyfter författarna att avsikten med dessa regler är att ledningen ska få stöd i hur de ska arbeta med säkerheten inom organisationen samt att reglerna i slutändan ska bidra till en högre säkerhetsnivå. Utmaningen är dock inte att formulera dessa regler utan det är snarare att få anställda att förhålla sig och följa de riktlinjer som tagits fram (Sommestad et al., 2014). Vi fann därmed intresse av att undersöka vad som påverkar anställda att följa eller inte följa informationssäkerhetsregler som satts upp för att nå en högre informationssäkerhetsnivå inom organisationer.
Vi har genomfört en mindre förberedande litteraturstudie för att se vilken forskning som tidigare gjorts inom ämnesområdet. I den undersökte vi fem vetenskapliga artiklar som studerade anställdas beteenden, motivation och vilja att följa regler, riktlinjer och principer inom informationssäkerhet. Dessa studier var dock fokuserade på enskilda aspekter, exempelvis ledarskapets inverkan eller utbildning inom informationssäkerhet. Vi observerade vissa gemensamma nämnare som vi ansåg var centrala begrepp för ämnesområdet och dessa var motivation, medvetenhet, utbildning och ledarskap. Motivation var ett återkommande begrepp som hänvisade till hur anställda motiveras till att följa säkerhetsdirektiv, eller vad motivationen var för att inte göra det (Alshaikh, 2020; D’Arcy & Greene, 2014; Hooper & Blunt, 2020). Anställdas medvetenhet om informationssäkerhet lyftes fram som en betydelsefull faktor, det vill säga om anställda är medvetna om vilka direktiv som ska följas eller om de är medvetna om de risker och effekter som
är associerade med exponerad information (Ahmad et al., 2016; Alshaikh, 2020; D’Arcy & Greene, 2014; Stefaniuk, 2020). Utbildning är ytterligare en aspekt som återkommer, både tidigare utbildningsnivå hos de anställda samt intern utbildning i informationssäkerhet (Ahmad et al., 2016; Alshaikh, 2020; Stefaniuk, 2020). Slutligen lyftes att ledarskapet har en stor betydelse för en organisations nivå och hantering av informationssäkerhet (D’Arcy & Greene, 2014; Hooper & Blunt, 2020; Knapp et al., 2006).
De fyra centrala begreppen som vi identifierade väckte en undran hos oss och en vilja att undersöka detta vidare. Efter att ha läst in oss ytterligare på området ansåg vi fortfarande att dessa begrepp var högst relevanta och intressanta att undersöka då de var ofta förekommande och återkommande inom forskningsområdet. Som tidigare nämnts, behandlar tidigare studier ofta begreppen enskilt. Vi kunde således se med stöd från vår förberedande litteraturstudie att det fanns en kunskapslucka vad gäller helhetsbilden, det vill säga om hur de centrala begreppen vi identifierade: motivation, medvetenhet, utbildning och ledarskap, eventuellt samverkar och påverkar varandra för att gemensamt bidra till ett ökat regelföljande beteende.
1.1 Syfte och forskningsfråga
Syftet med denna uppsats är att kartlägga befintlig forskning inom ämnesområdet informationssäkerhet för att undersöka hur de centrala begreppen motivation, medvetenhet, utbildning och ledarskap påverkar regelföljande inom informationssäkerhet bland anställda inom organisationer.
Vidare har vi som mål med uppsatsen att finna kunskapsluckor samt få en ökad förståelse kring vad som återstår för framtida forskare att lära sig mer om inom ämnesområdet. Vi har även som mål att ta fram ett konceptuellt ramverk som sammanställer den kunskap som tagits fram i befintlig forskning, uppmärksammar vilken kunskap som saknas och belyser eventuella samband mellan de centrala begreppen. Det konceptuella ramverket som kommer tas fram kommer inte att prövas empiriskt då det inte finns tid och möjlighet för detta inom ramen för denna studie. Vår förhoppning är att studiens resultat, det konceptuella ramverket, kommer underlätta för forskare i framtiden som vill studera ämnesområdet vidare. Målgruppen är således främst andra forskare som har ett intresse av att bygga vidare på och empiriskt pröva ramverket.
Utifrån syftet ovan formulerades följande forskningsfrågor:
1. Vad lyfter tidigare forskning upp om hur motivation, medvetenhet, utbildning och ledarskap påverkar regelföljande inom informationssäkerhet bland anställda inom organisationer?
2. Vilka samband finns det mellan de centrala begreppen: motivation, medvetenhet, utbildning och ledarskap?
1.2 Avgränsning
I den tidigare forskningen inom ämnesområdet informationssäkerhet återkommer ofta olika områden såsom regelföljande, medvetenhet och kultur. Vi har dock valt att avgränsa studien till att endast beröra ett av dessa områden, nämligen regelföljande.
Studien avgränsar sig även till att undersöka hur motivation, medvetenhet, utbildning och ledarskap påverkar regelföljandet inom informationssäkerhet. Med motivation menar vi hur motiverade anställda är att följa regler inom informationssäkerhet och med medvetenhet syftar vi till hur medvetna anställda är om organisationens informationssäkerhetsregler. Utbildning innefattar i vilken mån anställda erhåller informationssäkerhetsutbildning och ledarskap innebär de med auktoritet och har ansvar för informationssäkerhetsarbetet i organisationen. Med regelföljande menar vi om anställda inom en organisation följer regler rörande informationssäkerhet och inte regelföljande av de anställda i allmänhet.
Begreppet organisation förekommer ofta i studien och med organisation menas företag och verksamheter som på något vis arbetar med informationssäkerhet. Vi menar alltså inte enbart organisationer som arbetar med informationssystemutveckling, utan alla organisationer med ett behov av att skydda sin information och som har riktlinjer för hur detta ska uppnås. Med informationssäkerhet avses hur en organisation arbetar med säkerheten kring IT- och informationsrelaterade aspekter.
2. Tidigare Forskning
I detta avsnitt presenteras först utförliga definitioner och beskrivningar av de centrala begrepp som undersökningen utgår från. Detta för att öka förståelsen för begreppen, samt ge en beskrivning av vad vi valt att innefatta i respektive begrepp. Vidare redogörs för relaterad forskning som tidigare gjorts inom vårt valda ämnesområde. Den relaterade forskning som vi har valt att inkludera är tidigare litteraturstudier inom området informationssäkerhet.
2.1 Centrala begrepp
Informationssäkerhet - Avser att bibehålla och skydda konfidentialiteten, tillgängligheten och
riktigheten hos information. Med konfidentialitet menas att information inte görs tillgänglig eller delas med obehöriga individer, objekt eller processer. Tillgänglighet innebär att vara åtkomlig och användbar för de med behörighet. Riktighet handlar om att vara korrekt och fullständig (Svenska Institutet för Standarder [SIS], 2020).
Motivation - Karjalainen (2011) lyfter att det finns intern och extern motivation när det kommer
upplevelsen av effektiviteten av ens egna handlingar och den externa motivationen handlar om ledningens och arbetskamraters förväntningar på den anställda, arbetskamraters säkerhetsbeteende, förekomst av bestraffningar samt i vilken mån den anställda riskerar att bli upptäckt. Vi utgår från Karjalainens definitioner av intern och extern motivation i vår undersökning men vi kommer att använda oss av begreppet motivation när det kommer till båda typerna.
Medvetenhet - Enligt Jaeger (2018) innebär medvetenhet inom området för informationssäkerhet
en övergripande kunskap och förståelse kring säkerhetsfrågor och potentiella konsekvenser. Han menar alltså att informationssäkerhetsmedvetenhet (ISM) handlar om kunskap och förståelse om föreskrivna krav enligt organisationens informationssäkerhetsarbete. Vidare lyfter Jaeger (2018) att ISM inte bara handlar om att ha kunskap om något, en del definitioner inkluderar även processen för att uppnå medvetenhet och ett fåtal skiljer inte mellan medvetenhet och beteende. Vi har valt att använda oss av Jaegers definition om att medvetenhet handlar om att ha kunskap och förståelse för informationssäkerhet.
