• No results found

Cybersäkerhet – mer än bara en teknisk fråga

N/A
N/A
Info
Download
Protected

Academic year: 2022

Share "Cybersäkerhet – mer än bara en teknisk fråga"

Copied!
34
0
0

Loading.... (view fulltext now)

Download now ( 34 Page )

Full text

(1)

Cybersäkerhet – mer än bara en teknisk fråga

Kandidatuppsats 15 hp

Företagsekonomiska institutionen Uppsala universitet

VT 2019

Datum för inlämning: 2019-06-05

Josefine Ericsson Olivia Grönman

Handledare: Jan Lindvall

(2)

Författarnas tack

Vi vill börja med att tacka de personer som tagit sig tid och ställt upp som respondenter för vår studie, utan er hade detta arbete inte varit möjligt! Vi vill även rikta ett stort tack till vår handledare Jan Lindvall som med ett stort engagemang och goda råd guidat oss genom denna process. Slutligen vill vi också passa på att tacka våra opponenter som bidragit med kloka ord och bra idéer till förbättring.

Trevlig läsning!

Uppsala 2019-06-05

Josefine Ericsson Olivia Grönman

(3)

Sammandrag

Cybersäkerhetsrisker är idag ett högaktuellt ämne som fortsätter växa i betydelse. Svaret på problemet handlar dock om mer än bara tekniska lösningar. Snarare bör fokus läggas på människorna inom organisationen genom att förhindra att de exponerar svagheter i organisationens säkerhetssystem. Denna studie syftar till att undersöka hur verksamheter kan organiseras med ambition att skydda sig mot cybersäkerhetsrisker. För att söka svar på frågan utgår undersökningen från tidigare forskning på cybersäkerhet samt det teoretiska ramverket microfoundations där begreppen roller, rutiner och regler behandlas. En kvalitativ metod har valts där respondenter med erfarenhet av arbete inom cybersäkerhet har intervjuats. Resultatet visar att hela verksamheten bör inkluderas i säkerhetsarbetet och att ett säkerhetstänk alltid måste finnas med i de dagliga arbetsuppgifterna för att således få in säkerhet som rutin.

Nyckelord: Cybersäkerhet, informationssäkerhet, microfoundations, roller, rutiner, regler.

(4)

Innehållsförteckning

1. Introduktion ... 1

2. Litteraturöversikt ... 3

2.1 Cybersäkerhet ... 3

2.2 Microfoundations ... 4

2.2.1 Roller ... 4

2.2.2 Rutiner ... 5

2.2.3 Regler ... 7

2.3 Teoretisk sammanfattning ... 8

3. Metod ... 9

3.1 Forskningsansats och forskningsdesign ... 9

3.2 Urvalsstrategi ... 9

3.3 Datainsamling ... 10

3.4 Operationalisering ... 12

3.5 Analys av data ... 13

4. Resultat och analys ... 14

4.1 Cybersäkerhet ... 14

4.1.1 En svår gränsdragning ... 14

4.1.2 Standarder som inspirationskälla ... 15

4.1.3 En fråga om skydd i flera lager ... 15

4.2 Roller ... 16

4.2.1 Olika roller i samspel ... 16

4.2.2 Rollbaserad åtkomstkontroll ökar säkerheten ... 17

4.2.3 IT-kompetens, en självklarhet? ... 18

4.3 Rutiner ... 18

4.3.1 Svårt med säkerhetstänk i vardagsrutiner ... 18

4.3.2 Återkommande utbildningar är viktigt ... 20

4.4 Regler ... 22

4.4.1 Enkla regler är en fördel ... 22

4.4.2 Få eller många regler? ... 23

5. Slutsats ... 25

5.1 Studiens slutsatser ... 25

5.2 Studiens begränsningar och förslag till framtida forskning ... 26

6. Litteraturförteckning ... 27

7. Bilagor ... 30

Bilaga 1: Intervjuguide ... 30

(5)

1

1. Introduktion

Under år 2018 förekom ett flertal omfattande dataläckor, cyberattacker och händelser där stora mängder personuppgifter visade sig ha missbrukats (Datainspektionen, 2018). På internationell nivå fick företaget Cambridge Analytica stor uppmärksamhet i media efter avslöjandet om att data rörande 50 miljoner Facebookanvändare använts för att påverka den amerikanska presidentvalskampanjen (ibid). Likaså skapade hotellkedjan Marriott rubriker runt om i världen på grund av det dataläckage som läckte personuppgifter om 500 miljoner av företagets användare (ibid). Även i Sverige har det förekommit IT-skandaler som uppmärksammats i media, varav IT-skandalen på Transportstyrelsen blev en stor nationell nyhet under sommaren 2017. Händelsen bottnade i att myndighetens tidigare generaldirektör varit direkt ovarsam med hemliga uppgifter och aktivt gjort avsteg från lagar och interna riktlinjer som skulle skydda känslig information (Sveriges Television, 2019). Dessa skandaler visar på att bristande informationssäkerhet är ett stort problem i dagens samhälle och enligt Datainspektionen (2018) visar händelserna även på vikten av att systematiskt arbeta med dataskydd och informationssäkerhet. Då majoriteten av organisationer idag är beroende av informationsteknologi finns det få verksamheter som inte berörs av dataskyddsfrågor (ibid).

Samtidigt som den digitala uppkopplingen spelar en central roll för att främja innovation och välstånd, utgör ökande cyberhot ett stort hinder för utvecklingen och under år 2020 förväntas 74 procent av världens företag bli utsatta för cyberattacker (World Economic Forum, 2019 a).

Cyberhoten och cyberattackerna kan komma både inifrån och utifrån organisationerna varav hoten från insidan kan ses vara en konsekvens av svaga säkerhetspolicys, bristfällig säkerhetsadministration eller avsaknad av säkerhetsmedvetande (Rao och Nayak, 2014). Dessa hot och attacker kan grunda sig i virus men även vilseledning och manipulation i syfte att få tillgång till känsliga uppgifter. World Economic Forum (2019 b) menar dock att sårbarheten mot cyberhot kan minskas genom att exempelvis följa globala säkerhetsstandarder. Att minska sårbarheten är viktigt eftersom de finansiella skadorna som följer av en cyberattack inte bara handlar om den data som eventuellt blir stulen. Det handlar även om att organisationens rykte och varumärke riskeras att skadas.

Många säkerhetsbrister inom organisationer har visat sig bero på mänskligt agerande vilket gör att cybersäkerhet inte enbart handlar om att finna tekniska lösningar utan också om organisatorisk utveckling. Tidigare forskning på ämnet cybersäkerhet hävdar att den mänskliga aspekten ofta är den svaga länken i en organisations säkerhetssystem (Furnell och Vasileiou,

(6)

2 2017; Mouton, Leenen och Venter, 2016). Människor kan exempelvis av misstag exponera svagheter i säkerhetssystemet på grund av otillräcklig utbildning, stress eller slarv vilket gör organisationen sårbar (Elifoglu, Abel och Tasseven, 2018). Att människor är den svaga länken är även en konsekvens av att de saknar rätt kompetens och beteende som krävs för att säkerställa lämpligt skydd (Furnell och Vasileiou, 2017). De behöver därför stöd för att förstå vad de ska göra och lära sig hur det ska göras på rätt sätt (ibid). Ett tekniskt välutvecklat säkerhetssystem ger därmed inte tillräckligt med skydd mot informationsstöld eftersom människorna inom organisationerna inte alltid agerar i linje med företagets säkerhetsföreskrifter (Mouton, Leenen och Venter, 2016). Avsaknaden av ett säkerhetsmedvetande är också en av huvudanledningarna till varför säkerhetsföreskrifter och riktlinjer inte efterföljs i önskvärd utsträckning (Rao och Nayak, 2014).

Denna uppsats syftar till att undersöka hur verksamheter kan organiseras för att öka cybersäkerheten på arbetsplatsen. Det är således av intresse att undersöka hur verksamheter arbetar med den organisatoriska utformningen och hur det kan fungera som ett komplement till de tekniska lösningarna för att skapa och upprätthålla en cybersäker arbetsmiljö. För att göra detta kommer undersökningen utgå från det teoretiska ramverket microfoundations som under det senaste decenniet fått ökad uppmärksamhet inom strategi- och organisationsteori. Den frågeställning som ämnas besvaras är:

Hur kan verksamheter organiseras med ambition att skydda sig mot cybersäkerhetsrisker?

