Linköpings universitet SE-581 83 Linköping, Sverige 013-28 10 00, www.liu.se Examensarbete i Företagsekonomi, 30 hp | Civilekonomprogrammet
Vårterminen 2021 | ISRN-nummer: LIU-IEI-FIL-A--21/03584--SE
Cybersäkerhet – Att
stärka den svaga länken
En flerfallsstudie om hur formella och informella
styrmedel förebygger interna cyberhot i
banksektorn
Isabella Hultberg
Sanna Olsson
Förord
När vi i december 2020 läste att cybersäkerhet rekommenderades som område för uppsatsskrivandet väcktes genast ett stort intresse hos oss att utforska ämnet närmare. Med knapphändig kunskap inom området som utgångspunkt är vi därför glada att vår extensiva litteratursökning, empiriska sammanställning och analys resulterat i att vi nu sex månader senare kan dela med oss av vår nyfunna erfarenhet. Vi hoppas därför att ni finner studien intressant att läsa!
Fortsättningsvis vill vi rikta ett stort tack till studiens respondenter som inte bara delat med sig av värdefulla erfarenheter, utan även visat stort engagemang och välvilja. Vidare vill vi passa på att tacka vår handledare, Ramsin Yakob, opponenter och medstuderande för goda råd och uppmuntran under uppsatsskrivandets gång.
Trevlig läsning!
Linköping, 2021-06-20
_______________________ ______________________
Sammanfattning
Titel: Cybersäkerhet - Att stärka den svaga länken. En flerfallstudie om hur styrmedel
förebygger interna cyberhot i banksektorn.
Författare: Isabella Hultberg och Sanna Olsson
Handledare: Ramsin Yakob
Bakgrund: Banker fyller en mycket viktig funktion i samhället och har sedan
digitaliseringen varit särskilt utsatta för cyberhot. Samtidigt bygger bankens verksamhet till stor del på att upprätthålla förtroendet hos sina kunder, varpå det är av stor vikt för banker att ha en hög cybersäkerhet. Framför allt kan interna cyberhot i form av mänskliga misstag konstateras vara den svaga länken i bankers säkerhetsarbete idag. Därför är det intressant att undersöka hur banker i Sverige arbetar för att öka cybersäkerheten genom formella och informella styrmedel, som kan påverka anställdas beteenden.
Syfte: Studien syftar till att bidra till ökad förståelse om hur banker styr sin verksamhet med
formella och informella styrmedel för att förebygga interna cyberhot på arbetsplatsen.
Metod: Studien har ett hermeneutiskt perspektiv och är utformad enligt en kvalitativ metod.
Vidare har en abduktiv ansats format uppsatsen. Syfte och frågeställningar har besvarats genom en flerfallstudie av fyra olika banker i Sverige. Det empiriska materialet har inhämtats med hjälp av intervjuer med representanter från respektive bank som arbetar med säkerhet.
Slutsats: För att förebygga interna cyberhot arbetar banker med formella styrmedel främst
i form av regler, där de tar hjälp av globala standarder vid utformningen. Reglerna utformas även utifrån bankens kultur och uppdateras ofta. Vi har sett att kompetens och medvetenhet inom cybersäkerhet hos anställda är något som samtliga fallföretag värderar högt, och för att stärka kompetensen lägger bankerna stora resurser på utbildning. Att göra säkerhetstänket till en naturlig del av anställdas dagliga arbete har framför allt understrukits av respondenterna, samtidigt som arbetet med kultur till stor del görs passivt då det starka regelverket formar kulturen. Informella dialoger menas dock vara något som ökar medvetenheten och därmed stärker kulturen. Slutligen har vi identifierat att samtliga styrmedel nämnda ovan påverkar varandra, varpå det är viktigt att ha ett helhetstänk vid styrningsarbetet vad gäller cybersäkerhet.
Abstract
Title:Cyber security - To strengthen the weak link. A multiple case study on how formal and informal management controls prevent internal cyber threats in the banking sector.
Authors: Isabella Hultberg and Sanna Olsson
Supervisor: Ramsin Yakob
Background: Banks play an important role in society and have since the increasing
digitalization been particularly exposed to cyber threats. At the same time, the bank's operations are largely based on maintaining trust of its customers, and therefore it is of great importance for banks to have a high level of cyber security. Above all, internal cyber threats in the form of human error constitute one of the greatest risks to banks' security work today. Therefore, it is interesting to investigate how banks work to mitigate internal cyber threats through formal and informal management controls.
Purpose: This study aims to contribute to an increased understanding of how banks use
formal and informal management control to mitigate internal cyber threats in the workplace.
Methodology: This study adopts a hermeneutic perspective and uses qualitative method.
Furthermore, an abductive approach has shaped the essay. The purpose and research questions have been answered through a multiple case study of four different banks in Sweden. The empirical material has been obtained with the help of interviews with representatives from each bank who work with security.
Conclusion: To prevent internal cyber threats, banks work with rules which global
standards and the company’s culture help design. We have noted that competence and awareness in cyber security is something that is valued highly. To strengthen the competence banks invest large resources in training. Making the idea of safety a natural part of employees' daily work has above all been emphasized by, at the same time as cultural development is largely done passively as the strong regulations shape culture. Informal dialogues, however, increase awareness and thus strengthen culture. Finally, we have identified that all the management controls mentioned above affect each other. Therefore, it is important to have a holistic approach to the governance work regarding cyber security.
Key words: Cyber security, cyber threat, management control, bank, security policy,
Innehållsförteckning
1. Inledning 1
1.1 Bakgrund 1
1.2 Problemformulering 3
1.3 Syfte och forskningsfrågor 5
1.4 Litteraturöversikt 6 2. Teoretisk referensram 9 2.1 Formella styrmedel 9 2.1.1 Standarder 10 2.1.2 Regler 10 2.1.2.1 Regelefterlevnad 11 2.1.2.2 Förebygga regelbrott 12 2.2 Informella styrmedel 13
2.2.1 Utbildning och träning 13
2.2.1.1 Medvetenhet och motivation 14
2.2.1.2 Utformning av utbildning 15
2.2.1.3 Uppföljning 16
2.2.2 Kultur 17
2.2.2.1 Implementering av kulturella styrmedel 18
2.2.2.2 Tillit 19 2.3 Konceptuellt ramverk 20 3.Metod 22 3.1 Val av forskningsansats 22 3.1.1 Hermeneutiskt perspektiv 22 3.1.2 Abduktiv ansats 23 3.2 Val av forskningsmetod 24 3.2.1 Kvalitativ metod 24
3.3 Design och upplägg 25
3.3.1 Flerfallsstudie 25 3.3.2 Val av fall 25 3.4 Insamling av data 27 3.4.1 Förberedelse av intervjuer 27 3.4.1.1 Intervjuguide 28 3.4.2 Urval 29 3.4.2.1 Presentation av respondenteerna 30 3.4.3 Genomförandet av intervjuer 32
3.5 Bearbetning och analys av insamlade data 33
3.6 Etiskt förhållningssätt 34 3.6.1 Forskningskravet 34 3.6.2 Individskyddskravet 34 3.7 Metodreflektion 36 3.7.1 Metodkritik 36 3.7.2 Giltighet 37 4.Empiri 39
4.1.1 Cybersäkerhet - en teknisk eller mänsklig fråga? 40 4.2 Formella styrmedel 41 4.2.1 Standarder 41 4.2.2 Regler 42 4.2.2.1 Regelefterlevnad 43 4.2.2.2 Förebygga regelbrott 45
4.2.2.3 Om skadan har skett 46
4.3 Informella styrmedel 47
4.3.1 Utbildning och träning 47
4.3.1.1 Medvetenhet och motivation 47
4.3.1.2 Utformning av utbildning 48
4.3.1.3 Uppföljning 50
4.3.2 Kultur 51
4.3.2.1 Implementering av kulturella styrmedel 51
4.3.2. Tillit 53
5.Analys 55
5.1 Vad betyder egentligen cybersäkerhet? 55
5.2 Hur arbetar banker med formella och informella styrmedel för att stärka cybersäkerheten? 56
5.2.1 Formella styrmedel 56
5.2.1.1 En standard att använda standarder? 57
5.2.1.2 Regler 58
5.2.1.3 Att följa eller inte följa bankens regler? 59
5.2.1.4 Hur påverkar man anställdas säkerhetsarbete? 60
5.2.2 Informella styrmedel - Utbildning 62
5.2.2.1 Hur ökar banker anställdas medvetenhet om cyberhot? 63 5.2.2.2 Så, hur ökar banker anställdas motivation till lärande? 63 5.2.2.3 Kan banker säkerställa att medarbetare har tillräcklig kompetens? 65
5.2.3 Informella styrmedel - Kultur 67
5.2.3.1 Det naturliga säkerhetstänket 67
5.2.3.2 Communication is key! 68
5.2.3.3 Rekrytering, urval, befordran och avsked 69
5.2.3.4 Code of Conduct och chefernas roll 69
5.2.3.5 Tillit 70
5.3 Hur samverkar formella och informella styrmedel? 72
5.3.1 Samband mellan regler och kultur 72
5.3.2 Samband mellan utbildning och kultur 74
5.3.3 Samband mellan regler och utbildning 76
5.4 Sammanfattning av analys 78
6. Slutsats 80
6.1 Förslag till vidare forskning 82
7. Referenser 84
Definitioner
Cyberhot = Hot mot företags informationstillgångar med fokus på informationssystem,
med avsikt att tillhandahålla känslig information och använda det till ett skadligt ändamål (Jouini et al., 2014). Cyberhot kan vidare klassas som både interna och externa, beroende på vilket ursprung och karaktär de har (Datt, 2016). Kategoriseringen är viktig då det kan underlätta förebyggandet av hoten (ibid).