Utbildning - Utbildning inom informationssäkerhet genomförs för att uppnå informationssäkerhet
(Lebek et al., 2014). Enligt Karjalainen (2011) är målet med utbildning inom ISM att uppnå arbetsrelaterade förändringar gällande attityd och beteende bland användare av informationssystem. Lebek et al. (2014) lyfter fram SETA-program som exempel på utbildning vars syfte är att uppnå ISM. De beskriver att SETA är en förkortning av Security, Education, Training and Awareness och inkluderar förebyggande åtgärder inom dessa teman för att minska säkerhetsrelaterade incidenter orsakade av anställda. Vi utgår från att utbildning handlar om att ge ökad kunskap och en förhöjd ISM rörande informationssäkerhet.
Ledarskap - Ledarskap inom organisationer associeras ofta med personer som har auktoritet
(Karjalainen, 2011). Sommerstad et al. (2014) framhåller att ledningen har ansvar för att tillhandahålla informationssäkerhetspolicys inom organisationen; denna policy omfattar bland annat de regler, riktlinjer och avsikter som de eftersträvar att de anställda ska rätta sig efter. Vi definierar att ledningen i denna kontext dels kan innefatta högsta ledningen och chefer, dels utnämnda informationssäkerhetsansvariga inom organisationen.
2.2 Relaterad forskning
Det finns ett flertal litteraturöversikter som gjorts inom området informationssäkerhet. Ett urval av relevanta studier presenteras kortfattat nedan och då ingen av litteraturöversikterna hittills har undersökt eller besvarat frågan om hur flera faktorer samverkar beskriver vi även likheter och skillnader mellan studierna och vår undersökning i egenskap att lyfta fram behovet och den kunskapslucka vår undersökning ämnar fylla.
Cram, Proudfoot och D’Arcy (2017) har genomfört en litteraturstudie som ämnar att ge en tydligare helhetsbild och förståelse för informationssäkerhetsarbetet inom organisationer. Studien är baserad på 114 artiklar från 34 olika inflytelserika informationssäkerhetstidskrifter och som resulterade i att de identifierade fem centrala relationer som de valde att fokusera på. En av de fem centrala relationerna var att organisationen och de anställda har en informationssäkerhetskultur, stöd och medvetenhet som påverkar det avsedda eller faktiska följandet av informationssäkerhetsregler. Baserat på den tidigare forskningen och de fem identifierade centrala relationerna framställde de ett konceptcentrerat ramverk. Då de hade identifierat kunskapsluckor och brister i den tidigare forskningen valde de även att revidera ramverket för att ta fram ett konceptuellt ramverk som framtida forskning kan fokusera på. Denna studie liknar vår studie då Cram et al. (2017) syftar till att identifiera kunskapsluckor och ta fram relationer mellan koncept för att få fram en helhetsbild och förståelse för organisatoriska informationssäkerhetspolicys. Cram et al. (2017) fick fram en relation rörande hur organisationen och de anställda påverkas av medvetenhet, stöd och informationssäkerhetskultur när det kommer till regelföljandet inom informationssäkerhet och vi har valt att undersöka detta vidare och se om även motivation och utbildning är med och påverkar.
Jaeger (2018) lyfter att det finns en hel del forskning om ISM men att det finns en kunskapslucka kring helheten och relationen till andra faktorer. En litteraturstudie genomfördes och totalt granskades 40 artiklar för att se om det fanns något samband mellan ISM och andra faktorer. Fynden från litteraturstudien lyfte fram att kunskap kring ISM och negativa erfarenheter ökade individens ISM och rädsla för användning av datorer försvagade individens ISM. För att öka de anställdas medvetenhet inom organisationer visade det sig vara viktigt med kommunikation och kunskap om värdet av information samt vikten av informationsskydd. Resultatet visade även 17 olika variabler där ISM indirekt påverkade individens attityd och beteenden (såsom individens tänkta beteende och hur den faktiskt beter sig). Ett ramverk framställdes för att illustrera relationen mellan de variabler som kom fram i resultatet och vidare tog han fram områden för framtida forskning att studera. Jaeger (2018) menar, precis som vi, att det finns en kunskapslucka sett till helheten och samverkan mellan variabler och regelföljande bland anställda. Vi har dock valt att lyfta upp denna undran ytterligare en dimension och förutom att undersöka ISM, såsom Jaeger (2018), även inkludera ledarskapets inverkan så väl som hur utbildning och motivation påverkar och samverkar.
Karjalainen (2011) menar att det saknas forskning kring förståelsen för grundläggande utbildning inom informationssäkerhet samt på vilket sätt utbildningen bör genomföras i praktiken. Författaren lyfter även att det finns ett behov av att förstå anställdas säkerhetsbeteenden i relation till informationssäkerhetsutbildning, när det kommer till regelföljande inom informationssäkerhet. En litteraturstudie genomfördes och empiriska data samlades in genom intervjuer av anställda, både chefer och ingenjörer inom en industriell organisation. Därefter analyserades datan för att få en djupare teoretisk förståelse och resultatet visade bland annat att personliga kvaliteter inte
påverkade om individen valde att följa informationssäkerhetsregler. Däremot hade individuella tidigare erfarenheter påverkan på regelföljande. Kommunikation och extern kontroll på ledningsnivå visade sig påverka ifall de anställda valde att följa informationssäkerhetsregler. Resultatet som helhet sammanställdes sedan som ett teoretiskt ramverk som identifierade orsaker till regelföljande samt icke-regelföljande inom informationssäkerhet. Karjalainens (2011) studie har alltså ett stort fokus på utbildning i relation till regelföljande. Vår studie undersöker också utbildning men vi är intresserade av att undersöka utbildning som en del av flera eventuellt samverkande begrepp då vi vill få en bredare förståelse över hur regelföljande inom organisationer kan främjas.
Sommestad et al. (2014) har genomfört en litteraturstudie med syftet att identifiera variabler som påverkar regelföljande inom informationssäkerhet, samt att undersöka hur viktiga dessa variabler är. Det vill säga att studera vilka variabler som visat sig ha en verkan på anställdas regelföljande och hur betydande en variabel är i relation till övriga identifierade variabler. Denna studie har undersökt enskilda variabler som fristående komponenter medan de centrala begrepp som vi undersöker är mer omfattande begrepp som med stor sannolikhet kan innefatta flera av de variabler som lyfts fram i Sommestads et al. (2014) studie. Undersökningen innefattade 29 studier som uppfyllde författarnas inkluderingskriterier. I de 29 studierna kunde författarna identifiera fler än 60 variabler som hade en inverkan på om anställda följer, eller inte följer, informationssäkerhetsregler. Författarna fann en stor variation mellan de undersökta variablerna; 40 av de variabler som identifierades hade bara undersökts i en enda studie. Ett fåtal av variablerna återkom i flera studier och ansågs därför vara de mest populära. Ett urval av dessa är subjektiva normer, självförmåga, hur allvarliga sanktioner upplevs, hur påtaglig risken för sanktioner upplevs samt upplevd informell och formell risk. De kunde dock inte fastställa om några av variablerna påverkade mer eller mindre än övriga studerade variabler, samt kunde de inte konstatera hur variablerna eventuellt samverkar. De menar att var och en av variablerna bara förklarar en liten del av variationerna i beteende mellan människor och lyfter även fram att i de fall där en och samma variabel har undersökts i flera studier så har det funnits vissa skillnader i resultaten. Det som särskiljer denna studie med vår är att syftet med studien var att identifiera vilka enskilda faktorer som påverkar regelföljandet, medan vår studie har ett stort fokus på att undersöka hur de centrala begrepp som vi utgår från samverkar för att regelföljande ska kunna uppnås.