(7)

3

2. Litteraturöversikt

Avsnittet inleds med en översikt över ämnet cybersäkerhet. Därefter presenteras det teoretiska ramverket microfoundations samt tidigare forskning kring begreppen roller, rutiner och regler.

Avslutningsvis presenteras en sammanfattning samt de förväntningar som kommer ligga till grund för uppsatsens nästkommande delar.

2.1 Cybersäkerhet

Det finns en del tvetydigheter när det kommer till begreppet cybersäkerhet och ofta används begreppet som synonym till informationssäkerhet. Informationssäkerhet betyder enligt Finansinspektionens föreskrifter och allmänna råd om informationssäkerhet, IT-verksamhet och insättningssystem (FFFS 2014:5) skydd av konfidentialitet, riktighet och tillgänglighet hos information. Myndigheten för samhällsskydd och beredskap (2015) definierar de olika aspekterna enligt följande; konfidentialitet innebär att endast behöriga personer får ta del av informationen. Riktighet innebär att informationen är tillförlitlig och korrekt samt att den inte är manipulerad eller förstörd, och tillgänglighet syftar till att informationen alltid ska finnas tillgänglig vid behov (ibid). Enligt Finansinspektionen (2018) definieras cybersäkerhet som bevarandet av konfidentialitet, riktighet och tillgänglighet hos information och informationssystem i cyberrymden. För att uppfylla dessa tre aspekter kan organisationer guidas och alternativt även certifieras enligt standarder för informationshantering. En sådan standard är ISO 27000 som har utarbetats av internationella expertgrupper och fungerar som internationella riktlinjer för organisationer med behov av informationssäkerhet (Swedish Standards Institute, 2019).

Tidigare forskning på ämnet cybersäkerhet menar att ett första steg till att säkerställa en organisations säkerhet är att skapa en ökad medvetenhet hos de anställda eftersom det märkbart reducerar säkerhetsrisker (Furnell och Vasileiou, 2017). Organisationer måste därför omfattas av program som uppmuntrar till ett ökat säkerhetsmedvetande (Rao och Nayak, 2014). Dessa program bör inte vara en engångsföreteelse utan snarare en kontinuerlig process för att försäkra sig om att alla anställda får rätt utbildning och kompetens (ibid). Det är dessutom viktigt att dessa program är regelbundet uppdaterade för att matcha rådande omständigheter (ibid).

En annan viktig aspekt i arbetet mot en ökad cybersäkerhet är att inkludera hela verksamheten.

Amin (2019) och Marotta och McShane (2018) menar att organisationer inte längre har råd att låta cybersäkerheten stanna i en teknisk silo som endast berör vissa delar av organisationen.

(8)

4 Endast genom att organisationen har ett säkerhetsskydd bestående av flera lager kan ett effektivt skydd uppnås (Rao och Nayak, 2014). Lagren, som i sin tur består av människorna, processerna och teknologin inom organisationen måste således komplettera varandra (ibid). En effektiv riskhantering kräver därmed att de säkerhetsansvariga samarbetar tätt med organisationens IT-specialister (Marotta och McShane, 2018) samt med övriga medarbetare i verksamheten.

2.2 Microfoundations

Microfoundations har utvecklats till att bli ett viktigt tema inom forskning på strategi- och organisationsteori. Konceptet microfoundations syftar till att kombinera mikro- och makroekonomi (Foss, 2010) och det centrala temat inom forskningen är att belysa kollektiva fenomen för att förstå hur individuella faktorer påverkar organisationer (Felin, Foss och Polyhart, 2015). Barney och Felin (2013) beskriver aggregation som det mest essentiella med microfoundations, varför fokus primärt bör vara på hur individuella faktorer aggregerar till den kollektiva nivån. Konceptet microfoundations kan dock vara problematiskt. Ett problem är att kopplingarna mellan mikro- och makronivåerna är många och komplicerade samt att det är svårare att bygga sådana teorier än vad det är att bygga teorier som endast berör en nivå (Foss, 2010). Genom microfoundations fokuserar denna studie på de tre begreppen roller, rutiner och regler och hur de kan användas i arbetet med cybersäkerhet.

2.2.1 Roller

Ur ett säkerhetsperspektiv har den utbredda användningen av datorer, internet och ny teknik gjort det allt viktigare att tilldela anställda olika roller och ansvarsområden (Rao och Nayak, 2014). I traditionell organisationsteori används roller för att uttrycka den anställdes ställning inom en organisationsstruktur (Fuchs, Pernul och Sandhu, 2011). Utöver att roller används för att stärka säkerheten inom en organisation, förenklar det dessutom användarhantering samt minskar administrativa kostnader (ibid).

Anställda som hanterar känsliga data har en skyldighet att upprätthålla informationssäkerhet och bör endast ha tillgång till den data som krävs för att kunna utföra det egna arbetet (Rao och Nayak, 2014). En viktig milstolpe inom forskningen på roller och säkerhet var introduktionen av termen rollbaserad åtkomstkontroll1 (Fuchs, Pernul och Sandhu, 2011). Termen introducerades ursprungligen av Ferraiolo och Kuhn (1992) och grundar sig på att användarens

1 Eng. Role-Based Access Control (RBAC).

(9)

5 roll inom organisationen påverkar vilka funktioner som denne får utföra. Rollbaserad åtkomstkontroll kan därmed användas för att se till att data och processer endast kan modifieras på korrekta sätt av behöriga användare (ibid). En annan konkret åtgärd för att öka säkerheten på arbetsplatsen är att använda funktionen dualitet2 vid informationskänsliga arbetsuppgifter (Nyanchama och Osborn, 1993). Dualitet är en princip som grundar sig på att känsliga arbetsuppgifter bör utföras av två olika användare som agerar i samförstånd (Fuchs, Pernul och Sandhu, 2011). Idén med dualitet är att se till att ingen enskild individ både kan inleda och godkänna en åtgärd och eventuellt dra nytta av åtgärden (Nyanchama och Osborn, 1993).

Genom dualitet sprids ansvaret mellan dem som har behörighet till känslig information (ibid).

Oavsett vilken ansvarsfördelning och vilka roller som utvecklas i säkerhetsarbetet menar Finansinspektionen (2018) att det är viktigt att dessa är tydliga i utformandet för att uppnå en fungerande cybersäkerhet.

2.2.2 Rutiner

Rutiner kan definieras som repetitiva och igenkännbara mönster av handlingar som involverar flera deltagare (Cohen, 2007; Feldman och Pentland, 2003). Rutiner kan också ses vara institutionella vanor som vanligtvis efterföljs och antas av grupper av individer (Burns och Scapens, 2000).

Burns och Scapens (2000) menar att rutiner syftar på hur saker och ting görs i praktiken. Vidare forskning på ämnet argumenterar dock för att begreppet är mer komplext än så. Enligt Foss (2010) kan rutiner uttryckas på en mängd olika sätt. Detta eftersom etiketten rutiner gäller för ett antal olika fenomen som enbart verkar dela egenskapen att de hänvisar till en viss upprepning av sekventiellt vidtagna åtgärder bland en grupp människor (ibid). Även Feldman och Pentland (2003) tar upp begreppets komplexitet då de konstaterar att rutiner består av två olika delar; en ostensiv del och en performativ del. Den ostensiva delen gestaltar den abstrakta idén av rutinen och de subjektiva tolkningar som görs av olika personer (ibid). Den performativa delen syftar istället på de specifika handlingar som utförs i praktiken (ibid).

Misslyckanden med att göra tydliga skillnader mellan de olika delarna kan ha direkta konsekvenser för det empiriska resultatet (ibid). Människor som exempelvis ser på rutinen utifrån tenderar att beskriva den ostensiva delen, medan personer som är engagerade i rutinen mer sannolikt kommer att beskriva hur de gör, det vill säga den performativa delen (ibid).