- Interna cyberhot = Hot som uppstår inom organisationen, vilka kan vara både medvetna och omedvetna (Datt, 2016).
- Externa cyberhot = Attacker och hot orsakade av utomstående aktörer (Datt, 2016). Dessa aktörer kan vara individer, grupper eller regeringar (ibid). Ett exempel på ett vanligt externt cyberhot anges nedan.
- Phishing = Phishing innebär att den utsatte får e-mail eller sms, där man uppmanas klicka på en länk eller ange privat information. Länken utges för att vara säker, men i själva verket är falsk och istället leder någon annanstans än mottagaren förväntar sig (Polisen, 2021).
Finansiell sektor = Finansiella företag utgör en bred och differentierad sektor som
innefattar många olika verksamhetsgrenar, varav bostadslån, pensionssparande, sakförsäkringar, investeringsbanker och värdepappershandel är några exempel (Regeringen, 2020). Finansinspektionen (2021) väljer att kategorisera sin insats efter bank och försäkringsbranschen, varpå dessa tillsammans kan antas utgöra den finansiella sektorn.
ISF’s Standard of Good Practice (SOGP) = En standard som syftar till att ge uppnåeliga
mål för organisationer, vilket de kan mäta sin prestanda gentemot vad gäller säkerhetsstyrning. Standarden utvärderar informationssäkerhet och fokuserar på hur organisationer kan associera sina risker med kritiska informationssystem i dagens föränderliga värld (Höne & Eloff, 2002).
ISO 27000 = Internationella expertgrupper har utarbetat en standard med namnet ISO
27000 vilket fungerar som riktlinjer för organisationer med behov av informationssäkerhet (Swedish Standards Institute, 2021c).
1
1. Inledning
Studiens första kapitel ämnar ge bakgrundsförståelse för fenomenet cybersäkerhet och dess koppling till styrning, samt att ange studiens problemformulering. Därefter presenteras studiens syfte och forskningsfrågor. Kapitlet avslutas med att redogöra för det kunskapsbidrag som studien har för avsikt att ge.
1.1 Bakgrund
Till följd av dagens snabba tekniska utveckling, rör sig industrier i allt större utsträckning mot en digitaliserad verksamhet. Den nya teknologin har bidragit till förändringar i hur människor kommunicerar, insamlar kunskap samt arbetar, vilket har lett till en förändrad företagsstruktur inom många branscher (Snow et al., 2017). Den äldsta sektorn som har påverkats av den digitala utvecklingen är banksektorn, en bransch som har ett stort inflytande på världsekonomin (Duisenberg, 2001). På global nivå har nämligen hela det finansiella systemet för banksektorn förändrats. De teknologiska framstegen har gjort att manuella processer har blivit automatiserade och kundrelationer, som tidigare karaktäriserats av fysisk kontakt, har börjat övergå till en allt mer digitaliserad relation (Svenskt Kvalitetsindex, 2016).
Enligt Riksbanken (2016) har ett ömsesidigt förtroende i flera generationer setts som en grundförutsättning för all bankverksamhet, men under årens gång har förtroendet stött på utmaningar (PwC, 2017). Trots att innovativa teknologiska lösningar har lett till nya möjligheter så har tekniken även en baksida, inte minst inom bankverksamheten. En kraftig ökning av cyberhot mot den finansiella verksamhetens säkerhet har lett till ökad sårbarhet och förtroendet gentemot bankverksamheten har, som en konsekvens, kommit att påverkas negativt (Kumar et al., 2016; PwC, 2017). Under 2021 väntas cyberhoten mot den finansiella sektorn öka allt mer och en oro finns bland många svenska bolag att det svenska samhället inte är rustat för att klara av de ökade cyberhoten (Aktuell Säkerhet, 2020; PwC, 2020).
Cyberhot ökar inte bara i mängd utan även i komplexitet (Scardovi, 2017). Samtidigt är ett företags överlevnad förknippad med dess förmåga till innovation och anpassning, samt att snabbt kunna anamma nya digitala förändringar (ibid). Genom att kategorisera cyberhot mellan interna och externa hot kan organisationer underlätta förebyggandet av hoten (Datt, 2016). Interna hot orsakas ofta av en anställd inom organisationen med insider-kunskap eller behörighet. Svaga och otydliga regler och policys är exempel som ökar risken att anställda begår misstag. Bristfälligt implementerade kontroller och svaga lösenordsskydd är även
2
faktorer som bidrar till högre interna hot mot organisationens tillgångar. Externa hot sker av utomstående aktörer och kan komma i många olika former (ibid).
För företag kan cyberhot leda till en ökad sårbarhet om man inte stärker cybersäkerheten i samma takt (Scardovi, 2017). Därför har företag insett att de behöver lägga större vikt vid att stärka sin cybersäkerhet ytterligare (Aktuell Säkerhet, 2020). Enligt en undersökning som företaget Dell genomförde år 2014 framgick det att 74% av beslutsfattare inom IT på globala företag inom 2–3 år avsåg öka insatser för att stärka cybersäkerheten (Watkins, 2014). CNSS (2010) menar att cybersäkerhet övergripande kan ses som den tekniska och mänskliga förmågan att skydda eller försvara sig mot cyberhot. Begreppet cybersäkerhet kan ibland användas som synonym till informationssäkerhet, men enligt Finansinspektionen (2018) har begreppen olika innebörd. Van Niekerk och Von Solms (2o13) menar att allt säkerhetsarbete syftar till att skydda tillgångar från olika hot. Vad gäller informationssäkerhet så omfattas dock dessa tillgångar av alla delar av information, medan cybersäkerhet har till syfte att skydda tillgångar i form av digital information som omfattar allt från människor till uppkopplad utrustning och infrastruktur (ibid). Denna studie utgår från begreppet cybersäkerhet, eftersom det är digital säkerhet som är relevant för studien.
År 2017 genomförde Ponemon Institute och Opus en undersökning om vilka hotbilder CISO:s (Chief Information System Officer) bekymrade sig över inför det kommande året. Av studien framgick att den största hotbilden ansågs vara kompetensbrist inom cybersäkerhet hos personal (Opus, 2018), vilket kan klassas som ett internt cyberhot (Datt, 2016). Det har visat sig att brister i organisationers säkerhet ofta har berott på anställdas agerande, vilket visar på att cybersäkerhet inte enbart syftar till tekniska lösningar utan även organisatorisk utveckling (Furnell & Vasileiou, 2017). Mouton et al. (2016) styrker detta och menar att det inte är tillräckligt att satsa alla resurser på endast ett tekniskt välutvecklat säkerhetssystem för att öka cybersäkerheten. Trots detta förlitar sig företag till stor del på de inbyggda funktionerna som finns i IT-produkter och tjänster för att skydda organisationen (Peha, 2013).
Idag ställs allt högre krav på banker att säkerställa att det finns välanpassade system som skyddar organisationen mot de risker som hotar dess säkerhet (Sittig & Singh, 2016). Att investera i teknisk utrustning för att öka cybersäkerheten är därför viktigt, men även dyrt. Med tanke på att anställdas beteende kan motverka cyberhot, kan styrning vara ett kostnadseffektivt sätt att uppnå mål på (Peha, 2013). Både Andersson och Funck (2017) samt Merchant och Van der Stede (2017) ser styrning som sätt att påverka anställdas beteende på. För att genomföra styrningen behövs styrmedel, som ofta delas upp mellan formella och informella styrmedel (Andersson & Funck, 2017).