3. Metod
I detta avsnitt presenteras de metoder som används för att genomföra analysen i studien. Inledningsvis beskriver vi litteraturstudie som metod. Denna metod används i vår studie främst för att strukturera datainsamlingen. Därefter presenteras vår valda analysmetod, som är kvalitativ innehållsanalys. Slutligen redogörs för käll- och metodkritik samt begränsningar och etiska överväganden som studien medfört.
3.1 Litteraturstudie (sökning och urval)
En sökning av litteratur har genomförts i syfte att hitta relevanta vetenskapliga artiklar rörande de centrala begreppen motivation, medvetenhet, utbildning och ledarskap i relation till de anställdas regelföljande. Oates (2006 s. 71-72) belyser att en litteraturstudie är lämplig för att systematiskt beskriva det nuvarande forskningsläget kring det valda ämnesområdet genom att initialt samla in och presentera relevant material i form av tidigare forskning. Vidare nämner hon att detta är väsentligt för att få en grund och en djupare förståelse inom ämnesområdet genom att bli medveten om vad som redan har gjorts samt för att identifiera styrkor, svagheter och kunskapsluckor i den tidigare forskningen. Webster och Watson (2014) belyser att en litteraturstudie är nödvändig för att kunna identifiera kunskapsluckor, motivera forskare att fylla dessa kunskapsluckor samt skapa nya grunder och förutsättningar för framtida forskare.
Pare et al. (2014) lyfter fram att det finns ett flertal varianter av litteraturstudier med syften och resultat som skiljer sig åt och denna studie är av typen teoriutvecklande litteraturstudie som syftar till att utveckla och konstruera teoretiska bidrag. Vidare lyfter de att en teoriutvecklande litteraturstudie bygger på att göra en litteraturstudie av tidigare publicerade empiriska och konceptuella studier, med syftet att ta fram ett konceptuellt ramverk eller modeller med en uppsättning nya forskningsuppslag som är baserade på identifierade begrepp, konstruktioner eller relationer mellan koncepten i litteraturstudien.
Litteraturstudien initierades som Oates (2006 s. 81) förespråkar genom att man tar fram en fras som ramar in forskningsämnet och därefter identifiera koncept samt tar fram synonymer till koncepten för att få en bredare sökning med flera relevanta resultat. Även Webster och Watson (2014) rekommenderar att initialt inleda en studie med att fokusera på att identifiera väsentliga koncept inom ämnesområdet. Essentiella koncept identifierades i forskningsfrågan ”Vad lyfter tidigare forskning upp om hur motivation, medvetenhet, utbildning och ledarskap påverkar regelföljande inom informationssäkerhet bland anställda inom organisationer?”. De koncept som identifierades var motivation, medvetenhet, utbildning, ledarskap, anställda, regelföljande samt informationssäkerhet och därefter togs sökord fram att använda vid litteratursökningen. Vissa koncept tog vi fram relevanta synonymer till baserat på vad som omnämnts i tidigare forskning. De identifierade koncepten tillsammans med sökord presenteras i Tabell 1.
Koncept Sökord
Motivation Motivation
Medvetenhet Awareness
Ledarskap Management, leadership
Utbildning Education, training
Anställda Employee(s)
Regelföljande Compliance
Informationssäkerhet Information security
Tabell 1. Sökord som användes vid litteratursökning.
De artiklar som användes i denna studie valdes ut genom sökningar som utfördes i olika databaser som är relevanta för ämnesområdena informatik och informationssäkerhet. Databaserna som användes var Web of Science, Scopus och IEEE Xplore. Clarivate (u.å. a.) belyser att Web of Science är världens mest kraftfulla och betrodda publikations- och citatdatabas med tillförlitlig bedömning och åtkomst. Scopus är en välkänd vetenskaplig databas som används av ledande akademiska och statliga institutioner, samt företag världen över (Scopus u.å. b). Enligt IEEE Xplore (u.å. a) ger deras databas tillgång till över fem miljoner dokument i fulltext från några av världens mest citerade publikationer inom området för bland annat datavetenskap. Vidare presenterar Paperpile (u.å.) en topplista över akademiska forskningsdatabaser där våra tre utvalda databaser är med i topp fem. Baserat på allt detta anser vi att databaserna vi valde har en hög tillförlitlighet och är lämpliga för vår studie.
Inför urvalet av artiklar tog vi fram inkluderingskriterier som omfattade att artiklarna skulle vara skrivna på svenska eller engelska då det är de språk vi behärskar, vidare skulle studierna i artiklarna vara genomförda som empiriska undersökningar, vara publicerade i tidskrifter samt vara peer reviewed. Att artiklarna är genomförda som empiriska undersökningar innebär att den tidigare insamlade datan har testats utifrån observationer, experiment eller datainsamlingar. Det vill säga att artikelförfattarna har samlat in information om verkligheten för att få svar på sina frågeställningar (Jacobsen, 2017 s. 14). Vi ansåg att detta var viktigt då vår egen undersökning inte kommer att testas empirisk och vi ville då använda oss av och basera våra resultat på insamlat material som hade testats empiriskt tidigare. Vi vill dock poängtera att även hypoteser som har motbevisats genom en empirisk undersökning kan vara intressanta för vårt resultat. Oates (2006 s. 83-84) lyfter att det är viktigt att bedöma källans trovärdighet vilket man kan göra genom att bland annat granska artikelns författare, granska tidskriftens existens eller genom att fokusera på artiklar som är peer reviewed. Denna studie har, som tidigare nämnt, fokuserat på det sistnämnda, det vill säga på artiklar som är peer reviewed vilket innebär att de har blivit lämplighets- och kvalitetsgranskad av oberoende ämnesexperter innan beslut fattas om huruvida de ska publiceras i en tidskrift vilket ökar sannolikheten att artiklarna är trovärdiga (Oates, 2006
s. 74). Enligt (Oates, 2006 s. 75) blir inte alla konferensartiklar peer reviewed och därför tyckte vi att det var svårt att bedöma om de mötte inkluderingskriteriet om att alla artiklar ska vara peer reviewed och valde därför att exkludera samtliga konferensartiklar från vår undersökning.
För att kontrollera om tidskriftsartiklarna var peer reviewed-granskade vi samtliga databaser vi använde i sökningsprocessen. Scopus har en omfattande granskningsprocess innan innehåll publiceras i databasen. Denna process innefattar bland annat att de tidskrifter som artiklar är publicerade i måste möta vissa krav, så som att tidskrifterna offentligt ska redogöra för sin publiceringsprocess och publiceringsetik, genomföra peer review-granskningar på allt innehåll, samt redovisa hur peer review-processen har gått till (Scopus, u.å. a). Detta innebär alltså att samtliga tidskriftsartiklar som publiceras i Scopus har genomgått peer review. Publicerade artiklar i databasen IEEE Xplore är peer reviewed då de har granskats av minst två personer självständigt där författarna inte har känt till granskarna. Artiklarna har även granskats för plagiarism innan publicering (IEEE Xplore, u.å. b). Även Web of Science har en granskningsprocess där det kontrolleras om artiklarna i tidskrifterna som publiceras har blivit peer reviewed. Dock omfattas ett fåtal länge etablerade tidskrifter av ett undantag som innebär att dessa publiceras trots att de inte alltid uppfyller kravet om peer review (Clarivate, u.å. b). Vi har därför, i Web of Science fall, granskat tidskrifterna på egen hand för att bedöma om dessa är peer reviewed eller inte och om artikeln i fråga som valts ut i så fall ska behållas för användning i studien eller om den bör uteslutas. Ett annat inkluderingskriterium som användes var att artiklarna skulle vara publicerade från 2010 och framåt. Då ämnesområdet regelföljande inom informationssäkerhet är relativt nytt innebär det att majoriteten av forskningen är genomförd de senaste tio åren och vi genomförde en testsökning vilket bekräftade detta. Vi valde därmed att använda oss av artiklar från 2010 och framåt då vi ansåg att dessa var aktuella i tid samt att det kom att resultera i ett tillräckligt stort utbud av artiklar även efter vi gjort vårt urval baserat på inkluderingskriterierna. En sammanställning av inkluderingskriterierna presenteras i Tabell 2.