2 Eng. Separation of duty.

(10)

6 Pentland och Feldman (2005) har i senare forskning fokuserat på att förstå den inre dynamiken som karaktäriserar rutiner. För att påverka, utforma eller hantera rutiner är det viktigt att förstå denna dynamik då vissa rutiner är mer varierande och flexibla än andra (ibid). Enligt Burns och Scapens (2000) befinner sig rutiner i en ständig förändringsprocess. Detta argument håller Pentland och Feldman (2005) delvis med om samtidigt som de menar att vissa aspekter av rutinerna kan vara mer föränderliga medan andra är relativt stabila. Exempelvis kan deltagande aktörer anse att rutinen är samma som förut, medan det objektivt sett har skett en mängd olika förändringar i det faktiska utförandet (ibid). Cohen (2007) har en annan utgångspunkt och menar istället att rutiner är fasta eftersom de består av ett specifikt handlingsmönster som kontinuerligt upprepas.

Definitionen som Cohen (2007) och Feldman och Pentland (2003) ger angående rutiner påminner till stor del om begreppet kultur. Kultur är en uppsättning gemensamma begrepp som uttrycks i delade handlingsmönster, likt ett gemensamt språk (Choi, Martins och Bernik, 2018).

Inom informationssäkerhet är kultur avgörande eftersom det har en stor påverkan på informationssäkerhetens utfall (Choi, Martins och Bernik, 2018; Van Niekerk och Von Solms, 2010). Informationssäkerhetskultur, som en del av organisationens övergripande kultur, bör vara närvarande i alla arbetsuppgifter på ett sådant sätt att informationssäkerheten blir en del i de anställdas dagliga arbetsrutiner (ibid). Detta är särskilt relevant eftersom anställdas begränsade kunskaper om informationssäkerhet kan leda till svagheter och allvarliga incidenter (Choi, Martins och Bernik, 2018). Van Niekerk och Von Solms (2010) menar att bristen på kunskap kan hindra anställda som vill agera säkert från att göra det. Även Elifoglu, Abel och Tasseven (2018) samt Furnell och Vasileiou (2017) menar att avsaknaden av rätt kompetens, som kan vara en konsekvens av otillräcklig utbildning, gör att de anställda utgör ett hot mot organisationens säkerhet.

Ett steg mot att stärka säkerhetskulturen är genom utbildning. Att få anställdas uppmärksamhet tillräckligt länge för att nå fram med budskapet är dock en stor utmaning, särskilt när utbildningarna är obligatoriska och målgruppen anser ämnet vara ointressant (Cone m.fl.

2007). Om de anställda å andra sidan upplever att meddelandet och budskapet riktas och anpassas specifikt mot dem, snarare än mer generellt mot alla, är det mer sannolikt att säkerhet accepteras och ageras utefter (Furnell och Vasileiou, 2017). Generella säkerhetsuppmaningar misslyckas inte bara med att anpassa meddelandet efter rådande omständigheter och behov, det finns även en risk att det skapar ett intryck av att säkerheten kan vara någon annans problem (ibid). Cone m.fl. (2007) menar att många former av säkerhetsutbildningar misslyckas på grund

(11)

7 av att de är för rutinmässiga och inte kräver att användarna tänker på och tillämpar säkerhetskoncept. Det finns däremot ett antal faktorer att ta hänsyn till när utbildningar individanpassas (Furnell och Vasileiou, 2017). Utbildningarna kan exempelvis anpassas efter de roller som finns inom organisationen, då anpassas utbildningarna efter vilka ansvar och behörigheter som inkluderas i rollen (ibid). Utöver att utbildningar kan individanpassas för att bli mer effektiva kan de även utformas på mindre traditionella sätt. Cone m.fl. (2007) anser att interaktiva tv- och datorspel kan fungera som ett kompletterande utbildningsverktyg för att öka säkerhetsmedvetandet eftersom denna typ av utbildning i hög grad engagerar användaren.

2.2.3 Regler

Regler är formellt uttalade procedurer som syftar till att beskriva hur någonting ska göras och de ändras vanligtvis i intervall (Burns och Scapens, 2000). Regler är nödvändiga för att koordinera och ge sammanhang till en grupp av individers handlingar och således få dessa att agera enhetligt (ibid). Eisenhardt och Sull (2001) poängterar vikten av att regler bör vara enkla och tydliga samt att de bör fungera som ett strategiskt ramverk snarare än ett steg för steg koncept. Reglerna ska således definiera riktning utan att vara begränsande, något som blir allt viktigare ju mer komplex omgivningen är (ibid). För att regler ska klassas som enkla bör de varken vara för breda, vaga eller stela eftersom detta hämmar mer än vad det bidrar (ibid).

Regler växer ofta fram utifrån erfarenhet, speciellt erfarenhet i form av misstag (ibid).

Förutom att skriva rätt sorters regler är det även viktigt att dessa regler är optimala till antal.

Både Gisladottir m.fl. (2017) och Amin (2019) menar att för få regler öppnar upp risken för externa hot, medan för många regler istället ökar risken för interna svagheter och minskar företagets motståndskraft3. Gisladottir m.fl. (2017) utvecklar detta argument genom att förklara att om reglerna blir för många kommer det snarare göra att de mänskliga misstagen blir fler och motivationen till att följa reglerna minskar. Om reglerna är så pass restriktiva att de hindrar de anställdas förmåga att utföra sitt arbete kommer dessa anställda att oundvikligen kringgå eller bortse från reglerna, något som medför att reglerna i praktiken förlorar betydelse (ibid).

Därav kommer en ökad reglering snarare skifta säkerhetsriskerna från externa till interna risker (ibid).

Även Eisenhardt och Sull (2001) tar upp problematiken kring antal regler, men istället för att fokusera på medarbetarna utgår författarna från ett chefsperspektiv. Å ena sidan menar

3 Eng. Resilience.

(12)

8 författarna att för tjocka manualer kan vara paralyserande och förhindra chefer från att se och ta tillvara på möjligheter (ibid). Å andra sidan kan för få regler också verka paralyserande då det gör att chefer jagar för många möjligheter eller blir förvirrade över vilka möjligheter som bör fullföljas och vilka som istället bör ignoreras (ibid). Yngre företag har ofta för få regler vilket hindrar dem från att genomföra innovativa idéer effektivt medan äldre företag istället har för många regler som hindrar dem från att konkurrera effektivt på turbulenta marknader (ibid).

Optimalt antal regler för en viss verksamhet kan också förändras över tid (ibid). I förutsägbara perioder bör fler regler användas för att öka effektiviteten men då omgivningen blir mer osäker är det rimligare att använda få regler för att öka flexibiliteten (ibid).

2.3 Teoretisk sammanfattning

En viktig del i arbetet med en ökad cybersäkerhet är att få hela organisationen att arbeta tillsammans eftersom det är en fråga som berör hela verksamheten. För att uppnå detta bör organisationer skapa ett effektivt säkerhetsskydd bestående av flera lager där människorna, processerna och teknologin kompletterar varandra. Det är även viktigt att anställda har tydliga roller och ansvarsområden samt enbart den behörighet som krävs för att kunna genomföra sina arbetsuppgifter. Detta kan åstadkommas med hjälp av att använda funktioner som baserar sig på rollbaserad åtkomstkontroll och dualitet. Cybersäkerheten kan även förbättras genom etablerade säkerhetsrutiner i de anställdas dagliga arbetsuppgifter. För att få in rutiner i säkerhetsarbetet kan organisationer arbeta med att stärka säkerhetskulturen, något som i sin tur kan göras med hjälp av utbildningar. Slutligen kan även regler bidra till en ökad cybersäkerhet eftersom dessa får individer att agera enhetligt. Reglerna bör då vara enkla, tydliga och vara i optimalt antal.

Med utgångspunkt i litteraturgenomgången ovan har tre teoretiska förväntningar formulerats varav samtliga förväntas stärka cybersäkerheten på olika sätt. Cybersäkerheten förväntas således stärkas genom; (1) tydliga säkerhetsroller, (2) väletablerade säkerhetsrutiner samt (3) ett optimalt antal enkla regler. Den aspekt som dock förväntas ha störst påverkan på cybersäkerheten är väletablerade säkerhetsrutiner då rutiner syftar till hur saker och ting görs i praktiken. Utan väletablerade rutiner förväntas säkerhetsregler inte följas i önskvärd utsträckning och ansvarsfördelningen inom roller ha mindre betydelse.

(13)

9

3. Metod

I detta avsnitt kommer studiens metodval att presenteras. Avsnittet inleds med en beskrivning av studiens forskningsansats och forskningsdesign. Sedan presenteras studiens urvalsstrategi, datainsamling och operationalisering. Avsnittet avslutas med en presentation av hur data har analyserats.