3
Formella styrmedel är den formella planeringen och insamlingen av data som förser
ledningen med information om aktiviteter (Daft & Macintosh, 1984). Informella styrmedel kan ses som “mjuka verktyg” då de är svåra att kvantifiera, och inkluderar exempelvis utbildning och företagskultur (Andersson & Funck, 2017; Anthony et al., 2014). Finansinspektionen (2018) har identifierat styrning och kontroll som ett viktigt område att förbättra hos banker. Därför är det intressant att undersöka hur styrning kan verka som ett komplement till den tekniska säkerhetsutrustningen för att eventuellt göra banker säkrare och mer förtroendeingivande gentemot sina kunder.
1.2 Problemformulering
Globalt har banker haft bristfälliga interna kontrollsystem vilket har resulterat i att manipulerade siffror har förekommit (Merchant & Van der Stede, 2017). Finansinspektionen (2018) lyfter problematiken kring bankers interna kontroller och förklarar att avvikelser från företagens formella interna styrdokument, etablerade processer och arbetsrutiner samt kända brister som inte åtgärdats leder till sårbarheter. Med andra ord har formella styrmedel identifierats som ett viktigt område inom cybersäkerhet och framför allt är regler ett formellt styrmedel som fått stor uppmärksamhet. Regler kan beskrivas som tydligt och formellt kommunicerade tillvägagångssätt som förklarar hur något ska utföras (Burns & Scapens, 2000). Peltier (2002) definierar IT-regler som rekommendationer för organisationers informationssäkerhet.
Pahnila et al. (2007) menar att ett av de största hoten mot företags cybersäkerhet är att anställda inte följer de existerande säkerhetsreglerna. Flertalet tidigare studier inom cybersäkerhet har även påvisat att säkerhetspolicys inte alltid är effektiva (Han et al., 2017; Ifinedo, 2014). Vissa anställda uppmärksammar inte dess organisations säkerhetsregler, medan andra underskattar säkerhetsriskerna även när det finns ett skriftligt policydokument med instruktioner (Ng & Xu, 2007). Tidspress, arbetsmängd och viljan att arbeta snabbare är några av de mänskliga problemen som påverkar engagemanget i riskfyllda handlingar av anställda (Young & Leveson, 2013; Lawton, 1998).
Trots vikten av att ha bra formella styrmedel menar Merchant och Van der Stede (2017) att informella styrmedel och kontrollsystem bör implementeras före dess formella motsvarigheter, då informella styrmedel är billigare att implementera och även medför färre negativa påföljder. Finansinspektionen (2018) bedömer att det informella styrmedlet utbildning gällande cybersäkerhet är en viktig faktor när det kommer till att öka cybersäkerheten i banker. Forskning har nämligen visat att otillräcklig utbildning inom cybersäkerhet leder till att anställda får knapphändig kompetens inom området och således utgör ett hot mot organisationens säkerhet (Furnell & Vasileiou, 2017; Luburic, 2016).
4
Begreppet kompetens kan enklast beskrivas som ett samlingsbegrepp för en individs förmåga att utföra en uppgift genom att tillämpa kunskaper och färdigheter (Rainsbury et al., 2002). Rätt kompetens inom cybersäkerhet kan anses vara särskilt viktig, då brist på kunskap inom cybersäkerhet hos anställda uppges bidra till 72–95% av cyberhot som företag ställs inför (Peha, 2013). På grund av till exempel stress, otillräcklig utbildning eller oaktsamhet kan anställda av misstag avslöja de svagheter i säkerhetssystemet som dess organisation har - vilket ökar riskerna för cyberattacker (Elifoglu et al., 2018). Rao och Nayak (2014) styrker detta och menar på att en av anledningarna till att säkerhetsföreskrifter inte efterföljs beror på att anställda inte förstår vikten av cybersäkerhet. Därför är det viktigt att anställda får den utbildning som krävs för att de ska få förståelse för hur säkerheten inom organisationen ska upprätthållas (Furnell & Vasileiou, 2017).
Vidare menar Anthony et al. (2014) att informella styrmedel är till för att vägleda medarbetares beteenden på arbetsplatsen och jämfört med den formella styrningen är den informella styrningen svårare att utforma då den inte kan styra beteenden genom uttryckliga verifierbara mått på det sätt som formella styrmedel kan. Coffey (2017) menar vidare att träningsprogram som informellt styrmedel misslyckas i att forma anställdas beteenden utan menar att företag måste skapa en arbetsmiljö där aktivt lärande står i centrum och således påverkar anställdas beteenden. Initiativ för att påverka mänskligt beteende kan göras med hjälp av företagskulturen, genom att implementera processer som ökar medvetenheten kring beslutsfattande (Hadlington, 2017).
Kultur kan ses som företags oskrivna regler och antaganden om hur arbetet ska utföras (Yeats & Cadel, 1996). En cybersäkerhetskultur inkluderar rutiner, policys och oskrivna regler som anställda använder när de utför sina dagliga uppgifter (ibid). Trots att en cybersäkerhetskultur har kunnat ses ha stor påverkan på företags risker, så kan det vara svårt att identifiera, bygga och kvantifiera (Liedner & Kayworth, 2006; Da Veiga, 2016). Studier har dessutom visat att anställda inom organisationer ofta tar icke informerade säkerhetsbeslut, bland annat på grund av att individer baserar sina beslut på personliga värderingar eller att just säkerhetskulturen i organisationen är för låg (Van Zadelhoff, 2016). Detta tyder på att det idag kan finnas svårigheter med att integrera cybersäkerhet i bankens kultur, samtidigt som teoretiker har understrukit vikten av att göra säkerhetstänket till en naturlig del av anställdas arbete genom företagskulturen (Choi et al., 2018; Pahnila, 2007).
5
Om än formella och informella styrmedel båda bidrar till en starkare cybersäkerhet så menar McIlwraith (2006) att den mest effektiva åtgärden företag kan ta för att stärka sin säkerhet är att uppnå en balans mellan olika kontrollverktyg. Författaren utvecklar resonemanget med att förklara att en teknisk infrastruktur onekligen är nödvändig, men menar att även intern kontroll, styrning och fungerande processer är lika viktiga (ibid). Utifrån detta kan vi förutspå att det behöver finnas ett samspel mellan formella och informella styrmedel för att stärka cybersäkerheten, men trots detta har lite forskning bedrivits inom området.
I ett samhälle där digitaliseringen ständigt växer är det viktigt att vara medveten om hur man stärker cybersäkerheten. Därför har behovet av cybersäkerhet ökat markant, och den mänskliga faktorn har konstaterats vara den största bristen i säkerhetsarbetet hos företag. De interna cyberhoten kan orsaka svårigheter i säkerhetsarbetet om vikten enbart läggs på tekniska lösningar för att motverka externa hot. För att undvika dessa risker kan företag använda sig av styrning med formella och informella styrmedel. Det har konstaterats finnas brister inom dessa styrmedel i form av bristfällig regelefterlevnad, brist på kompetens inom cybersäkerhet och svårigheter i att bygga en säkerhetskultur. Samtidigt är forskningen om samverkan mellan formella och informella styrmedel snäv, trots att många forskare antyder att styrmedel påverkar varandra. I denna studie undersöker vi därför hur företag inom banksektorn förebygger interna cyberhot genom arbete med formella och informella styrmedel.
1.3 Syfte och forskningsfrågor
Studien syftar till att bidra till ökad förståelse om hur företag i banksektorn kan styra sin verksamhet med formella och informella styrmedel för att förebygga interna cyberhot på arbetsplatsen.
För att uppfylla studiens syfte har följande forskningsfrågor valts ut:
1. Hur arbetar banker med formella och informella styrmedel för att förebygga interna cyberhot?
6
1.4 Litteraturöversikt
Tidigare forskning inom ämnet cybersäkerhet påvisar att det finns få kvalitativa studier som har inriktat sig på hur styrningen kan utformas för att stärka cybersäkerheten (Leal et al., 2017; Von Niekerk & Von Solms, 2013; Rothrock et al., 2018). Vidare har mycket tidigare forskning haft ett datavetenskapligt perspektiv där man studerat organisationers användande av tekniska lösningar för att skydda sig mot cyberhot (White & Daniels, 2019; Gunduz & Das, 2020; Conteh & Schmich, 2016; Atoum et al., 2013; Fischer, 2015). Den mänskliga aspekten av cybersäkerhet och informationssäkerhet är dock något som har kommit att bli mer uppmärksammat inom forskning men både Leal et al. (2017) samt Von Niekerk och Von Solms (2013) hävdar att det fortfarande finns ett behov av att närmare undersöka hur man med hjälp av mänskliga resurser kan öka cybersäkerheten, istället för att enbart undersöka kopplingen till den tekniska aspekten.