Inkluderingskriterier
Artiklarna ska vara skrivna på engelska
Artiklarna ska vara baserade på empiriska undersökningar Artiklarna ska vara publicerade i tidskrifter
Artiklarna ska vara peer reviewed
Artiklarna ska vara publicerade från 2010 och framåt Artiklarna ska vara tillgängliga som fulltext
Tabell 2. En sammanställning av inkluderingskriterierna som applicerades på artiklarna under urvalet till litteraturstudien.
Sökningarna utfördes genom att skapa sökfraser som är baserade på kombinationer av flera koncept på varierande sätt, tillsammans med passande booleska operatorer, för att hitta de mest
relevanta artiklarna. För att få en strukturerad bild över sökningen presenterar Tabell 3 de sökfraser som har använts inklusive antal träffar vid respektive sökning. Vidare presenteras en modell (Figur 1.) över urvalsprocessen som visar antal artiklar som slutligen valdes ut till litteraturstudien.
Sökfras Antal träffar
“Information security” AND compliance AND motivation AND employee* 103 “Information security” AND compliance AND awareness AND employee* 88 “Information security” AND compliance AND education AND employee* 52 “Information security” AND compliance AND training AND employee* 43 “Information security” AND compliance AND management AND employee* 160 “Information security” AND compliance AND leadership AND employee* 19
Totalt: 465
Tabell 3. En sammanställning av sökfraser och antal träffar.
Då de databaser vi använde delvis lagrar samma tidskrifter fick vi fram dubbletter av en del artiklar och dessa sorterades bort under det första urvalet. Artiklarna sammanställdes först i separata blad i en CSV-fil där de ordnades utefter de fyra centrala begreppen. Sedan ordnades artiklarna, i respektive blad, efter dess titlar och efter en kontroll av överensstämmande DOI:er, för att säkerställa att artiklarna var dubbletter, togs dubbelexemplar bort. Efter detta sammanställdes samtliga kvarvarande artiklar i en och samma CSV-fil för att återigen sortera bort dubbelexemplar som återfanns i fler än ett av bladen i den tidigare CSV-filen, det vill säga om en och samma artikel hade kommit med i sökningar på fler än ett centralt begrepp.
I andra urvalet tog vi bort artiklar som inte fanns tillgängliga för oss att läsa i fulltext. I de fall artiklar i fulltext inte fanns tillgängliga direkt i databasen sökte vi i universitetsbibliotekets söktjänst Primo för att kontrollera om fulltext var tillgänglig. Tredje urvalet innefattade genomläsning av artiklarnas abstracts. Vi läste samtliga artiklars abstracts i egenskap att avgöra artikelns relevans för vår studie, det vill säga för att översiktligt bedöma om artikeln kunde anses uppfylla våra inkluderingskriterier (Oates, 2006 s. 85). Under det fjärde urvalet lästes avsnitten metod, resultat, diskussion och slutsats i artiklarna igenom vilket exkluderade ytterligare ett antal artiklar. De artiklar som togs bort i detta steg valdes bort exempelvis på grund av att de inte var baserade på någon empirisk undersökning, vilket var ett av våra inkluderingskriterier, eller att studien hade fokus på någon specifik del av en inhemsk kultur som inte var applicerbar eller generaliserbar i en vidare kontext. Dessa var därmed inte relevanta för vår studie. Nedan presenterar vi en översikt över urvalsprocessens alla steg (se Figur 1).
Figur 1. Modell över urvalsprocessens steg och antal artiklar som valdes ut i respektive steg.
När det kommer till att analysera de utvalda artiklarna vid användandet av en teoriutvecklande litteraturstudie rekommenderar Paré et al. (2014) att man använder sig av en innehållsanalys som
analysmetod. En utförlig beskrivning av analysmetoden innehållsanalys presenteras i nästkommande avsnitt.
3.2 Kvalitativ innehållsanalys
En innehållsanalys är användbar för att utröna mönster och grovt kategorisera ett omfattande material med avsikt att ge en vid och allmän, snarare än en djupgående, insikt för materialet som undersöks (Boréus & Kohl, 2018 s. 51–52). Det finns både kvantitativa och kvalitativa angreppssätt på en innehållsanalys; en kvantitativ innehållsanalys syftar till att räkna eller mäta något i texterna, men vi är mer intresserade av att få en förståelse för vad som framställs i materialet än att räkna antalet förekomster av något och kommer därför att genomföra en kvalitativ innehållsanalys. En kvalitativ innehållsanalys är en metod som har till syfte att systematiskt skildra kvalitativt material, såsom texter, genom en stegvis kategorisering av delarna av materialet för att ge svar på fastställda forskningsfrågor. Denna systematiserade kategorisering av materialet görs med hjälp av ett framtaget kodschema vilket innebär att en stor mängd textmaterial kan undersökas på ett sätt som är metodiskt och konsekvent för allt material som studeras (Boréus & Kohl, 2018 s. 50–51); det vill säga att allt material analyseras på samma sätt och utifrån samma förutsättningar. Det första steget i en innehållsanalys innefattar att samla in och avgränsa det material som ska analyseras (Boréus & Kohl, 2018 s. 55). Vi genomförde vår materialinsamling såsom beskrivet i det tidigare avsnittet, 3.1 Litteraturstudie (sökning och resultat), vilket även behandlar inkluderingskriterier för det insamlade materialet. Efter detta togs ett kodschema fram; kodschemat är ett analysinstrument som fastställer vad det är som ska observeras i det analyserade materialet. Ett kodschema för en kvalitativ analys kan exempelvis bestå av ett antal frågor som ställs mot materialet (Boréus & Kohl, 2018 s. 59). Esaiasson et al. (2017 s. 216) beskriver ett lämpligt tillvägagångssätt för att ta fram dessa frågor. De menar att man bör utgå från sitt övergripande forskningsproblem och tydliggöra detta problem i ett antal mer specificerade frågor som sedan kan ställas till materialet under analysen. De framhåller att innehållsanalysen inte ska syfta till att sammanfatta texten utan att de specificerade frågorna ska ha som mål att besvara den övergripande frågeställningen för undersökningen, därför är det viktigt att frågorna tas fram utifrån centrala analytiska begrepp som handleder forskaren i analysen. Även Boréus och Kohl (2018 s. 58–59) belyser att det är viktigt att ha kännedom om materialet och centrala begrepp innan man påbörjar framtagandet av kodschemat. Vi har tidigare genomfört en förberedande litteraturstudie där vi har identifierat vissa centrala begrepp som förekommer i materialet och det är dessa begrepp vårt kodschema kommer att utgå ifrån. Den forskningsfråga som ligger till grund för de specificerade frågorna i kodschemat är: Vad lyfter tidigare forskning upp om hur motivation, medvetenhet, utbildning och ledarskap påverkar regelföljande inom informationssäkerhet bland anställda inom organisationer? Kodschemat presenteras nedan i 3.2.1 Kodschema.
När ett kodschema är utarbetat rekommenderas det att man testar schemat på en mindre del av materialet och reflekterar över resultaten. Vår innehållsanalys börjades med en testanalys för att
se över vilka delar i artiklarna som var relevanta för vår uppsats samt för att pröva vårt framtagna kodschema. Om inga komplikationer uppstår kan resultaten av testanalysen ingå i det fullständiga resultatet, annars får kodschemat justeras något för att fungera bättre och lösa de problem som uppkom. (Boréus & Kohl, 2018 s. 60) Det är nödvändigt att kodschemat är gediget och kan användas på ett konsekvent sätt. Boréus och Kohl (2018 s. 61) lyfter fram att om flera personer ska arbeta med analysen av materialet är det en god idé att låta samtliga personer analysera samma mindre del av materialet för att kontrollera att bedömningar gjorts på samma sätt – detta kallas för dubbelkodning. Detta säkerställer även att studien i princip kan replikeras av andra forskare. Vi använde oss av dubbelkodning så som beskrivet ovan under arbetet med att ta fram vårt kodschema och vi har beskrivit mer utförligt hur vi genomförde dubbelkodningen i avsnitt 3.2.1 Kodschema. Under dubbelkodningen vid testanalysen framgick det att avsnitten för metod, resultat, diskussion och slutsats var de delar som innehöll den information som var relevant för vår studie och som vi därmed fokuserade på. Vi var medvetna om att rubriksättningen kunde skilja mellan olika artiklar och det är något vi tog hänsyn till genom att läsa diverse avsnittsrubriker för att avgöra vilka delar som skulle analyseras. Om det uppstod en osäkerhet kring några av de utvalda artiklarnas relevans vid enskild analys, diskuterade och granskade vi dessa artiklar tillsammans för att säkerställa en bra och grundlig analys.