3.1 Forskningsansats och forskningsdesign

Tidigare forskning på ämnet cybersäkerhet utgår främst från ett datavetenskapligt perspektiv, vilket har gjorts genom att studera vilka tekniska lösningar som organisationer kan använda för att skydda sig mot cybersäkerhetsrisker. Däremot finns det få studier som utgår från den organisatoriska utformningen vid förebyggande av sådana risker. Det är således av intresse att undersöka hur verksamheter kan organiseras för att komplettera de tekniska lösningarna, något som denna studie gör med hjälp av det teoretiska ramverket microfoundations och begreppen roller, rutiner och regler. För att söka svar på forskningsfrågan har en kvalitativ metod valts.

Metoden valdes eftersom den, till skillnad från en kvantitativ metod, ger en djupare förståelse för undersökningsområdet (Bryman och Bell, 2015). En detaljerad och nyanserad bild ansågs vara fördelaktigt eftersom undersökningen syfte bättre kunde uppfyllas med hjälp av mycket information men från ett mindre urval. Det argumenteras ofta för att resultaten i kvalitativa studier är begränsade på grund av att empirin är relativt begränsad till ett litet antal individer (ibid). Detta hävdar kritiker gör det omöjligt att generalisera resultatet till andra situationer (ibid). Det är därmed viktigt att poängtera att denna uppsats inte ämnar dra generella slutsatser utan endast syftar till att ge en beskrivning av hur ett mindre antal organisationer ur den valda branschen arbetar med att stärka cybersäkerheten.

3.2 Urvalsstrategi

I syfte att undersöka hur verksamheter kan organiseras för att skydda sig mot cybersäkerhetsrisker söktes respondenter som aktivt arbetar med säkerhetsfrågor. Valet av respondenter har skett genom vad Bryman och Bell (2015) kallar för målmedvetet urval, då de blivit strategiskt utvalda för att besvara forskningsfrågan. Ingen av respondenterna var tidigare känd för författarna och kontakt etablerades genom direktkontakt. Att ingen tidigare kontakt existerat skulle eventuellt kunna varit ett problem enligt Saunders, Lewis och Thornhill (2012) eftersom det kan försvåra för den som intervjuar att få gensvar samt förtroende från respondenten. Av denna anledning är det vid första kontakt avgörande att inge trovärdighet

(14)

10 (ibid). När respondenterna kontaktades i samband med tillfrågan framgick det därför tydligt vad syftet med studien var samt hur lång intervjun skulle vara för att inge trovärdighet för studien och genom detta kunde kontakt etableras. Ett ytterligare problem med att ingen tidigare kontakt existerat kan utgöras av att respondenterna väljer att inte återge hela sanningen (ibid).

Eftersom respondenterna inte uppmanades till att avslöja hemlig information ansågs bristen på tidigare kontakt inte utgöra ett problem i de svar som respondenterna gav.

De respondenter som kontaktades valdes för att de utifrån sina yrkestitlar identifierades som mest lämpliga. Kriteriet i urvalet var att respondenterna skulle ha stort ansvar i arbetet med säkerhetsfrågor. Saunders, Lewis och Thornhill (2012) påpekar dock att om intervjuer sker med enbart personer på höga positioner finns det risk för att respondenterna ger en överdrivet positiv bild av situationen. Av denna anledning hade ett annat val av metod kunnat användas, exempelvis att även intervjua respondenter på andra positioner inom organisationerna.

Däremot ansågs inte ytterligare personer från samma företag kunna ge mer uttömmande svar på de frågor som ställdes. Respondenterna var vidare verksamma i antingen Uppsala- eller Stockholmsområdet för att öka chanserna för intervjuer via besök. Anledningen till varför besök var önskvärt var för att datainsamlingen kan påverkas av valet av plats. Saunders, Lewis och Thornhill (2012) menar att den valda platsen bör vara lämplig för den som blir intervjuad och att det är en plats där den intervjuade känner sig bekväm och inte blir störd. Av dessa anledningar ansågs ett besök på respondenternas arbetsplats vara passande.

För att avgränsa undersökningen valdes respondenter med liknande roller från olika företag inom bank och försäkring. Denna bransch valdes för att ge en homogenitet i urvalet och för att den ansågs passande då branschen ofta utgör en måltavla för cyberattacker. Ett homogent urval gör det även möjligt att studera ämnet mer ingående (Saunders, Lewis och Thornhill, 2012).

De företag som valdes skiljde sig i storlek och har existerat under olika lång tid. Detta skulle eventuellt kunna vara ett problem för studien då studieobjekten inte blir direkt jämförbara.

Däremot syftar inte denna studie i huvudsak till att jämföra utan mer beskriva hur verksamheter kan organiseras varav olikheterna då bidrar till en bredare bild.

3.3 Datainsamling

Datainsamlingen har bestått av primärdata i form av fem stycken semistrukturerade intervjuer.

Denna typ av intervju är fördelaktig i sammanhang där den intervjuade behöver guidas, men tillåter fortfarande relativt stor frihet för den intervjuade att leda samtalet (Bryman och Bell,

(15)

11 2015; Saunders, Lewis och Thornhill, 2012). Detta ger således utrymme för den intervjuade att belysa vad just denne anser vara av signifikant betydelse och den som intervjuar har också möjlighet att ställa följdfrågor (ibid). Möjligheten att ställa följdfrågor ansågs viktigt eftersom vissa aspekter i respondenternas svar skulle kunna behöva en närmare förklaring. Friheten som semistrukturerad intervju ger var även passande då det var svårt att förutspå alla aspekter som respondenten ansåg vara viktigt, varför ett på förhand bestämt frågeformulär inte var passande i denna undersökning.

Efter fem intervjuer kunde det konstateras att mättnad uppnåtts då svaren under intervjuerna började bli allt mer snarlika. Mättnad är ett kriterium som uppfylls när ytterligare intervjuer inte tillför något mer för att uppfylla studiens syfte (Bryman och Bell, 2015; Saunders, Lewis och Thornhill, 2012). Fyra av fem intervjuer gjordes på respektive respondents arbetsplats och en intervju genomfördes över telefon. Alla respondenter förbereddes på samma sätt inför intervjuerna. Förberedelserna skedde genom att syftet med intervjun förklarades, de fick veta intervjuns tidsspann samt genom att frågorna i förväg skickades till respektive respondent.

Enligt Bryman och Bell (2015) är det viktigt att ha i åtanke att då någon intervjuas i dennes egen miljö kan det förekomma telefonsamtal och störningar, något som kan ha en negativ effekt på intervjun. Inget av detta förekom dock under någon av intervjuerna och samtliga besöksintervjuer hölls i enskilda mötesrum där ingen av respondenternas kollegor kunde höra samtalet. Detta ansågs viktigt då Saunders, Lewis och Thornhill (2012) menar att respondenten annars kan anpassa eller ge överdrivet positiva svar om de kan bli hörda av kollegor.

Intervjuerna inleddes med frågor angående respondenternas position i företaget samt deras tidigare erfarenhet av att arbeta med säkerhet. Denna information syftade till att ge bakgrundsinformation om de olika respondenterna, dels för att sätta respondenterna i relation till varandra och dels för att se om faktorer såsom tidigare erfarenhet påverkade deras sätt att se på resterande frågor. Bakgrundsinformationen är dock ingenting som analysen bygger på.

Vidare ställdes frågor kring cybersäkerhet samt vilka roller, rutiner och regler som finns inom organisationen kopplade till ämnet. Varje intervju tog mellan 40 och 60 minuter. Fyra av fem intervjuer spelades in efter godkännande av respektive respondent. Intervjuerna transkriberades sedan för att minska risken för personliga tolkningar (Bryman och Bell, 2015). Inspelningarna raderades efter transkriberingen i säkerhetssyfte på begäran av respondenterna. En sammanställning av studiens samtliga intervjuer finns återgiven i Tabell 1.