Chmielecki et al. (2014) presenterar i sin studie ett förslag för hur företag kan genomföra sin styrning när det gäller cybersäkerhet, men undersöker inte hur företag faktiskt gör det. Även Tisdale och Morris (2015) har gjort en litteraturbaserad undersökning om utmaningarna inom cybersäkerhet vad gäller bland annat styrning, och konstaterade att kompetens inom cybersäkerhet behöver undersökas vidare för att förstå den fullständiga och komplexa naturen när det kommer till styrning inom cybersäkerhet. Vi har dock inte funnit någon kvalitativ studie inom området vi ämnar undersöka, utan har framför allt funnit kvantitativa eller litteraturbaserade undersökningar (Leal et al., 2017; Tisdale & Morris, 2015).
Inom ämnesområdet informationssäkerhet har det visat sig finnas en större grund att stå på inom forskningen. Trots att begreppen informationssäkerhet och cybersäkerhet kan anses ha olika innebörd har vi ändå tagit hänsyn till den existerande forskningen inom informationssäkerhet då det bland annat omfattar cybersäkerhet. Regelefterlevnad och motivationen bakom har undersökts med kvantitativ metod av både Herath och Rao (2009) samt Bulgurcu et al. (2010). Resultatet av studierna påvisade att anställda kan motiveras till att följa regler genom både inre och yttre motivation (Herath & Rao, 2009) samt att anställdas riskbedömning har stor påverkan för regelefterlevnaden samtidigt som motivationen sträcker sig längre än straff och belöningar (Bulgurcu et al., 2010). Även Li et al. (2019) har genomfört en kvantitativ studie om regler, men som behandlar området cybersäkerhet, där studien undersöker hur anställdas säkerhetsbeteende påverkas av deras medvetenhet om cybersäkerhetsregler. Vidare har Siponen (2000) gjort en litteraturbaserad undersökning om medvetenhet vad gäller informationssäkerhet, men menar att empirisk undersökning krävs för att kunna stärka validiteten av resultatet.
7
Forskningen kring sambandet mellan olika styrmedel och dess koppling till cybersäkerhet har visat sig vara snäv i sin omfattning. Li et al. (2019) genomförde en studie om hur anställdas medvetenhet kring företagets cybersäkerhetspolicys påverkade dess säkerhetsbeteende och konstaterade i sin studie att anställda som är mer medvetna om policys även beter sig på ett säkrare sätt. Även Tsohu et al. (2015) kom i sin studie fram till att träningsprogram inom cybersäkerhet måste anpassas utifrån de faktorer man kan se påverkar säkerhetsmålen. Författarna menar att individer bedömer risker utifrån kulturella och partiska uppfattningar, vilka måste tas hänsyn till när program utformas. Melé (2005) har vidare undersökt sambandet mellan moral, värderingar och regler när det kommer till etiska träningsprogram inom redovisning. I sin studie presenterar Melé (2005) att utbildningar ska motivera moraliskt beteende, vilket författaren inte har att göra med kunskap utan snarare med personlig utveckling att göra. Vad utbildningar måste göra är därmed att presentera och diskutera regler och värderingar som är viktiga för att uppnå rätt moral. Dessutom visar individer som har genomgått omfattande utbildning inom cybersäkerhet inom dess företag inte nödvändigtvis högre nivåer av säkerhetsbeteende (Ng & Xu, 2007). Detta tyder på att utbildning och kompetens inte på egen hand kan ändra individers beteenden.
Sammanfattningsvis kan vi konstatera att betydligt mer forskning har bedrivits inom området informationssäkerhet än cybersäkerhet när det kommer till den mänskliga aspekten av säkerhetsarbetet hos företag. De studier vi har funnit inom informationssäkerhet har vidare framför allt varit kvantitativa undersökningar, som syftat till att bidra till ett generaliserbart resultat. Samtidigt har banksektorn i sig inte studerats för att undersöka hur säkerheten stärks genom formella och informella styrmedel. Vi menar därför att denna studie bidrar till en kunskapslucka genom att visa hur en unik sektor, banksektorn, idag praktiskt bär sig åt för att förebygga interna cyberhot med styrning. Vi menar även att studien skulle kunna verka som inspiration till andra företag i branschen.
9
2. Teoretisk referensram
Denna studie har för avsikt att undersöka hur företag i banksektorn förebygger interna cyberhot genom formell och informell styrning. Vi kommer således presentera tidigare teorier om formella och informella styrmedel. Kapitlet avslutas med ett konceptuellt ramverk som ämnar ge förståelse för hur teorikapitlet och dess olika delar hänger ihop.
2.1 Formella styrmedel
Banker spelar en viktig roll i samhällets ekonomi, och har därför stora krav på sig att utföra sin verksamhet på ett godtyckligt sätt (FI, 2018). De är därmed under tillsyn av Finansinspektionen, som kontrollerar att riskhantering, styrning, kontroll och konsumentskydd bedrivs på ett lämpligt sätt (ibid). Det kan därmed konstateras att banker är en väldigt regelstyrd bransch. Detta är förståeligt eftersom regler och policys har en viktig roll i arbetet med säkerhet (Höne & Eloff, 2002). Peltier (2002) menar att IT-regler ska innefatta riktlinjer för vem som har ansvar vid initiering, implementering och hantering av säkerhetsarbetet. Regler kan bestämmas inom organisationen och påverkas av lagar, direktiv och standarder (Wall et al., 2015).
Eftersom regler inte alltid är enkla att utforma kan standarder fungera som stöd vid utformandet av ett företags egna policys och regelverk (Höne & Eloff, 2002). En standard är en gemensamt framtagen lösning på ett problem, som syftar till att höja kvaliteten och undvika missförstånd (Swedish Standards Institute, 2021a). De riskmått och bedömningar som normalt används vid riskhantering kan dock inte anses ha samma effekt i den digitala världen, där det existerar hög osäkerhet och hot som ständigt förändras (Collier et al., 2014). Framför allt menar Collier et al. (2014) att riskanalyser normalt enbart beskriver den fysiska världens konsekvenser, utan att ta hänsyn till mänskliga uppfattningar och värderingar, vilket är grundläggande för goda beslut. Därmed krävs särskilda standarder vid arbete med cybersäkerhet (ibid).
Det formella styrmedlet regler är vidare det som uppsatsen bygger på. Eftersom regler kan formas utifrån standarder kommer både regler och standarder presenteras i följande kapitel.
10
2.1.1 Standarder
Genom att följa globala säkerhetsstandarder menar Collier et al. (2014) att organisationer kan minska sin sårbarhet mot cyberhot. Företag kan dessutom välja att certifiera sig mot en standard (Swedish Standards Institute, 2021b). Detta innebär att man bekräftar att säkerhetsarbetet håller en viss nivå och kan öka förtroendet hos företaget (ibid). Vidare menar Collier et al. (2014) att ett riskbaserat ramverk inom cybersäkerhet ständigt måste uppdateras på information och spåra förändringar i intressenters prioriteringar.
NIST (National Institute of Standards and Technology) publicerar många olika standarder och vägledande dokument som beskriver ett ramverk med riktlinjer för hur riskbedömning ska genomföras (Collier et al., 2014). Däremot erbjuder dessa riktlinjer lite förklaring om hur företag ska röra sig bortom den traditionella riskbedömningsprocessen till praktiskt genomförbara strategier (ibid). Höne och Eloff (2002) diskuterar vidare problematiken med att förlita sig för mycket på standarder. Dels kan standarderna inte anses vara heltäckande vilket gör att de snarare behandlar processer som behövs för att kunna implementera en policy. Det är mycket viktigare att en informationssäkerhetspolicy stämmer väl överens med företagskulturen snarare än att den strikt följer standardens riktlinjer (ibid). Därför menar Höne och Eloff (2002) att standarder inte bör förlitas på fullt ut som vägledning, utan snarare bör ses som övergripande riktlinjer vilka företag bör ta hänsyn till vid utformandet av sina egna säkerhetsregler och strategier.