De artiklar som återstod efter urvalsprocessen analyserades med hjälp av det kodschema som arbetats fram. Analysarbetet i den här fasen gick ut på att besvara de frågor vi tagit fram i kodschemat. En mer detaljerad beskrivning av framtagandet och presentation av vårt kodschema finns i avsnitt 3.2.1 Kodschema. När allt material har gåtts igenom, det vill säga att kodschemat har applicerats på hela materialet, är det dags att sammanställa resultatet och tolka resultatet utifrån den forskningsfråga som ställts i studien. Boréus och Kohl (2018 s. 63) påtalar att sammanställningen av resultatet kan visas upp med hjälp av exempelvis en figur. De påpekar även att det ofta är till stor hjälp att använda sig av någon typ av mjukvara när materialet analyseras. Det finns flera olika verktyg för kvalitativ innehållsanalys som möjliggör att arbetet kan sparas och revideras på ett tidssparande sätt. Vi valde att använda oss av programvaran MAXQDA som har flera praktiska kodningsfunktioner och även kan generera kvantitativa data som vi ansåg kunde bidra till en ökad förståelse för resultatet. Vi ansåg att programvaran MAXQDA hjälpte oss att få en överblick över de kodade segmenten som utgjorde svaren på våra frågor i kodschemat, dessa representerade av olika färgmarkeringar. På så vis kunde vi enklare gå tillbaka och hitta var vi hade placerat ut alla färgkoder och kunde även använda visuella verktyg för att sammanställa resultatet. Vi använde oss även av MAXQDA för att ta fram kvantitativa data som visade antal förekomster där ett centralt begrepp kodats i relation till ett eller fler av de övriga centrala begreppen.
3.2.1 Kodschema
Vi tog fram ett kodschema med frågor som vi ställde till textmaterialet under analysen. Frågorna var utarbetade utifrån vår forskningsfråga: Vad lyfter tidigare forskning upp om hur motivation,
medvetenhet, utbildning och ledarskap påverkar regelföljande inom informationssäkerhet bland anställda inom organisationer?
Baserat på forskningsfrågan tog vi således fram ett initialt kodschema därav första frågan tar upp om någon eller några av begreppen lyfts över huvud taget. Därefter tänkte vi att det skulle vara intressant att veta om artikeln lyfter någon fördel eller nackdel med någon eller några utav begreppen. Vidare ville vi undersöka om begreppen lyfts i relation till regelföljande för att på så vis bedöma artikelns relevans i relation till vår avgränsning, att artikeln ska behandla regelföljande inom informationssäkerhet. Första utkastet till kodschemat presenteras nedan:
● Vilket, eller vilka, av begreppen motivation, medvetenhet, utbildning och ledarskap lyfts? ● Lyfter artikeln någon fördel med något av begreppen ovan, i så fall hur?
● Lyfter artikeln någon nackdel med något av begreppen ovan, i så fall hur? ● Hur lyfts begreppen i relation till regelföljande?
Inledningsvis i testanalysen analyserade vi tre artiklar tillsammans och upptäckte att första frågan i första utkastet blev irrelevant då vi insåg att begreppen kan lyftas i alla möjliga olika sammanhang. Vi fick därmed tänka om, dela upp och formulera om frågan som presenteras i Tabell 4, fråga 1-4. En fråga formulerades istället för varje begrepp i relation till regelföljande och när vi testade de nya frågorna upplevde vi att de var enklare att svara på och kändes mer relevanta för vår studie. Vi ansåg även att andra och tredje frågan i vårt första utkast till kodschemat rörande fördelar och nackdelar var svåra att definiera och därmed komplicerade att applicera, dessa togs därför bort helt. Vi upptäckte även att det vore bra att lägga till en fråga i vårt slutgiltiga kodschema, fråga 5, som förväntades hjälpa oss att få fram ett resultat som visade om det fanns samband mellan de centrala begreppen för att uppnå regelföljande inom informationssäkerhet.
1. Vad lyfter artikeln om det centrala begreppet motivation i relation till regelföljande? 2. Vad lyfter artikeln om det centrala begreppet medvetenhet i relation till regelföljande? 3. Vad lyfter artikeln om det centrala begreppet utbildning i relation till regelföljande? 4. Vad lyfter artikeln om det centrala begreppet ledarskap i relation till regelföljande? 5. Lyfts några begrepp i relation till varandra?
Tabell 4. Kodschema med de frågor vi har ställt till textmaterialet.
Syftet med de första fyra frågorna i vårt kodschema var att se vilka centrala begrepp som lyfts i artiklarna i relation till regelföljande. Detta för att vi ville få en tydlig bild över hur de lyfts, i vilken kontext de lyfts samt se vilka resultat som är kopplade till dem. Baserat på denna information kunde vi sedan diskutera och jämföra likheter och skillnader för varje enskilt begrepp samt få fram ett resultat på studiens första forskningsfråga. Syftet med fråga 5 var att påvisa eventuella samband mellan de centrala begreppen som har lyfts fram i artiklarna. Sammanställningen av resultatet på
denna fråga ligger till grund för resultatet av studiens andra fråga som handlar om att beskriva möjliga samband mellan de centrala begreppen.
3.3 Käll- och metodkritik
Boréus & Bergström (2018 s. 42) listar ett antal kriterier som bör uppfyllas för en väl genomförd textanalys. Analysen bör ha hög validitet, det vill säga att metoderna som används ska vara väl anpassade för att besvara forskningsfrågorna och valet av texter som analyseras ska vara välmotiverat. För att uppnå en hög validitet valde vi noga ut metoder som har motiverats i respektive avsnitt ovan. Vi hade även en tydlig process för att välja ut de texter som analyserades där urvalet skedde baserat på ett antal inkluderingskriterier, se mer om dessa inkluderingskriterier i avsnitt 3.1 Litteraturstudie. Studiens reliabilitet är avhängd på att studien genomförts på ett korrekt och noggrant sätt genom alla steg. Till detta hör även nivån av intersubjektivitet; som innebär potentialen för andra forskare att repetera studien och komma till samma resultat. (Boréus & Bergström, 2018 s. 42). Reliabiliteten för vår studie hänger till stor del ihop med vårt kodschema, vi har därför beskrivit framtagandet av detta i stor detalj och vi har även, som tidigare nämnts, genomfört dubbelkodning i egenskap att testa tillförlitligheten av verktyget och för att säkerställa en hög intersubjektivitet. Graden av transparens i studien är också viktigt då en hög transparens innebär att läsare av studien har möjligheten att förstå samtliga delar av forskningsprocessen (Boréus & Bergström, 2018 s. 42). Vi strävade efter en hög transparens genom att vara detaljerade genom samtliga delar av studien. Vi har försökt att genomgående hålla en hög nivå av tydlighet för att läsaren enkelt ska kunna förstå och följa med i processens alla steg för att slutligen ha en så pass tydlig inblick i vår undersökning att slutsatserna blir okonstlade och enkla att ta till sig.