(16)

12 Tabell 1: Sammanställning av studiens intervjuer.

Respondent Datum Tidslängd Typ av intervju Transkriberad

A 2019-05-07 43 min Besök Ja

B 2019-05-07 48 min Besök Ja

C 2019-05-14 45 min Besök Nej

D 2019-05-15 57 min Telefon Ja

E 2019-05-16 41 min Besök Ja

Både val av respondenter och val av studieobjekt behandlas i denna uppsats anonymt och konfidentiellt vilket respondenterna blev informerade om när de tackade ja till att bli intervjuade. I och med att säkerhet är en känslig fråga valdes ett konfidentiellt och anonymt förhållningssätt. Anonymiseringen skedde för att tillåta respondenterna att svara öppet samt även för att ge dem utrymme att uttrycka egna åsikter. Något som annars kanske inte skulle ske om deras svar gick att koppla till deras identitet och organisation. Bryman och Bell (2015) menar att konfidentialitet och anonymitet är något som måste tas hänsyn till vid datainsamlingen och att speciell varsamhet måste användas för att inte avslöja identiteten på de personer och organisationer som undersöks. Med anledning av detta har exempelvis svar kopplade till respondenternas yrkestitlar och tidigare bakgrund inte tagits med i studien.

Saunders, Lewis och Thornhill (2012) menar att om konfidentialitet har utlovats ska insamlad rådata inte delas eller göras tillgänglig för någon annan än författarna. Detta är också motiv till varför inspelningar raderades efter att materialet hade transkriberats.

3.4 Operationalisering

Samtliga intervjuer utgick från samma intervjuunderlag bestående av en intervjuguide där frågorna delades in i fem olika områden; inledande frågor, cybersäkerhet, roller, rutiner samt regler. Intervjufrågorna återfinns i Bilaga 1 och är formulerade för att vara enkla och korta, något som Bryman och Bell (2015) menar är väsentligt för att kunna genomföra en bra intervju.

Genom att dela in intervjuunderlaget i olika kategorier kunde frågorna presenteras i tematiska grupper. Detta bidrog till ett naturligt flöde under intervjuerna samtidigt som ordningen kring frågorna inom respektive kategori kunde variera (ibid). Viktigt att notera är dock att de frågor som förekommer i underlaget även kompletterades med följdfrågor utifrån hur respektive

(17)

13 respondent valde att besvara frågorna. Frågorna i intervjuguiden bör därmed enbart ses som vägledande och inte som helt fullständiga.

3.5 Analys av data

För att analysera det insamlade materialet transkriberades de intervjuer som spelades in. Det transkriberade materialet och anteckningarna från intervjun som inte spelades in sammanfattades och kategoriserades sedan utifrån cybersäkerhet samt studiens teoretiska begrepp roller, rutiner och regler. Kategoriseringen möjliggjorde för ytterligare organisering och analys (Saunders, Lewis och Thornhill, 2012). Då samtliga intervjuer baserades på intervjuguiden som redan var tematiskt indelad blev det något enklare att koda materialet så att mönster som likheter och skillnader i respondenternas svar kunde urskiljas. Dessa mönster låg sedan till grund för uppsatsens analys. Utifrån materialet har främst svar som ansågs vara kopplat till studiens teoretiska förväntningar plockats ut.

(18)

14

4. Resultat och analys

I detta avsnitt presenteras och analyseras studiens resultat. Avsnittet inleds med en diskussion kopplad till cybersäkerhet. Avsnittets resterande struktur avhandlar studiens teoretiska begrepp; roller, rutiner och regler.

4.1 Cybersäkerhet

4.1.1 En svår gränsdragning

Gränsdragningen mellan informations- och cybersäkerhet är inte helt tydlig. Tvetydigheterna kan vidare medföra att utformningen av säkerhetsarbetet påverkas av vilken definition som antas. Under intervjuerna framkom det att respondenterna har något olika syn på vad de två begreppen syftar på. Medan Respondent C upplever att det inte finns någon tydlig gränsdragning försöker Respondent E istället att inte göra någon skillnad på begreppen eftersom de ofta går in i varandra. Respondent E menar vidare att svaret på frågan om vad cybersäkerhet är kommer skilja sig åt beroende på vem som tillfrågas.

“Om du frågar tio personer i branschen vad som menas med cybersäkerhet kommer du att få tio olika svar.” – Respondent E.

Respondent D är den enda som gör en tydlig skillnad mellan begreppen och anser att cybersäkerhet är en delmängd av informationssäkerheten som är det övergripande. Vidare menar respondenten att informationssäkerhet är skydd av information med hänsyn till konfidentialitet, riktighet och tillgänglighet i allmänhet, medan cybersäkerhet är istället skydd av information utifrån konfidentialitet, riktighet och tillgänglighet i cyberrymden. Detta är nästintill samma definition och gränsdragning som Finansinspektionen använder sig av i föreskrifter och allmänna råd om informationssäkerhet, IT-verksamhet och insättningssystem (FFFS 2014:5). Då definitionerna uppvisar stora likheter, där den enda egentliga skillnaden ligger i att cybersäkerhet syftar till att skydda information i cyberrymden, är det inte förvånande att gränsdragningen blir svår. Gränsdragningen försvåras ytterligare av att cyberrymden expanderar på grund av digitaliseringens snabba utveckling där allt fler ting blir uppkopplade och tekniken blir en allt större del av vardagen. Även om respondenterna använde något olika definitioner kunde detta inte tydas göra någon avgörande skillnad i säkerhetsarbetet. Frågan är således ifall en gränsdragning ens är nödvändig eftersom gränsdragningen mellan information- och cybersäkerhet av allt att döma är en gråzon då begreppen ofta går in i varandra.

(19)

15

4.1.2 Standarder som inspirationskälla

I arbetet med att skydda konfidentialitet, riktighet och tillgänglighet hos information kan standarder som ISO 27000 fungera som hjälp för att styra säkerhetsarbetets utformning. Genom att certifiera organisationen intygas det således att organisationen uppfyller en viss nivå av säkerhet. En genomgående trend i respondenternas svar var dock att certifieringar enligt ISO 27000 inte är nödvändigt utan att standarden snarare används som en inspirationskälla. För Respondent A har standarden fungerat som underlag när de gjort omarbetningar av riktlinjerna.

Respondent B tar också idéer från ISO 27000 men tycker inte att organisationen behöver certifieras utan menar istället att det finns andra ramverk som är bättre att följa, exempelvis amerikanska NIST. Även Respondent D och E tog upp NIST som inspirationskälla och menar att det finns flera faktorer till att inte certifiera sig enligt ISO 27000. Argumenten till detta var dels att standarden är för trögrörlig, att marginalnyttan är för dålig samt att certifieringar hellre bör ske på individbasis.

Eftersom ISO 27000 finns till för att ge organisationer verktyg för att skydda sig mot cybersäkerhetsrisker var det överraskande att se att en certifiering inte tycktes vara nödvändigt.

Nackdelarna tycks således väga tyngre än de fördelar en certifiering skulle medföra och i detta fall verkar ISO 27000 istället fungera som en inspirationskälla som med fördel kan användas i kombination med andra ramverk.

4.1.3 En fråga om skydd i flera lager

När respondenterna fick frågan om hur de arbetar med cybersäkerhet talade flera av dem om vikten av att ha ett säkerhetsskydd bestående av flera lager som kompletterar varandra, där tekniken utgör ett av dem. Att ha tekniska lösningar i form av skyddsbarriärer som stoppar exempelvis skadliga mail från att nå medarbetarna var något som Respondent A ansåg var mycket viktigt. Respondenten berättade vidare att av de mail som organisationen får in i dagsläget är under tio procent från kunderna och resten är spam vilket pekar på vidden av problemet. Respondent B poängterade vikten av att arbeta med skydd i flera lager där de tekniska lösningarna ska tillåta medarbetarna att kunna göra fel. Detta visar således på att tekniska lösningar är en nödvändighet dels för att de anställda ska kunna utföra sina arbetsuppgifter och dels för att det fungerar som ett skyddsnät i verksamheten. Enligt Respondent D är tekniken viktig på så sätt att det måste finnas brandväggar och virusskydd, däremot löser tekniken inte alla problem utan det måste även finnas ett säkerhetstänk hos medarbetarna för att skydda verksamheten. Liknande resonemang hade Respondent E som

(20)

16 menade att de arbetar mycket med en kombination av tekniska lösningar och medvetandehöjande åtgärder. De argument som respondenterna för kan ses gå i linje med Rao och Nayak (2014) som menar att tekniken och människorna måste komplettera varandra för att ett säkerhetsskydd ska kunna vara välfungerande. Eftersom en ökad medvetenhet även minskar säkerhetsriskerna enligt Furnell och Vasileiou (2017) är det även en fråga som gäller samtliga inom organisationen, inte bara de som direkt arbetar med säkerhetsfrågor.