2.1.2 Regler
Doherty et al. (2009) menar att IT- och informationssäkerhetsregler är grundläggande vid hantering av informationssäkerhet, med syftet att upplysa medarbetare om deras roller, rättigheter och ansvarsområden. Företag behöver information för att utföra sin verksamhet vilket gör det av stor vikt att skydda informationen (Höne & Eloff, 2002). Därför är det viktigaste syftet med säkerhetsregler att tydliggöra vad anställda har för rättigheter och ansvar när de använder sig av organisationens information (ibid). Vidare menar Höne och Eloff (2002) att syftet med informationssäkerhet bör beskrivas för alla anställda i ett policydokument, samtidigt som syftet ska kopplas till organisationens övergripliga strategi och mål. Vidare ska en sådan policy framför allt riktas mot anställda som betraktar informationssäkerhet som ett nytt och främmande koncept. Därför är det av stor vikt att det finns en kort och tydlig definition av vad informationssäkerhet är, för att säkerställa en enhetlig förståelse av begreppet genom hela organisationen (ibid).
Regler bör utformas på ett tydligt sätt samtidigt som de ska vara enkla att följa (Eisenhardt & Sull, 2001). Eisenhardt och Sull (2001) menar dock att regler inte bör vara alltför detaljerade, utan att de snarare ska fungera som ett ramverk då reglerna annars blir för
11
begränsade för den turbulenta omgivningen vi befinner oss i. En enkel regel får helt enkelt inte vara för bred men inte heller för vag (ibid). Särskilt understryker Gisladottir et al. (2017) att regler inte bör vara för strama, då regler som försvårar anställdas arbete kommer göra att individer kommer leta sätt att undgå reglerna - vilket således gör att meningen med reglerna förloras. Vidare menar Höne och Eloff (2002) att reglerna har till syfte att förklara vilket beteende som är acceptabelt och inte, och många är ofta tätt kopplade till företagets kultur. Merchant och Van der Stede (2017) menar också att regler framför allt tillför förebyggande fördelar gentemot risker genom att tydligt informera anställda om vad som förväntas av dem. Burns och Scapens (2000) förklarar även att regler behövs eftersom de får personer att utföra handlingar på samma sätt, och även ger ett sammanhang till dessa handlingar.
2.1.2.1 Regelefterlevnad
Regelefterlevnad, även kallat Compliance, har sin mening i att banker ska leva upp till de krav och standarder som ställs, genomföra uppföljningar samt kontroller som säkerställer att samtliga inom verksamheten följer de regler som tillskrivits (FFFS 2005:1). Enligt Finansinspektionen (2020) ska utvärderingar ske minst årligen. Inom bankverksamheten finns det en viss ansvarsfördelning mellan roller, vilket innebär att styrelsen har det övergripande ansvaret att säkerställa att rätt riktlinjer förmedlas ner i organisationen. Det är således styrelsen som fastställer dessa riktlinjer utifrån de krav som regelverket ställer (ibid). Chefer på kontorsnivå ska i sin tur säkerställa att personalen, som denne ansvara över, arbetar utifrån de tillskrivna reglerna samt har den kunskap som krävs för att följa regelefterlevnaden (Bank for International Settlements, 2015). Brister i regelefterlevnad kan också leda till att tillsynsmyndigheter ger sanktioner vilket både kan skada bankens rykte samt försämra kundernas förtroende gentemot banken – vilket gör att banken får en försämrad marknadsposition (ibid).
Herath och Rao (2009) understryker chefernas roll i säkerhetsarbetet, då författarna menar att chefer måste utveckla mekanismer som undersöker och utvärderar deras medarbetares säkerhetsprestanda. Detta skulle kunna indikera att chefer kan stärka efterlevnaden av säkerhetsregler genom att förbättra säkerhetsklimatet i organisationen. Om anställda uppfattar att deras handlingar har en påverkan på den övergripande säkerheten kommer de mer sannolikt följa säkerhetsreglerna (ibid). Övergripande konstaterar Herath och Rao (2009) att det är viktigt för IT-chefer att övertyga anställda om att informationssäkerhet är viktigt för organisationen och att anställdas handlingar gör skillnad i företagets säkerhetsarbete. Även Pahnila et al. (2007) menar att personer som är ansvariga för cybersäkerheten i ett företag har en viktig roll i att göra säkerhetsreglerna till en naturlig del av de anställdas vardag.
12
2.1.2.2 Förebygga regelbrott
Forskning har visat att viljan att följa säkerhetsregler till stor grad påverkas av hur anställda uppfattar risken att bryta mot säkerhetsreglerna (Wall et al., 2015). Anställda behöver nämligen inte bara vara medvetna om vilka regler som existerar, utan det är även av stor vikt att de är motiverade att följa reglerna (Pahnila et al., 2007). Därmed har individers attityder, vanor och normer en stor påverkan på hur väl en organisations regler efterföljs. Därför bör det finnas lättillgänglig information och även support om anställda upplever problem eller har frågor om reglerna (ibid). En studie av Lawton (1998) fokuserade på regelbrytande och motivationen bakom. Studien visade på att i de flesta fallen när regler bryts mot så är den bakomliggande orsaken omedveten, då många av fallen då regler bröts emot berodde på att de anställda var så dedikerade att slutföra sin uppgift (ibid).
Merchant och Van der Stede (2017) menar att företag kan påverka regelefterlevnaden med hjälp av belöningar och straff, vilket författarna benämner som results control. Results controls innefattar belöningar till medarbetare som genererar tillfredsställande resultat, vilket har visats ha en motiverande effekt på de anställdas kompetensutveckling. Risken med dessa typer av kontrollsystem är dock att de kan orsaka så kallad short-termism, som innebär att användarna får ett kortsiktigt perspektiv som kan vara missgynnsamt för företagets långsiktiga lönsamhet (Merchant & Van der Stede, 2017).
Benabou och Tirole (2003) lyfter ett annat perspektiv och menar att incitament och bestraffningar kan ha en negativ roll när det gäller regelefterlevnad. När det kommer till att avskräcka anställda från att bryta regler menar dock Hollinger och Clark (1983) att sannolikheten att en bestraffning kommer ske är betydligt mer effektiv än allvarligheten (“severity”) av straffet. Även nyare studier av Kankanhalli et al. (2003) har visat att hårdare straff inte leder till bättre säkerhetsarbete. Herath och Rao (2009) menar också att regelefterlevnad av anställda till stor del påverkas av den anställdes upplevda sannolikhet att bli påkommen om säkerhetsreglerna bryts mot. Därför krävs det inte bara att säkerhetsregler existerar och att regelbrytande bestraffas, utan ännu viktigare är synliga kontrollmekanismer (ibid).
13
2.2 Informella styrmedel
Idag befinner sig banker i en era där teknologier ständigt utvecklas och digitaliseringen har kommit att uppta en allt större del i individens dagliga arbete. Därför menar Weigel & Hazen (2014) att banker behöver lägga ett ökat fokus på att säkerställa att de har kompetent personal som har förståelse för hur teknologin fungerar, men också vilka risker teknologin medför. Här blir således kompetensutveckling en viktig aspekt för att anställda ska kunna leva upp till de förväntningar som organisationen kräver (Sandberg & Targama, 1998). Själva begreppet kompetensutveckling ses som ett system av åtgärder som tillsammans utformar en strategisk betydelse för vilken kompetens man vill ha inom en organisation, och det är denna kompetens som leder till att man når mål. För att öka kompetensen hos anställda kan företag använda sig av både träningsprogram och utbildning (Sandberg & Targama, 1998; FI, 2018).
Nadler och Nadler (2011) menar dock att anställda inte kan lära sig att bete sig på ett visst sätt, men förklarar att beteende hos individer däremot är något som kan formas utifrån det som de lär sig. Författarna förklarar att om en person misslyckas med att applicera det denne har lärt sig betyder inte detta att individen inte har lärt sig, utan misslyckandet kan bero på många utomstående faktorer (ibid). Huang och Pearlson (2019) menar att byggandet av en cybersäkerhetskultur i en organisation just vägleder anställdas beteenden och ökar motståndskraften mot cyberhot.
Med ovanstående argument, är träningsprogram och utbildning, samt kultur de informella styrmedel som kommer att undersökas vidare i detta kapitel.