Slutligen, lyfter Boréus och Bergström (2018 s. 42) källkritik som ett viktigt kriterium för en god textanalys. Det finns både intern och extern källkritik; den interna källkritiken berör värderingar av tillförlitligheten i materialet och den externa källkritiken har att göra med äktheten av de valda källorna. Som tidigare nämnts har vi tagit fram ett antal inkluderingskriterier som vi baserade vårt urval av material på, dessa inkluderingskriterier berör både den interna och den externa källkritiken. Ett exempel på ett inkluderingskriterium som rör intern källkritik är att vi endast inkluderat artiklar som är peer reviewed, det vill säga kritiskt granskade av andra forskare som säkerställer forskningens tillförlitlighet. Vi har även ett inkluderingskriterium om att artiklarna ska vara publicerade i vetenskapliga tidskrifter för att säkerställa äktheten av artiklarna.
En studie medför alltid vissa begränsningar. Vi var medvetna om att vi kunde missa relevanta och intressanta artiklar när vi sållade bort artiklar efter att vi läste dess abstract och applicerade inkluderingskriterierna, men detta var ett medvetet val som vi gjorde. Artiklar som är publicerade i akademiska journaler kan vara inaktuella då det inte är ovanligt att det har tagit två år eller mer från att de är skrivna tills de blir publicerade (Oates, 2006 s. 74). Inaktuella artiklar undveks till
största mån med hjälp av avgränsningen gällande att vi valde att basera vår studie på artiklar som är publicerade från 2010 och framåt för att få fram så aktuella artiklar som möjligt.
Vetenskapsrådet (2020) presenterar ett antal etiska aspekter och principer som måste övervägas vid god forskning. Många av dessa handlar om etiska förhållningssätt när det kommer till olika deltagare i empiriska studier, medan andra principer är applicerbara på all forskning. Det är just de senare som är aktuella för vår undersökning. Tillförlitlighet, det vill säga att forskarna ska borga för forskningens kvalitet, är en av dessa principer (Vetenskapsrådet, 2020). Vetenskapsrådet (2020) lyfter även ärlighet som princip, vilket inom forskningsarbetet innebär att forskningen genomgående presenteras på ett öppet och objektivt sätt. Då vi har följt och strävat efter att uppnå de kriterier som ställts upp av Boréus & Bergström anser vi att vi även uppfyller de etiska principer som Vetenskapsrådet presenterat. Boréus & Bergströms (2018 s. 42) kriterier rör validitet, reliabilitet, intersubjektivitet, transparens och källkritik vilka samtliga handlar om att på olika sätt uppnå en hög tillförlitlighet i sin forskning samt att redovisa samtliga delar av sin studie på ett opartiskt och uppriktigt sätt.
4. Analys och resultat
I detta avsnitt redogör vi för resultatet av den kvalitativa innehållsanalysen. Slutligen presenteras det sammanställda konceptuella ramverket.
4.1 Resultat av kvalitativ innehållsanalys
I detta avsnitt presenteras en sammanställning av resultatet av att kodschemat applicerats på artiklarna i litteraturstudien. Sammanställningen är uppdelad i underrubriker för respektive centralt begrepp.
4.1.1 Motivation
Artiklarna i litteraturstudien hade i stor utsträckning studerat motivation som en starkt bidragande aspekt till att anställda följer regler och riktlinjer inom organisationen. Artiklarna lyfter fram flertalet olika motivationspåverkande faktorer, både de som påverkar positivt och de som påverkar negativt. I mångt och mycket blev resultaten i de olika artiklarna styrkta av resultat av andra undersökningar, men det fanns vissa undantag där resultaten direkt talar emot varandra.
En faktor som lyftes fram att ha en tydlig påverkan på motivationen att följa informationssäkerhetsregler hos anställda var självförmåga, det vill säga vilket förtroende den anställde själv har till sin förmåga att lösa problem och följa riktlinjer (Ahmad et al., 2019; Cuganesan, Steele & Hart, 2018; Hina, Panneer Selvam & Lowry, 2019; Hooper & Blunt, 2020; Li et al., 2019; Menard, Bott & Crossler, 2017; Siponen, Mahmood & Pahnila, 2014). Dessa studier fann att en hög upplevd självförmåga direkt ökade motivationen hos den anställde. Vidare
kopplades begreppet självförmåga ofta samman med att en hög kunskap och medvetenhet om informationssäkerhet leder till en högre självförmåga hos de anställda. Kunskap och medvetenhet hade även studerats i direkt relation till motivation i vissa artiklar (Hu et al., 2012; Kim, Choi & Han, 2019; Kim & Kim, 2017; Rajab & Eydgahi, 2019; Sohrabi Safa, Von Solms & Furnell, 2016; Stewart & Jürjens, 2017), där samtliga artiklar lyfte fram att medvetenhet och kunskap är grunden för att en anställd ska känna sig trygg i att följa riktlinjer, och därigenom bli motiverad att göra detta. Det som lyfts fram i artiklarna som exempel för att öka kunskapen och medvetenheten hos de anställda är utbildning, möten och en möjlighet för de anställda att utbyta erfarenheter med varandra angående informationssäkerhetsarbetet.
Organisationskultur och normer på arbetsplatsen har visat sig påverka de anställdas motivation till regelföljande (Amankwa, Loock & Kritzinger, 2018; Cuganesan et al., 2018; Hu et al., 2012; Jaeger, Eckhardt & Kroenung, 2020; Jalali et al., 2020; Kim et al., 2019; Kim & Kim, 2017; Koohang et al., 2020; Lowry & Moody, 2015; Stewart & Jürjens, 2017; Siponen et al, 2014). Jalali et al. (2020) fann att organisationskulturen och det kollektiva förtroendet på arbetsplatsen var relaterat till de anställdas attityder; att en positiv organisationskultur och ett högre kollektivt förtroende är förknippat med mer positiva attityder och subjektiva normer som i sin tur har en positiv inverkan på motivationen till regelföljande. Med subjektiva normer menas det sociala stöd och den sociala press som kommer från omgivningen. Jaeger et al. (2020) lyfter fram att deltagarna i deras studie som visade en positiv attityd till att följa informationssäkerhetsregler främst drevs och blev motiverade att följa av sina personliga normer, medan de med en negativ inställning motiverades mer av deras upplevda beteende hos kollegor, såväl som kollegors och chefers förväntningar på dem. En negativ inställning och låg motivation kan alltså förändras genom att organisationskulturen och de subjektiva normerna uppmuntrar till regelföljande av informationssäkerhetsregler. Vidare lyfter Hooper och Blunt (2020) att deras undersökning visade att deltagarna var mindre oroade över subjektiva normer, så som sina kollegors eller chefer förväntningar, och att detta inte bidrog till att motivera deltagarna i studien. Dock är det värt att nämna att denna studie baserades på enbart IT-anställda som redan har en stor kunskap och erfarenhet av informationssäkerhet jämfört med deltagarna i de övriga studierna som har varit anställda inom varierande arbetsområden. De IT-anställda främsta motivationsfaktor var istället deras egen självförmåga och hur de uppfattade effekterna av en eventuell säkerhetshändelse eller risk.
Delaktighet i arbetet med att ta fram informationssäkerhetsregler framhålls som en motivationsfaktor för anställda. Flera studier visade att de anställda hade ett intresse av att vara delaktiga i detta arbete, samt att delaktigheten innebar en möjlighet för de anställda att bidra till att informationssäkerhetsreglerna utformades på ett sätt som är enkelt att följa och förstå (Amankwa et al., 2018; Balozian, Leidner & Warkentin, 2019; Hu et al., 2012). Både Amankwa et al. (2018) och Balozian et al. (2019) belyser att om de anställda involveras i framtagandet av informationssäkerhetsregler så ökar deras motivation att följa den. Hu et al. (2012) visar också att
ju mer en anställd känner sig under kontroll och att informationssäkerhetsreglerna är enkla att följa, desto större är chansen att hen kommer att följa reglerna och riktlinjerna som ställts upp. Vidare lyfter Kim et al. (2019) att det ofta finns brister i det strategiska beslutsfattandet om, och förståelsen för, informationssäkerhetsregler på ledningsnivå, även om många organisationer förstår vikten av att ha regler och riktlinjer inom informationssäkerhet och att de ska följas. Resultaten visade att en anställds intentioner att följa regler inom informationssäkerhet varierade beroende på deras uppfattning om ledningens maktbefogenhet.