4.2 Roller

4.2.1 Olika roller i samspel

Samtliga respondenter tog upp att det finns flera roller inom verksamheterna, utöver de formella rollerna med övergripande säkerhetsansvar, som arbetar med cybersäkerhet i olika stor utsträckning. Det finns exempelvis många personer som arbetar med detta fast ur olika perspektiv. Respondent D tog upp att arbetet med att stärka cybersäkerheten sker inom flera områden som inkluderar såväl tekniker som utbildare och generalister. Respondent B förklarade också hur säkerhetsarbetet var uppdelat på ett tydligt sätt och berättade att det finns dels de som arbetar med regelefterlevnad och följer upp hur väl organisationen uppfyller Finansinspektionens regler. Där blir arbetet ofta mycket formellt. Sedan finns det också de som arbetar med riskkontroll, både rörande finansiell risk och operativ risk. Utöver dessa menar Respondent B att även andra avdelningar inom organisationen arbetar aktivt med säkerhetsfrågor och tog då upp HR och inköp som exempel. HR-avdelningen hjälper bland annat till med att identifiera eventuella insiders och illojala medarbetare som stjäl information och inköpssidan kontroller leverantörer utifrån informationssäkerhet. Dessa exempel tyder på att olika roller samspelar för att uppnå en cybersäker arbetsmiljö. Vidare visar exemplen även att det i praktiken kan vara svårt att tilldela säkerhetsansvaret endast till några specifika roller eftersom cybersäkerhet går in i många olika avdelningar. Istället måste alla roller ha ett visst säkerhetsansvar och därmed inkluderas i säkerhetsarbetet.

På grund av att arbetet med cybersäkerhet berör flera olika avdelningar kan gränsdragningen kring vissa säkerhetsfrågor ibland vara svår. Även fast tidigare forskning argumenterar för att det är viktig att tilldela anställda olika roller och ansvarsområden (se Rao och Nayak, 2014) menar Respondent B att det istället för att dra gränser mellan ansvarsområden är bättre att vara agil och samarbeta över gränserna för att nå bättre resultat. Respondent E menar också att det idag, som ett resultat av omvärldens förändring, heller inte går att adressera informations- eller IT-säkerhet utan att adressera fysisk säkerhet och vice versa. Båda resonemangen tyder på att

(21)

17 det är fler personer och roller som inkluderas i cybersäkerhetsarbetet idag. Detta gör också att organisationer bör utforma sitt säkerhetsarbete på ett sådant sätt att hela verksamheten aktivt arbetar med säkerhet. Att säkerhetsansvaret endast skulle hamna på några specifika roller är också otänkbart med tanke på att alla medarbetare mer eller mindre utgör en risk. Det skulle således vara omöjligt för de med formella säkerhetsroller att kunna se och förhindra alla tänkbara risker vilket betyder att säkerhetsansvaret måste fördelas jämnare.

4.2.2 Rollbaserad åtkomstkontroll ökar säkerheten

Ett sätt att arbeta med ansvarsfördelning är genom att använda verktyg som bygger på behörighet, exempelvis rollbaserad åtkomstkontroll. Även om det kan argumenteras för att alla medarbetare har ett visst säkerhetsansvar har dock vissa medarbetare ett större ansvar än andra.

Respondent D sade att det alltid är affärssidan som äger risken, inte IT eller säkerhetssidan och Respondent E poängterar exempelvis att varje avdelningschef eller gruppchef, oavsett nivå, är fullt ut ansvariga för alla operativa risker i verksamheten. Där ingår IT och cyberrisken också.

Rollbaserad åtkomstkontroll baserar sig på medarbetarnas olika roller inom organisationen och används för att tilldela medarbetare behörigheter (Ferraiolo och Kuhn, 1992). Enligt teorin kräver dock denna metod att tydliga roller utses eftersom behörigheten är kopplat till den roll som personen innehar. Respondent B arbetar mycket kring behörighet och vem som ska godkänna vad samt vad andra avdelningar får godkänna. Genom att organisationer bygger in rollbaserad åtkomstkontroll i sitt cybersäkerhetsarbete kan inte bara säkerheten stärkas utan det är även möjligt att de administrativa kostnaderna minskar. Kostnaderna kan minskas eftersom medarbetarna inom organisationen vet vad de har rätt att göra och inte. Detta gör att organisationer som använder tydlig åtkomstkontroll inte behöver ödsla värdefull tid på att ta reda på vem som får göra vad. Genom att förvirringen minskas kan medarbetarna istället fokusera på sina faktiska arbetsuppgifter.

Dualitet och den ansvarsfördelning som följer, medför inte bara att de med formellt säkerhetsansvar inte behöver vara med i alla uppdrag med hög risk utan det medför även en ökad säkerhet. Både Respondent B, C och D lyfter fram att dualitetsprincipen är något som de använder sig av. Respondent D menar vidare att anställda inte får både utföra och godkänna transaktioner utan att två personer ska vara delaktiga. Genom dualitet kan många säkerhetsrisker elimineras eftersom chansen att en illojal medarbetare medvetet utför exempelvis en felaktig transaktion minskar då en annan person måste godkänna den.

(22)

18

4.2.3 IT-kompetens, en självklarhet?

I rollen som säkerhetsansvarig, och speciellt med ansvar över cybersäkerhet, kan det tänkas att kunskap inom IT är av stor vikt. Då respondenterna fick frågan om de ansåg att tidigare erfarenhet inom IT är viktigt då man har en roll med mycket säkerhetsansvar visade det sig dock att så inte alltid var fallet. Utifrån respondenternas svar ansågs IT-kompetens vara fördelaktigt, men inte fundamentalt. Både Respondent A och C ansåg att en IT-bakgrund är fördelaktigt eftersom det kan göra det lättare att få gehör i säkerhetsfrågor. Respondent A utvecklar resonemanget genom att förklara att en IT-bakgrund inger ett visst förtroende.

“Om jag inte hade arbetat med det tekniska tidigare hade jag nog haft svårt att få gehör för det här med säkerhet. Nu förstår folk och känner sig trygga med att jag vet vad jag pratar om och det tror jag är en stor fördel. Om någon ifrågasätter det jag säger kan jag också oftast svara på de tekniska frågor som kommer.” – Respondent A.

Respondent C menar vidare att en IT-bakgrund inte bara är bra för att få gehör, utan även för att kunna förutspå framtiden, men att det inte alltid är nödvändigt att ha det för att arbeta med informationssäkerhet. Även Respondent B anser att det är en fördel att i alla fall kunna lite av tekniken, speciellt för att få förtroende av teknikerna, och om man inte kan tekniken är det viktigt att ha bra medarbetare. Respondent D menar däremot att man kan lyckas ändå utan att vara en teknikentusiast och Respondent E berättar att man även snappar upp en del IT med tiden då man arbetar med cybersäkerhet. Detta tyder på att cybersäkerhet är mycket mer än bara en teknisk fråga. För mycket fokus på tekniken skulle även kunna utgöra ett hinder i säkerhetsarbetet. Enligt Respondent E har teknikerna ofta har ett språk som övriga medarbetare inte förstår vilket gör att IT-specialisterna måste samarbeta tätt med de säkerhetsansvariga som sedan kan hjälpa till att influera resten av organisationen. Ett sådant samarbete kan således ses öka cybersäkerheten, något det även finns stöd för i tidigare forskning (se Marotta och McShane, 2018).

4.3 Rutiner

4.3.1 Svårt med säkerhetstänk i vardagsrutiner

Genom intervjuerna har det framgått att rutiner är ett komplext begrepp som kan ta uttryck på olika sätt. Begreppet kan syfta på allt ifrån automatiserade rutiner rörande behörighet till mer manuella rutiner som att alltid logga ut från arbetsdatorn då skrivbordet lämnas. Det finns dock vissa svårigheter med att få in säkerhetstänk som rutin i vardagen. Även om grundidén är att

(23)

19 säkerhetstänket alltid ska finnas med i det dagliga arbetet kan det finnas faktorer som påverkar i hur stor utsträckning säkerhetsrutinerna faktiskt efterföljs. Respondent A menar exempelvis att allt arbete som görs idag är förenat med cyberrisker och att det är svårt att få medarbetarna att inse det. Detta är ett problem eftersom de anställdas bristande kunskaper inom informationssäkerhet enligt Choi, Martins och Bernik (2018) utsätter organisationen för risker som annars hade kunnat undvikas.