2.2.1 Utbildning och träning
Kompetensutveckling genom träningsprogram kan göra att de anställda får en känsla av att vara högt värderade samtidigt som de blir mer självsäkra i sitt arbetsutförande (Baht, 2013). Luburic (2016) menar dessutom en organisations verksamhet formas med hjälp av dess medarbetare. Man kan dock inte förvänta sig att processer ska fungera bättre om de som hanterar processerna inte förändras till det bättre också (ibid). Här menar Luburic (2016) att man behöver se till att utveckla nivån på lärande och kunskap hos de anställda inom organisationen för att utförandet av uppgifter sker på ett säkert och framgångsrikt sätt. Lärande ska ses som en kontinuerlig process och det är därför viktigt att man som organisation prioriterar att distribuera resurser på utbildning till de anställda (ibid). Dessutom menar Söderström (2008) att kunskap mynnar ut i ekonomisk betydelse och ses ofta som en konkurrensfördel, vilket kan vara ett ytterligare argument till att investera resurser i utbildning.
14
2.2.1.1 Medvetenhet och motivation
Finansinspektionen (2018) lyfter fram att banker behöver säkerställa att det finns tillräcklig kompetens för att kunna hantera risker, vilket ställer krav på att dess ledning och styrelse bidrar till att öka medvetenheten kring cybersäkerheten internt. McIlwraith (2006) menar att just medvetenhet är den absolut viktigaste komponenten för att stärka en organisations informationssäkerhet. Medvetenhet kan delas in i två delar, där den ena delen är ett sätt att göra människor medvetna om problem som relaterar till informationssäkerhet. Den andra delen syftar till att uppmuntra anställda att agera på ett lämpligt och säkert sätt utifrån informationen som de hanterar (ibid). McIlwraith (2006) menar dock att medvetenhet inte är samma sak som utbildning, men understryker att begreppen är nära relaterade. Även Furnell och Vasileiou (2017) menar att en viktig aspekt i säkerställandet av cybersäkerhet är just att öka anställdas medvetenhet inom området. Genom ökad medvetenhet kring säkerhet kan banker motverka cyberattacker samt minska konsekvenserna om en attack inträffar (FI, 2018). Med hjälp av relevant utbildning kan medvetenheten hos anställda öka inom dessa frågor, och för att bibehålla samt uppdatera kompetensen har Finansinspektionen infört krav på att banker ska ha minst en årlig säkerhetsutbildning kopplat till cybersäkerhet (ibid).
Enligt Wolvén (2000) påverkas det individuella lärandet av att individen känner sig motiverad till att vilja lära sig. Fortsättningsvis menar Ohlsson (2008) att en bra arbetsplats ser till att medarbetare har möjlighet att utvecklas i sitt yrke, som en del av kompetensutvecklingen. Detta då anställda kan ses som företags största framgångsfaktor, varpå anställda måste uppleva att de är nöjda med sitt arbete (ibid). Flera studier har visat att träning och utveckling är något som kan öka anställdas nöjdhet på jobbet (Adesola et al., 2o13; Tarasco & Damato, 2006). Detta är något som även bekräftas i Hanaysha och Tahir (2016) studie, där författarna förklarar att personer som utformar policys bör fokusera på träningsprogram. Dels för att nyanställda ska öka sin kunskap och förstå hur de ska utföra sina arbetsuppgifter, samtidigt som det kan öka anställdas motivation och nöjdhet (ibid).
McDowall och Saunders (2010) understryker vikten av att chefer och ledare stöttar och uppmuntrar lärande. Trots att anställda själva måste vara motiverade att utvecklas för att lärandet ska vara effektivt, så kan inte utveckling ses som en process som anställda initierar och hanterar på egen hand. Meningsfull utveckling kan därför inte ske utan ledningens stöd (ibid). Huang och Pearlson (2019) menar vidare att chefer och ledning har en viktig roll i att förmedla vikten av cybersäkerhet genom att visa att cybersäkerhet är en av deras prioriteringar, vilket visas i strategiska diskussioner och beslut. Dessutom kan chefer personligen delta i cybersäkerhetsrelaterade aktiviteter, till exempel genom att kommunicera företagets säkerhetsregler eller genom att själva vara med på säkerhetsutbildningar. Chefer bör även vara kunniga inom cybersäkerhet, för att sända signaler om vikten av att ha kunskap inom området (ibid).
15
2.2.1.2 Utformning av utbildning
Tidd och Bessant (2018) anser att det är viktigt att företag fokuserar på kontinuerlig och långsiktig kompetensutveckling för att säkerställa att kompetensnivåerna hålls höga. Lave och Wenger (1991) menar att individer får erfarenhet genom att själva delta och prova utföra uppgifter, samt att lära sig av andra. Vidare menar Rao och Nayak (2014) att organisationer därför behöver implementera träningsprogram som kontinuerligt används för att se till så att medarbetare får rätt utbildning så att de upprätthåller en hög kompetens inom ämnet. Enligt Cone et al. (2007) kan det dock vara svårt att fånga anställdas uppmärksamhet om de anser innehållet vara ointressant. Dessutom kan tillgång till för mycket information leda till förvirring då det kan skapa osäkerhet i hur informationen ska användas (Hatch, 2002). Här menar Furnell och Vasileiou (2017) att det är viktigt att individanpassa innehållet som en utbildning ska förmedla, istället för att göra den rutinmässig och således bli en generell uppmaning för alla inom organisationen. Om budskapet uppfattas som generella riktlinjer för alla medarbetare finns det en risk att man lägger över ansvaret på någon annan (ibid).
För att lyckas med individanpassade utbildningar behöver man fundera kring vilka faktorer som ska påverka denna anpassning. Enligt Furnell och Vasileiou (2017) är en faktor att anpassa utbildningen utifrån de roller som finns inom organisationen eftersom olika roller innebär olika ansvar och beslutsfattande. Detta resonemang för även Luburic (2016) som menar att det är viktigt att varje individ får den utbildning som krävs för dennes roll för att på så vis kunna utföra och ansvara för de tilldelade arbetsuppgifterna på ett effektivt sätt. Vidare menar Marotta och McShane (2018) att man ska inkludera hela verksamheten i säkerställandet av ökad cybersäkerhet, vilket ställer krav på samarbete mellan organisationens IT-avdelning och verksamhetens övriga medarbetare.
På grund av samhällets teknologiska framsteg har traditionella inlärningsmetoder såsom overheadprojektorer och svarta tavlor, som tidigare varit attraktiva utbildningsmetoder på grund av dess låga komplexitet och kostnad, blivit utbytta mot nya teknologiskt baserade inlärningsmetoder (Geber, 1990). Dessa inkluderar diskussionsforum, chatter, e-mail och andra applikationer. Trots att de är dyrare och mer komplexa att utveckla så förbättrar de utvecklingsprocessen, exempelvis lyckas de erbjuda utbildning utan att vara begränsade av tid och rum (ibid). Dessutom klarar dessa typer av utbildningar av att presentera information på ett sätt som är attraktivt för deltagarna, och genererar nya sätt att fånga lyssnarens uppmärksamhet på (Alavi & Leidner, 2001). Enligt Lynn (1999) är case en problembaserad undervisningsform där individer försätts i verklighetsliknande situationer, där de får möjlighet att ta beslut och hitta lösningar utifrån den givna informationen. Detta är ett sätt för personer att lära genom problemlösning och diskussion (ibid).
16
2.2.1.3 Uppföljning
Enligt Heisler (1996) syftar uppföljning till en process som ska leda till en förbättring. Utveckling och lärande är en konsekvens av förmågan att ta lärdom av tidigare erfarenheter och med hjälp av uppföljning kan man identifiera framgång eller misslyckande enklare. Nära kopplat är feedback vilket syftar till att förmedla det resultat som uppkommit från den genomförda uppföljningen (ibid). Hunt (2003) anser det väsentligt att få resultat på huruvida en individ tagit till sig kunskap men lyfter fram svårigheten i sättet man ska mäta kunskapen på. Problematiken som författaren lyfter fram är hur man ska mäta att en individ faktiskt har lärt sig samt hur testresultat ska tolkas. Ett dåligt resultat kan antingen bero på att personen är oinformerad eller också att personen är felinformerad, vilket påverkar individens beslutsfattande (ibid). Här blir därför uppföljning och feedback viktiga delar, eftersom uppföljning identifierar brister och det är feedbacken som ska ges till individen med syfte till förbättring (Silverman et al., 2006). Vidare menar Schein (1999) att det är viktigt att det finns ett ömsesidigt förtroende mellan den som ger feedback och den som tar emot, då detta påverkar om budskapet uppfattas som hjälpande eller kritiserande. Slutligen menar Silverman et. al., (2006) att det behöver finnas en villighet hos personen att vilja förbättra sig.