Många artiklar uppmärksammade att anställda i stor utsträckning upplever att arbetet med att följa riktlinjer inom informationssäkerhet tar tid från, och konkurrerar med, de ordinarie arbetsuppgifterna, vilket innebär att säkerhetsarbetet får en lägre prioritet och att informationssäkerhetsreglerna därför inte följs (Bulgurcu, Cavusoglu & Benbasat, 2010; Hwang et al., 2017: Puhakainen & Siponen, 2010). Hwang et al. (2017) valde att kalla detta ”säkerhetssystemsångest”, det vill säga att en individs oro, tidsbrist eller rädsla när det gäller informationssäkerhet påverkar regelföljandet negativt, även om den anställda egentligen vill följa reglerna. Där säkerhetsarbetet är en del av det dagliga arbetet, eller där det finns avsatt tid för detta, är motivationsnivån högre och de anställda följer informationssäkerhetsregler i större utsträckning. Även att integrera möten och utbildningar rörande informationssäkerhet i det dagliga arbetet och i den dagliga kommunikationen lyfts fram som effektiva sätt att öka kunskapen och i sin tur motivationen hos de anställda (Koohang et al., 2020; Puhakainen & Siponen, 2010).
När det kommer till användning av belöningar och sanktioner, eller bestraffningar, för att motivera de anställda att följa informationssäkerhetsregler är resultaten inte lika samstämmiga. Bulgurcu et al. (2010) menar att belöningar kan bidra till att öka motivationen. Guhr, Lebek och Breitner (2019) belyser att om chefer använder belöningar för att motivera de anställda att följa regler inom informationssäkerhet så fungerar det bara kortvarigt, och det finns en risk att de anställdas beteende och motivationsnivå förändras till det värre på lång sikt då de kan komma att förvänta sig belöningar. Cuganesan et al. (2018) fann att det inte existerade någon tydlig relation mellan belöningar, sanktioner och regelföljande, utan menar snarare att självförmåga är vad som ska uppmuntras hos de anställda för att motivera dem till regelföljande. Även Stewart och Jürjens (2017) styrker detta när de menar att motivationen inte ökas genom belöningar eller straff, utan genom uppmuntran och att väcka intresse hos de anställda.
Slutligen lyfts anställningsstatus som en motivationsfaktor. Sharma och Warkentin (2019) har studerat fast anställda respektive tillfälligt anställda och resultatet visade att fast anställd personal är mer motiverade att följa regler inom informationssäkerhet, och är även mer manade att spendera tid och bemöda sig för att skydda organisationen de arbetar för, än vad tillfälligt anställda är.
4.1.2 Medvetenhet
Vi fann flera artiklar där medvetenhet tillsammans med andra faktorer påverkade om anställda följde regler inom informationssäkerhet. Koohang et al. (2020) belyser att ISM påverkar hur organisationer kan förutse utvecklingen av anställdas regelföljande inom informationssäkerhet. Flera artiklar lyfter även att anställda med högre medvetenhet om informationssäkerhet tenderar att följa regler i större utsträckning och en ökning av de anställdas ISM visar sig vara ett inledande steg för att motivera de anställda att följa informationssäkerhetsregler. Författarna menar att ISM är centralt för regelföljande inom informationssäkerhet och är beroende av flera variabler som leder till att anställda följer regler. De tar även fram att ledarskap och förtroende spelar en signifikant roll för ISM, som i sin tur har en positiv påverkan på anställdas regelföljande inom informationssäkerhet (Chua et al., 2018; Jaeger et al., 2020; Koohang et al., 2019).
Ett flertal artiklar lyfter att ISM handlar om anställda som har kompetens inom informationssäkerhet, system och organisationers informationssäkerhetshantering. Artiklarna lyfter även fram att utbildning inom ISM ofta inkluderar workshops, säkerhetsprogram, tillgång till hemsidor med information om ISM eller information via mail och dessa procedurer visade sig kunna stärka de anställdas förståelse för informationssäkerhet inom organisationen (Hwang et al., 2019; Stewart & Jürjens, 2017). Amankwa et al. (2018) framhåller att ledningen inom en organisation bör uppmuntra regelföljande av informationssäkerhetsregler genom medvetenhetskampanjer i form av seminarier och workshops.
Flera studier belyser att kontinuerliga utbildningsprogram förbättrar anställdas regelföljande inom informationssäkerhet och har positiv effekt på anställdas beteende vad gäller regelföljande av organisationers informationssäkerhetsregler. Studierna lyfter även att SETA-program har en positiv påverkan på anställdas ISM och motivation till att följa regler (Kim et al., 2019; Kim, Lee & Kim, 2020). Koohang et al. (2020) beskriver att utbildning inom ISM bör vara utformade för att förstärka anställdas kunskap och medvetenhet om säkerhetshot och risker inom organisationer. Hu et al. (2012) lyfter även fram att noga designade utbildningsprogram har visat sig förbättra anställdas medvetenhet om vilka konsekvenser som väntas av icke-följande av informationssäkerhetsregler och det har visat sig leda till en ökning av regelföljande. Hwang et al. (2019) belyser att regler inom informationssäkerhet bör vara formulerade utifrån de anställdas ansvar och vilka konsekvenser de får om de inte följer informationssäkerhetsregler då författarna menar att det stimulerar anställdas ISM. Sohrabi Safa et al. (2016) framhåller att kunskap om informationssäkerhet, samarbete och erfarenhet involverar anställda och ökar deras ISM, som spelar en vital roll i att minska risken för brott mot informationssäkerhet. Författarna lyfter även att kunskapsdelning om informationssäkerhet kan föra vidare kunskapen som påverkar de anställdas attityder mot att följa informationssäkerhetsregler.
Chua et al. (2018) tar upp olika faktorer som påverkar nivån av ISM hos anställda och det visade sig inte vara någon signifikant skillnad mellan män och kvinnor eller etniska aspekter vad gäller medvetenhet om regelföljande inom informationssäkerhet. Författarna belyser däremot att det finns en skillnad gällande anställdas ålder och arbetserfarenhet kring medvetenhet om regelföljande då de visade att äldre hade en högre nivå av ISM än de yngre anställda. Författarna belyser även att anställda inom massmedia och tillverkning har lägre medvetenhet gällande skydd av data än anställda inom finans, IT, sjukvård och försäkringsföretag. Således indikerade författarna på att det inte förekommer lika många kampanjer som ger publicitet för informationssäkerhet inom dessa branscher. Hwang et al. (2019) visar i sin studie att anställdas nivå av ISM är beroende på synlighet av informationssäkerhetsregler och utbildning. Författarna menar på att anställda som deltar och vet om att organisationssäkerhetsutbildning finns har en ökad ISM.
Bulgurcu et al. (2010) föreslår i sin studie att organisationer bör skapa utbildnings- och säkerhetsmedvetenhetsprogram i framtiden för att stärka de anställdas ISM och deras självförmåga att följa regler inom informationssäkerhet. En artikel lyfter att det är nödvändigt att utveckla strategier som främjar frivilligt regelföljande beteende och ökar medvetenheten om regelföljande stödsystem bland anställda med olika yrkesroller och från olika avdelningar (Kim & Kim, 2017). Amankwa et al. (2018) lyfter i sin studie att anställda bör vara involverade i beslutsfattande kring informationssäkerhet genom olika kanaler för att öka deras medvetenhet och känsla av ägarskap av de befintliga informationssäkerhetsreglerna inom organisationen. Författarna framhåller även att genom att involvera anställda i beslutfattningsprocessen, såsom utformning av informationssäkerhetsregler, stimuleras engagemang. Även Stewart & Jürjens (2017) visar att organisationer bör ta till sig mer omfattande procedurer för att hantera informationssäkerhet, såsom ledningens- och personalavdelningens deltagande, implementation och utförande av informationssäkerhetsregler, informationssäkerhetsutbildning, väcka anställdas ISM och införa gruppbaserat beslutsfattande.