Enligt Respondent D är det inte en fråga om någon blir lurad utan snarare om när, och det kan få större eller mindre konsekvenser. Respondenten menar vidare att det därför är viktigt att arbeta intensivt med att höja medvetenheten och ta bort skammen i att bli lurad eftersom sådana incidenter omgående måste rapporteras för att kunna begränsa skadan. Även Respondent E tar upp att det är ett stort arbete att jobba med medarbetarnas förståelse för de risker som finns.

Respondenten menar vidare att det har tagit tid för de anställda att själva ta ansvar för de säkerhetsrisker som finns och inte förlita sig på att det är säkerhetsorganisationen som bär allt ansvar. Respondent B anser istället att svårigheterna med att väva in rutiner i säkerhetsarbetet är att det ofta är nya typer av incidenter varje gång, något som gör det svårt att skapa specifika rutiner. En svårighet som Respondent C lyfter fram är att det är svårt att få med sig konsulterna i de nya rutinerna eftersom de har projekt att fokusera på. I en organisation som regelbundet hyr in konsulter kan det alltså vara ett stort säkerhetsproblem om dessa aldrig har eller får ta sig tid att följa organisationens rutiner, exempelvis att ta del av de säkerhetsutbildningar som erbjuds. Ytterligare svårigheter med att få in säkerhetstänket i vardagsrutinerna kan vara ett resultat av stress och enligt Elifoglu, Abel och Tasseven (2018) kan det vara en anledning till att medarbetare av misstag utgör en fara för säkerhetssystemet. Detta är något som även Respondent A konstaterade.

“Med tanke på den stress som många arbetar under idag så är det lätt att man trubbas av, att man kanske inte är riktigt uppmärksam hela tiden. Det är det som är det svåraste, att alltid ha säkerhetstänket med sig.” – Respondent A.

Svårigheterna med att få in säkerhetstänket i vardagsrutiner kan ses bero på det argument som Feldman och Pentland (2003) för, om att rutiner består av två olika delar; en ostensiv del och en performativ del. Den ostensiva delen, som symboliserar den abstrakta idén av rutinen, kan i detta fall ses vara idén om att allt arbete inom organisationen ska ske utifrån ett säkerhetstänk.

Den performativa delen, som istället syftar på de specifika handlingar som utförs i praktiken, kan således exemplifieras av att medarbetare i praktiken inte är säkerhetsmedvetna hela tiden

(24)

20 på grund av olika faktorer. Det kan tänkas vara viktigt att de personer som är med och utformar säkerhetsarbetet har insyn både i de ostensiva och performativa delarna för att få en helhetsbild av de risker som finns. Om säkerhetsansvariga till exempel negligerar den ostensiva delen tas inte hänsyn till de subjektiva tolkningar som görs, varför det kan vara svårt att förstå varför vissa medarbetare fortsätter att agera riskfyllt. Medarbetarnas riskfyllda agerande kan helt enkelt vara en konsekvens av att de tror att de agerar säkert eftersom det är deras subjektiva tolkning.

När de gamla rutinerna överges för nya kan det också uppstå problem eftersom det inte alltid är lätt att få medarbetarna att lämna gamla arbetssätt. Ibland är det dock nödvändigt att lämna gamla rutiner med hänsyn till att omvärlden förändras och att dessa blir föråldrade. När nya säkerhetsrutiner ska implementeras är det nödvändigt att de anställda förstår nyttan och syftet av förändringen. Respondent E upplever att omvärldens förändring är en anledning som gör att folk är mer benägna att bryta gamla rutiner, förmodligen eftersom de själva förstår nyttan i att övergå till de nya rutinerna. När Respondent B implementerar nya rutiner lyfter hen vikten av att missionera och få medarbetarna att förstå varför förändringen är viktig.

4.3.2 Återkommande utbildningar är viktigt

Svårigheterna med att få in säkerhetstänket i vardagsrutinerna utgör en brist i arbetet med cybersäkerhet, däremot kan detta motverkas med hjälp av en ökad säkerhetskultur. Genom att göra säkerheten närvarande i alla arbetsuppgifter kan det till slut bli en del av de anställdas arbetsrutiner på ett sådant sätt att säkerhetstänket alltid är närvarande. Däremot kan en säkerhetskultur inte uppstå av sig självt utan det kräver en del åtaganden från medarbetarna i form av tid och engagemang. Samtliga respondenter trycker på att utbildningar och medvetandehöjande åtgärder är en viktig del i arbetet med att stärka cybersäkerheten.

Kombinationer av kortare och längre utbildningar som återkommer i olika intervall är också en framträdande aspekt. Dessa utbildningar är oftast obligatoriska men förekommer även på frivillig basis.

Både Respondent A och D arbetar med att ta fram mikroutbildningar som berör säkerhet och som ska gå ut till medarbetarna med jämna mellanrum, flera gånger per år.

Mikroutbildningarna ska fungera som ett komplement till den rådande och mer omfattande årliga säkerhetsutbildningen. De ska även fungera som verktyg för att öka säkerhetstänket hos medarbetarna och således få in säkerhet som rutin. De kortare utbildningarna kan ses vara fördelaktiga eftersom de kan anpassas och uppdateras så att de matchar rådande omständigheter

(25)

21 vilket Rao och Nayak (2014) anser vara viktigt. De årliga utbildningarna kan då vara mer generella och heltäckande medan de kortare utbildningarna kommer som komplement vid behov.

Det finns dock vissa svårigheter med att få anställda att göra de utbildningar som erbjuds. Enligt Respondent E går det bara att ha ett visst antal obligatoriska utbildningar då för många kan bli problematiska. För många obligatoriska utbildningar tenderar enligt respondenten att bli sådana som anställda lyssnar på medan de gör annat arbete på sidan av och sedan glömmer bort majoriteten av informationen när de går därifrån. Detta är ett problem som även Cone m.fl.

(2007) lyfter upp då de menar att det är en stor utmaning att hålla kvar de anställdas uppmärksamhet tillräckligt länge, särskilt när användaren hellre fokuserar på annat. Att anställda väljer att fokusera på annat kan bland annat ses bero på tidsbrist. Tidsproblemet är något som verkar vara en stor utmaning även hos Respondent C som menar att många konsulter inte hinner göra utbildningarna eftersom de har sina projekt att fokusera på.

För att få fler medarbetare att ta del av utbildningarna anser Respondent E att dem bör göras mer lustbetonade och individinriktade eftersom utbildningar som även är värdefulla för den anställde i privatlivet kommer göra att fler blir intresserade. Det menar Respondent E är ett sätt att faktiskt få till en rutin i verkligheten och inte bara på pappret. Ett sätt att göra utbildningarna mer lustfyllda kan vara att använda sig av tv- och datorspel som utbildningsverktyg. Cone m.fl.

(2007) menar att detta kan få användaren att bli mer engagerad än vad denne skulle bli av typiska utbildningar vilket kan vara ett mer effektivt sätt för att öka säkerhetsmedvetandet.

Respondent D lyfte upp att utbildningarna måste vara återkommande men att det samtidigt ligger en utmaning i att repetera budskapet utan att trötta ut mottagaren. Därför är det viktigt att som Respondent E berättar, göra utbildningarna roliga och givande för att de anställda själva ska vilja eller känna ett behov av att göra utbildningarna. Flera av respondenterna uppgav att de hade använt sig av både spel och tävlingar för att göra utbildningarna lite roligare, något som uppskattades av många medarbetare.