17
2.2.2 Kultur
Kulturella normer tar sig uttryck i både skrivna och oskrivna regler som påverkar anställdas beteenden (Merchant & Van der Stede, 2017). Även när ett företags mål och strategi förändras, så tenderar kulturen att förbli densamma (ibid). När starka kulturer existerar kan dessa få anställda att arbeta tillsammans och vara samspelta, och Merchant och Van der Stede (2017) menar därför att fördelarna med tydliga riktlinjer inte alltid är tillräckliga för att påverka anställdas beteenden. Choi et al. (2018) menar vidare att kultur just har en stor påverkan på företags säkerhetsarbete, och förklarar att informationssäkerhet är något som bör inkluderas i organisationers kultur så att det blir en naturlig del av anställdas arbete. Van Niekerk och Von Solms (2010) menar att informationssäkerhetskultur bör ingå i organisationens övergripande kultur just för att säkerställa att informationssäkerheten blir en del i de anställdas dagliga arbetsrutiner. Många organisationer försöker därför utveckla en stark säkerhetskultur där anställda har kunskap om och konstant blir påminda om hur de ska agera på ett säkert sätt och minska risken för olyckor (Carillo, 2010).
I en organisation finns det värderingar och dessa bygger på diverse frågeställningar om de mål som företagets anställda bör sträva efter, samt på vilket sätt anställda ska bete sig för att dessa mål ska uppnås (Morsing & Oswald, 2019). Med hjälp av värderingar kan normer, riktlinjer och förväntningar skapas och utifrån dessa kan man definiera lämpliga situationsbaserade beteenden vilket i sin tur bygger upp företagskulturen (Morsing & Oswald, 2019). Inom den kulturella styrningen ingår värdebaserad styrning vilket baseras på Simons (1994) beliefs systems. Enligt Simons (1994) innebär detta att ledningen i en organisation säkerställer att alla nivåer inom organisationen får tydliga riktlinjer på hur de grundläggande värderingarna ska definieras, kommuniceras och stärkas (Malmi & Brown, 2008). Här blir det viktigt att säkerställa att personal med rätt typ av värderingar anställs, att redan befintlig personal upprätthåller de utformade värderingarna samt att se till så att de anställda agerar enligt organisationens värderingar trots att de inte alla gånger överensstämmer med deras privata uppfattning (ibid).
Dessutom har varje företag olika rutiner för säkerhetsarbetet, vilka följs och integreras i arbetsklimatet på ett sätt så att det integreras i företagskulturen. Säkerhetskulturen är även något som växer fram från att ett acceptabelt säkerhetsbeteende uppmuntras. Ett exempel kan vara att människor uppmuntras att rapportera säkerhetsincidenter via lämpliga kanaler. Här kan även ledningen påverka kulturen genom att uppmuntra anställda att se sitt arbete som en del av företagets intellektuella egendom som behöver skyddas. Genom att införa en säkerhetskultur kommer befintliga policys och kontroller att accepteras som sättet man utför arbetet på (Von Solms, 1999). Dessa rutiner kommer i sin tur lösa det interna hotet av interna säkerhetsbrister och kommer förebygga externa säkerhetsbrister (Von Solms, 1999; Andress, 2000).
18
2.2.2.1 Implementering av kulturella styrmedel
Malmi och Brown (2008) menar att kultur är något som växer fram utifrån de beteenden som tillämpas i organisationen, vilket är något som ledningen inte kan påverka alla gånger. Trots detta används kultur som styrmedel som ett försök till att styra beteenden hos de anställda (ibid). Företagskultur kan formas på många sätt, varav Merchant och Van der Stede (2017) menar att Code of Conduct är ett av sätten. Code of Conduct är ett formellt skrivet dokument som de allra flesta företagen använder sig av för att forma sin organisatoriska kultur. Dokumentet presenterar en bred och generell redogörelse för företagets värderingar, åtaganden till intressenter samt hur organisationen önskas verka. Dessa dokument används för att hjälpa anställda att förstå vilket beteende som förväntas av dem när specifika regler inte finns tillgängliga. För att detta ska vara effektivt krävs det att informationen kontinuerligt förstärks genom exempelvis formella träningsprogram och informella diskussioner. Ett vanligt problem hos företag är dock att Code of Conduct inte tas seriöst av de anställda (Merchant & Van der Stede, 2017).
Vidare menar Cone et al. (2007) att ett sätt att stärka företagskultur på är genom utbildningar. Coffey (2017) antar dock en mer kritisk syn och påpekar att träningsprogram är restriktiva i sin omfattning och att de misslyckas i att forma anställdas beteenden. För att organisationer ska kunna påverka anställdas beteenden menar Coffey (2017) därför att man behöver skapa en arbetsmiljö där aktivt lärande står i centrum och därmed formar kulturen. I Finansinspektionens (2018) tillsynsrapport framgår det även att banker behöver få en bättre struktur samt uppföljning på sin utbildning så att anställda förstår sitt ansvar i att skydda information. Schein (2004) utvecklar resonemanget genom att presentera fyra metoder som han menar är de viktigaste för att skapa eller påverka värderingar och kulturen i ett företag:
1. Riktat fokus: Påverkan av företagets värderingar genom mätningar och kontroll som visar på vad företaget anser vara viktigt. Om ledningen exempelvis riktar fokus mot något kan detta signalera att företaget anser att det är av stor betydelse.
2. Medveten vägledning och träning: Påverkan av värderingar genom att ledningen på ett medvetet sätt förmedlar företagets värderingar genom deras eget beteende, eller genom olika träningsprogram.
3. Kriterier för belöningar: Påverkan av värderingar genom att belöna önskade beteenden, för att på så vis signalera vad som ses som viktigt i företaget.
4. Kriterier för rekrytering, urval, befordran och avsked: Påverkan av värderingar genom att ledningen väljer kriterier för vilka som ska anställas, för att på så vis påverka att alla medlemmar passar in i den befintliga kulturen eller den kultur man önskar skapa.
19
2.2.2.2 Tillit
Enligt Child och Möllering (2003) kan tillit definieras som en process där man accepterar sin sårbarhet gentemot andras agerande och får en positiv förväntan av det. Fortsättningsvis menar författarna att det finns en positiv förväntan mellan det förtroende som byggs upp i en organisation och tilliten till de personer som arbetar i verksamheten (Child & Möllering, 2003). Ömsesidigheten mellan människor är det som tillit baseras på och den individ som skapar känslan av tillit är också den som kommer att påverka hur den andra upplever tilliten. Med andra ord innebär detta, att för att kunna få tillit behövs det också ges tillit (Putnam, 1995).
Ryan och Decis (2000) hävdar att om en individ upplever sig ha rätt kompetens för att utföra vissa arbetsuppgifter och ges möjlighet att själv få kontrollera, kommer personen känna mer motivation. Här menar Ryan och Deci (2000) att chefer har ett ansvar att skapa förutsättningar för att medarbetare ska kunna motivera och utveckla sig själva. Fortsättningsvis hävdar Bringselius (2020) att tillit kräver tydliga ramar, förväntningar och måluppfyllelser. Enligt Bringselius (2020) innebär tillit som styrning att det i kärnverksamheten ges större makt åt medarbetare att utföra sina arbetsuppgifter på ett mer självständigt vis. Men samtidigt, om en organisation inför allt för hårda kontroller såsom överdriven rapportering och dokumentering kan det leda till att anställda inte känner samma möjligheter att agera självständigt (Bringselius, 2020).
Som chef är det också viktigt att finnas tillgänglig för medarbetarnas frågor och utmaningar och att organisationen ska bestå av en lärande kultur (Bringselius, 2020). Bringselius (2020) menar att mindre fel ska ses som ett organisatoriskt lärande men att större misstag självfallet ska rapporteras och hanteras. När en organisation bygger sin kultur på tillit är det viktigt att förmedla till sina anställda att fel är tillåtna att göra och på detta sätt skapa en trygghet för de anställda att våga prestera (Aronsson et al., 2020). Vidare förklaras det att det tar tid att bygga upp tillit och att den snabbt kan försvinna om den utmanas, därför är det viktigt med utbildning för att skapa en positiv bild av tillit samtidigt som auktoritet och kompetens har en påverkan (Putnam, 1995).
20
2.3 Konceptuellt ramverk
För att beskriva hur de olika teoretiska delarna, som ovan presenterats, hänger ihop har vi utvecklat ett konceptuellt ramverk nedan.