4.1.3 Utbildning
Flera artiklar i litteraturstudien har lyft att utbildning är en väsentlig aspekt när det kommer till både de anställdas och ledningens förståelse och kompetenser för informationssäkerhetsregler, som i sin tur leder till regelföljande. Artiklarna lyfter även fram utbildningens påverkan på regelföljande, olika utbildningsmetoder samt att det är viktigt att skräddarsy utbildningen efter individerna för att optimera kompetensutvecklingen.
En ofta förekommande säkerhetsrisk är brist på informationssäkerhetsutbildning (Stewart & Jürjens, 2017). Författarna belyser att anställda mycket väl kan vara medvetna om säkerhetsproblem men att de kan göra kostnadskrävande fel då de inte har genomgått en vägledande utbildning som förklarar hur de ska eliminera säkerhetsöverträdelser vid informationssäkerhetshantering. Organisationer använder, eller behöver använda, träning och
utbildningsprogram med fokus på informationssäkerhet, som att minska bristande regelföljande av informationssäkerhetsregler samt öka anställdas ISM som därmed leder till ändrat säkerhetsbeteende samt ökar deras intentioner till regelföljande (Guhr et al., 2019; Hu et al., 2012; Hwang et al., 2017; Kim et al., 2020; Koohang et al., 2020; Puhakainen & Siponen, 2010; Stewart & Jürjens, 2017). Hu et al. (2012) nämner att genom omfattande utbildning om informationssäkerhetsregler samt hur man ska främja tillämpning av dem bör man gå igenom den underliggande tekniken samt vägleda de anställda för att öka deras förståelse och kontroll vid informationssäkerhetshantering. Vidare nämner författarna att detta är viktigt för att de anställda ska känna att regelföljande är lätt och logisk för att de ska kunna bete sig i enlighet med organisationens informationssäkerhetsregler. Bulgurcu et al. (2010) lyfter att utbildning kan öka de anställdas självförmåga och Hwang et al. (2017) belyser att utbildning även kan reducera ångest för bristande säkerhetsbeteenden. Som komplement till informationssäkerhetsutbildning kan organisationer tillhandahålla etikutbildning vars syfte är att förbättra de anställdas moral, vilket kan leda till ökat regelföljande då de anställdas moraliska skyldighet att följa informationssäkerhetsregler ökar (Jaeger et al., 2020).
Det finns flera olika typer av utbildningsmetoder och Hu et al. (2012) lyfter att generiska utbildningsprogram är mindre effektiva än de utbildningsprogram som är utformade utifrån en teoretisk grund och dessa kan formas på flera olika sätt. Utbildningsmetoder kan inkludera workshopsutbildningar, webbplatser samt e-postutskick som är väldigt lättillgängliga för de anställda (Amankwa et al., 2018; Hwang et al., 2019; Sohrabi Safa et al., 2016; Stewart & Jürjens, 2017). Vidare nämner Sohrabi Safa et al. (2016) även formella presentationer, utbildningskurser, spel samt möten som olika utbildningsmetoder. Hwang et al. (2019) och Amankwa et al. (2018) lyfter även seminarier som en viktig utbildningsmetod för att vägleda anställda att följa regler och forma deras beteendeintentioner. Praktiska övningar och aktiv diskussion är också rekommenderade utbildningsmetoder där de anställda deltar och aktiveras, vilket leder till ökad kunskap och självförtroende för deras egen förmåga att följa informationssäkerhetsregler (Hwang et al., 2019; Puhakainen & Siponen, 2010; Siponen et al., 2014).
Den vanligaste utbildningsmetoden är SETA-program som visar sig öka anställdas ISM och regelföljande när det kommer till informationssäkerhetsregler (Hina et al., 2019; Kim et al., 2019; Koohang et al., 2019). Syftet med SETA-program är att de anställda ska förstå behovet och syftet av regler inom informationssäkerhet samt få en djupare förståelse för dess krav och risker vilket uppstår genom att föra fram vikten av dataskydd och presentera relevanta säkerhetsarbetssätt för att främja regelföljandet av informationssäkerhetsregler (Jaeger et al., 2020). Detta har visat sig positivt påverka anställdas självförmåga och responseffektivitet, det vill säga en anställds tro på om den rekommenderade säkerhetsprocessen kommer förhindra ett säkerhetshot, att förstå och hantera hot från informationssäkerhetsincidenter (Hina et al., 2019). Vidare lyfter Koohang et al. (2019) att SETA-program baseras på de viktigaste mänskliga beteendena och riskerna bland anställda samtidigt som de bör baseras på risker och beteenden utifrån organisationens egna
anställda samt säkerställa att de följer organisationens informationssäkerhetsregler. Det är ledningen som bör uppmuntra anställda att delta i SETA-program och se till att de följer organisationens informationssäkerhetsregler (Kim et al., 2019). Dessa utbildningsprogram bör tillhandahållas regelbundet som påminnelser att följa reglerna och de bör bedömas och utvärderas för att uppnå maximal tillämpning hos de anställda (Koohang et al., 2019).
Det kan även vara gynnsamt för organisationen att skräddarsy säkerhetsutbildningarna för att främja regelföljande efter de enskilda individerna (Chua et al., 2018). Författarna menar att det finns utmärkande skillnader mellan olika grupper beroende på aspekterna arbetsbransch, ålder och utbildningsnivå. Vidare belyser de att ju högre deras utbildningsnivå är desto högre är deras ISM vilket kan bero på att de har blivit utsatta för verklig arbetsetik och arbete kring informationssäkerhet. Karjalainen, Siponen och Sarker (2020) lyfter att man bör utforma utbildningen utifrån anställdas faktiska tillstånd för att möjliggöra god reflektion över informationssäkerhetshantering och krav som är anpassade utefter individens kunskap vilket kommer ge en djupare förståelse och ökar motivationen att följa regler inom informationssäkerhet. Puhakainen och Siponen (2010) och även Stewart och Jürjens (2017) belyser att om man tar hänsyn till individens nuvarande kunskapsläge om regelföljande av informationssäkerhetsregler kommer utbildningen bli effektivare och bättre individanpassad, då den kommer förmedla rätt nivå av kunskap.
Träning och utbildning ökar anställdas prestationsförmåga men deras säkerhetskompetenser kan komma att förloras genom brist på upprepad övning (Ahmad et al., 2019). Därför behövs det frekvent utbildning om säkerhetsprocesser för att påminna och öka de anställdas beteenden och prestationer (Hwang et al., 2017). Detta kan ske i form av kontinuerliga påminnelser, möten, webbsidor, workshops och säkerhetsmedvetenhetsevent (Stewart & Jürjens, 2017). Organisationer kan även genomföra regelbundna kontroller eller intervjuer för att få fram det aktuella tillståndet av regelföljandet och ISM hos sina anställda för att ha koll på att det inte försämras samt för att kunna hålla en hög standard (Chua et al., 2018).
4.1.4 Ledarskap
Ett flertal artiklar studerade ledarskapets betydelse för regelföljande av informationssäkerhet. De faktorer som lyfts fram rör ledarskapets kunskap om informationssäkerhet och organisationens informationssäkerhetsregler, samt vikten av att ledarskapet är tydliga mot och motiverar de anställda. Vidare belyser artiklarna betydelsen av att ledarskapet själva deltar och även involverar de anställda i arbetet med informationssäkerhet och att ta fram informationssäkerhetsregler. Slutligen lyfts hur olika ledarskapstyper påverkar de anställdas regelföljande.
Stewart & Jürjens (2017) belyser att ledningsgruppen bör ha tillräckligt bra kunskap om organisationens inställning till säkerhet och säkerhetskrav för att stärka budskapet till all personal, uppmuntra personalens säkerhetsmedvetenhet och hantering av säkerhetsrelaterade frågor när de