För att cybersäkerhet överhuvudtaget ska vara möjligt krävs att anställda själva förstår sina rättigheter och skyldigheter vad gäller informationsskydd (Höne & Eloff, 2002; Dorothy et al., 2009). Där har formell styrning en viktig roll i att vägleda anställda med tydliga regler och riktlinjer, så att de förstår vad de får och inte får göra vilket därmed möjliggör ett effektivare arbete (Höne & Eloff, 2002). Panhila (2007) menar bortsett från tydliga regler och riktlinjer att anställda även behöver förses med lättillgänglig information samt möjlighet till support, om osäkerheter skulle uppstå.
För att förstå reglernas innebörd och hur informationen i företaget ska skyddas behöver anställda ha rätt kompetens för att kunna utföra sina uppgifter självständigt (Merchant & Van der Stede, 2017; Sandberg & Targama, 1998). Kompetens kan ökas hos anställda med hjälp av det informella styrmedlet utbildning, där studiens teorikapitel har visat på att kontinuerlig och individanpassad utbildning är viktiga element (Rao & Nayak, 2014; Tidd & Bessant, 2018; Furnell & Vasileiou, 2017). Vidare har det kunnat konstateras att tydliga regler och förståelse för dem, alltså kompetens, inte alltid räcker för att förebygga cyberhot. Anställda behöver nämligen även vara motiverade att följa reglerna och se det som en naturlig del av det dagliga arbetet (Wall et al., 2015; Pahnila et al., 2007). Därmed behövs en stark säkerhetskultur för att försäkra regelefterlevnaden (Herath & Rao, 2009). Genom att följa reglerna kan anställda få tillit av sina chefer, och därmed ta eget ansvar för sitt arbete, vilket möjliggör och stärker arbetet med cybersäkerhet.
Således hänger uppsatsens olika teoretiska delar ihop och kan tänkas ha ett samspel med varandra. Detta har i sin tur en stärkande effekt på säkerhetsarbetet, vilket förklaras genom figuren nedan.
22
3. Metod
Följande kapitel har för avsikt att beskriva de metodologiska val som kommer att ligga som grund för studiens utformning.
Figur 2. Metodstrategisk översikt
3.1 Val av forskningsansats
3.1.1 Hermeneutiskt perspektiv
Samhällsvetenskaplig forskning skiljer på begreppen positivism och hermeneutik, vilka är de två vanligaste vetenskapliga inriktningarna. Positivism innebär att forskningen utgår från ett naturvetenskapligt perspektiv där kunskap baseras på objektiva fakta (Bryman & Bell, 2017). Detta paradigm bygger på tillämpningen av en naturvetenskaplig forskningsmodell vilket innebär att denna inriktning helst utgår från säkra fakta (ibid). Denscombe (2016) förklarar att om man har för avsikt att mäta konsekvenser eller orsaker av olika händelser i den sociala omgivningen är denna vetenskapliga inriktning att föredra eftersom den fokuserar på “hård” data såsom siffror. Detta innebär att denna inriktning således är att föredra om man ska användas sig av statistiska och kvantitativa metoder (ibid), något som
inte lämpar sig för denna studie.
Till skillnad från positivism fokuserar forskningsparadigmet hermeneutik på det socialvetenskapliga perspektivet, där man på ett tolkande och subjektivt sätt uppnår förståelse. Det hermeneutiska förhållningssättet besvarar frågor som ”hur?” och ”varför?”, vilket är vanligast förekommande vid kvalitativa undersökningar. Fortsättningsvis eftersträvar detta paradigm att nå kunskap om innebörder och intentioner hos människor, vilka beror på sammanhanget (Bryman & Bell, 2017). Eftersom vi i denna studie ämnar förstå det forskningsobjekt vi undersöker, i detta fall hur styrning kan öka cybersäkerheten i banksektorn, har vi valt att anamma det hermeneutiska förhållningssättet. Därför är det av stor vikt att fokusera på subjektets kontext och verklighet, för att kunna ge ett
23
3.1.2 Abduktiv ansats
För att kunna dra slutsatser behöver man tillämpa forskningsansatser som ett komplement till de vetenskapliga paradigmen. Inom denna forskningsprocess skiljer man främst mellan två övergripande ansatser, den deduktiva och induktiva ansatsen (Gummesson, 2004; Bryman & Bell, 2017). Den deduktiva ansatsen utgår från ett teoretiskt ramverk, där redan existerande kunskap om fenomenet används för att formulera frågeställningar och hypoteser som testas mot empirin. Den induktiva ansatsen kan ses som en motsats till den deduktiva, där datainsamlingen sker först för att sedan samla in teori (ibid).
Bryman och Bell (2017) menar dock att den deduktiva och induktiva metoden kan kombineras, vilket benämns som en abduktiv ansats. En abduktiv ansats innebär att forskningen pendlar mellan teori och data (ibid) och eftersom denna studie är av kvalitativ form med ett valt perspektiv kan en abduktiv ansats fungera bra eftersom vi önskar fånga upp subjektiviteten (Alvesson & Sköldberg, 2008). Innan vår insamling av den empiriska datan, började vi samla in teori som berör cybersäkerhet samt formella och informella styrmedel, vilket kan definieras som en deduktiv ansats (Alvesson & Sköldberg, 2008). Eftersom styrverktyg innehåller många fokusområden, förstod vi att vi eventuellt skulle behöva ta bort en viss del av teorin som respondenter inte tar upp under intervjutillfällena.
Under studiens gång har vi behövt ändra teorikapitlet och har exempelvis vad gäller formella styrmedel tagit bort den fakta som behandlar budgetar och kalkyler, då dessa formella verktyg inte diskuterades under intervjutillfällena. Anledningen till att vi har behövt revidera de teorier som skulle behållas i teorikapitlet är för att vi enbart vill behålla teorier som hjälper oss att förstå den empiriska data och som besvarar studiens syfte. Denna omstrukturering av teorier kopplas till den abduktiva ansatsen eftersom ansatsen syftar till att teori och empiri genomgår förändringar under processens gång eftersom de ska synkroniseras med varandra (Alvesson & Sköldberg, 2008). Ett ytterligre exempel som tydliggör att vi har arbetat på ett abduktivt vis är att vi efter intervjutillfällena valde att lägga till teori om regelefterlevnad, i avsnittet om formella styrmedel, då många respondenter lyfte fram detta som en viktig aspekt i bankverksamhetens säkerhetsarbete.
24
3.2 Val av forskningsmetod
3.2.1 Kvalitativ metod
Bryman och Bell (2017) presenterar två olika forskningsstrategier, kvantitativ- och kvalitativ metod. Kvantitativ empiri kan beskrivas med hjälp av siffror, i tal, mängd och storlek och lämpar sig väl om man har tillgång till en stor mängd kvantifierbara data som man vill kunna dra en generell slutsats med hjälp av (Rienecker & Stray Jørgensen, 2o15). Kvalitativa studier handlar istället om särskilda egenskaper hos det studerade fenomenet, och ger begränsad möjlighet till generalisering. När ett fenomen är svårt att definiera eller kvantifiera menar Justesen och Mik-Meyer (2011) att en kvalitativ forskningsmetod är att föredra. Den kvalitativa metoden är även lämplig när man vill besvara frågor kring ett fenomen, såsom hur och varför det uppstår och när man vill beskriva ett fenomen i sin kontext (Bryman & Bell, 2017; Justesen & Mik-Meyer, 2011). Oftast brukar den kvalitativa metoden baseras på ostrukturerade frågeställningar med fokus på fördjupning av tankar (Bryman & Bell, 2o17). Om forskningsområdet ses som komplext där syftet är att alstra data som ger en kontextuell förståelse för hur det faktiskt fungerar i organisationerna är en kvalitativ metod att föredra (ibid). Eftersom fenomenet styrning inom cybersäkerhet kräver en viss grad av tolkning har vi valt att använda oss av en kvalitativ metod i denna studie. Den kvalitativa metoden möjliggör också att studien får en större helhetsbild eftersom den ger rum för detaljer och beskrivning av händelser.
David & Sutton (2016) menar vidare att kvalitativa undersökningar är mer explorativa (upptäckande) i sin karaktär än kvantitativa studier. Den explorativa ansatsen syftar nämligen till att undersöka eller förstå förhållanden inom områden som är mindre kända, och ställer sig frågor som “hur?” (Bryman & Bell, 2017). Den explorativa aspekten visar sig i studien genom att vi ämnar hitta mönster i just hur banker förebygger interna cyberhot, där de deskriptiva dragen har en viktig roll i att belysa outforskade områden (ibid). I denna studie ämnar vi få en subjektiv bild på hur det fungerar inom respektive företag och därför rekommenderar Bryman och Bell (2017) vidare att djupgående intervjuer eller observationer är att föredra.