Enligt tre av respondenterna behöver utbildningarna också vara anpassade för olika typer av roller inom organisationen för att lättare nå ut till de anställda och därmed öka utbildningarnas effekt i enlighet med Furnell och Vasileious (2017) resonemang. Ibland måste utbildning även riktas mot specifika grupper som är speciellt utsatta, exempelvis mot personer med en viss typ av behörighet. Genom att erbjuda den anställde rätt typ av utbildning ökar sannolikheten att budskapet tas emot vilket i sin tur ökar effektiviteten av utbildningarna. Genom att ha effektiva

(26)

22 säkerhetsutbildningar kan även kostnaderna för organisationer minska. Detta eftersom högre kompetens bland de anställda ökar chansen att de inte utgör ett hot mot säkerheten (Elifoglu, Abel och Tasseven, 2018; Furnell och Vasileiou, 2017).

4.4 Regler

4.4.1 Enkla regler är en fördel

Regler är nödvändiga för att stärka cybersäkerheten och dessa är i stor utsträckning grundpelarna i en organisations verksamhet. Att regelbundet se över organisationens regler nämndes också under intervjuerna som en nödvändighet för att säkerställa att de hålls uppdaterade efter rådande omständigheter. Uppdateringarna kan ske regelbundet eller vid betydande lagändringar och tre av respondenterna uppgav att reglerna inom den egna verksamheten uppdateras årligen eller vid behov. Respondent E berättade exempelvis att ifall det händer någonting i företaget trots att reglerna följts måste dessa ses över och eventuellt åtgärdas.

Både Respondent A och D lyfte fram att det finns vissa svårigheter med att nå ut till de anställda och få dem att arbeta efter säkerhetsreglerna. Respondent A talar om vikten av att anpassa riktlinjerna så att de passar i vardagen för de som ska följa dem. Respondenten menar vidare att riktlinjerna inte får vara för hårda i utformandet för då är det ingen som kommer följa dem.

Även Respondent D tog upp vikten av att hålla reglerna enkla men samtidigt tillräckligt utförliga för att kunna godkännas av jurister och säkerställa regelefterlevnad vilket är en stor utmaning. Vidare menar respondenten att för att reglerna ska läsas av alla användare får de heller inte vara för långa, de ska helt enkelt vara enkla att förstå. Resonemanget som Respondent A för har många likheter med Gisladottir m.fl. (2017) resonemang; att för restriktiva regler som hindrar de anställda att utföra sitt arbete kommer göra att de kringgår eller bortser från reglerna. Detta gör att reglerna i praktiken förlorar betydelse vilket kan leda till såväl externa som interna säkerhetsproblem. För att lösa problemen samt få fler anställda att läsa och ta till sig av reglerna är det således viktigt att utforma enkla och lagom långa regler likt det Respondent D poängterade, något som det även finns stöd för i forskningen. Då Eisenhardt och Sull (2001) talar om enkla regler utgår de förvisso ifrån ett chefsperspektiv men deras argument – att reglerna bör fungera som ett strategiskt ramverk snarare än ett steg för steg koncept – fungerar även bra att applicera på ett medarbetarperspektiv.

(27)

23 Av intervjuerna har det också framgått att det finns olika typer av säkerhetsregler samt att dessa är mer eller mindre konkreta. Regler innefattar enlig respondenterna allt från generella policys som uttrycker organisationens mål till mer detaljerade riktlinjer och instruktioner som anpassas till arbetsuppgifterna ute i verksamheten. I och med att policys är mycket mer generella och breda kan de enligt Eisenhardt och Sull (2001) inte klassas som enkla regler, dock baserar sig både riktlinjer och instruktioner på dessa policys och dessa kan göras mer specifika.

4.4.2 Få eller många regler?

Samtidigt som reglerna inte får vara för långa och komplexa så får de heller inte vara för få eller för många. Hur reglerna utformas är därmed en svår balansgång och det gäller att hitta det optimala antalet regler som passar den egna verksamheten. Respondent D tog exempelvis upp att de arbetar utifrån ett mindre antal grundläggande säkerhetsregler. Respondent B å andra sidan var den enda respondenten som sade att de försöker hålla reglerna till ett absolut minimum. Istället läggs mer fokus på att missionera ute i verksamheten genom att informera och utbilda medarbetarna.

“Det är i alla fall min filosofi, att det är bättre att utbilda och få folk att bli duktiga själva istället för att ha en massa styrande dokument som säger vad man får och inte får göra.”

– Respondent B.

Även om Respondent B har en bra poäng i att begränsa antalet regler visar fortfarande forskning att det finns nackdelar förknippade med att ha för få regler. Enligt både Amin (2019) och Gisladottir m.fl. (2017) riskerar för få regler att medföra externa hot och påverka verksamhetens motståndskraft. Att ha ett minimum av regler riskerar även att leda till att de anställda inte agerar enhetligt (Burns och Scapens, 2000) vilket kan medföra problem i att uppfylla organisationens övergripande mål. Detta verkar dock inte vara ett problem för Respondent B som berättade att verksamheten arbetar agilt och har en mycket stark säkerhetskultur. Detta gör det således möjligt för organisationen att svara på externa risker när de uppstår och det går även att anta att den starka säkerhetskulturen får de anställda att agera enhetligt. Således verkar det som att verksamheten som Respondent B arbetar på har hittat sin optimala balansgång när det kommer till antalet regler. Även om tidigare forskning är kritisk mot för få regler (se Amin, 2019; Burns och Scapens, 2000; Gisladottir m.fl. 2017) menar också Eisenhardt och Sull (2001) att det är rimligt att begränsa antalet regler för att öka flexibiliteten under perioder som kantas av större osäkerhet. I och med att cybersäkerhet är ett område under snabb utveckling kan det därmed vara positivt att ha en större flexibilitet i verksamheten.

(28)

24 Intressant att notera är att Respondent B var den enda respondent som faktiskt tog upp att de aktiv arbetar med att hålla nere antalet regler. Respondent D tog visserligen upp att de arbetar utifrån ett mindre antal grundläggande säkerhetsregler, eftersom det underlättar det medvetandehöjande arbetet, men inte att de aktivt arbetar med att minimera antalet regler.

Övriga respondenter berörde inte ämnet alls. Detta kan tänkas bero på att organisationen som Respondent B arbetar på är yngre än övriga organisationer som behandlats i denna studie.

Eisenhardt och Sull (2001) menar att yngre företag ofta har färre regler än vad äldre företag har vilket studiens resultat även bekräftat. Eftersom regler också växer fram utifrån erfarenhet (ibid) och yngre organisationer inte har lika mycket erfarenhet som äldre organisationer är det möjligen inte förvånande att mängden regler skiljer sig åt.

(29)

25

5. Slutsats

I följande avsnitt presenteras undersökningens resultat och slutsatser i förhållande till de teoretiska förväntningarna. Avsnittet avslutas med studiens begränsningar samt förslag till framtida forskning.

5.1 Studiens slutsatser

Syftet med studien var att undersöka hur verksamheter kan organiseras med ambition att skydda sig mot cybersäkerhetsrisker. Detta har gjorts med utgångspunkt i tidigare forskning kring cybersäkerhet samt i det teoretiska ramverket microfoundations genom att undersöka hur verksamheter använder sig av roller, rutiner och regler i cybersäkerhetsarbetet. Utifrån teorin formulerades sedan tre förväntningar där tydliga säkerhetsroller, väletablerade säkerhetsrutiner och ett regelverk med ett optimalt antal regler förväntades stärka cybersäkerheten. Den förväntning som ansågs vara av största vikt var förväntningen om väletablerade säkerhetsrutiner.

Studiens resultat visar på vikten av att hela verksamheten måste inkluderas i säkerhetsarbetet samt att ett säkerhetstänk alltid måste finnas med i det dagliga arbetet. Det resultat som denna undersökning funnit stärker därför den teoretiska förväntningen om att väletablerade säkerhetsrutiner är den förväntning som är mest avgörande i säkerhetsarbetet. Eftersom allt arbete idag mer eller mindre är förenat med cyberrisker måste samtliga anställda arbeta med att stärka cybersäkerheten på arbetsplatsen, inte enbart de med formellt säkerhetsansvar eller de som arbetar med tekniska lösningar. Resultatet stödjer således även forskning om att verksamheter inte längre har råd att låta cybersäkerheten stanna i en teknisk silo i enighet med Amin (2019) och Marotta och McShane (2018). Vidare visar studiens resultat även att regler måste vara enkla och tydliga så att de anställda har tid och lust att läsa dem, samt att de förstår innebörden av dem. Hur reglerna utformas är viktigt då tidigare forskning menar att regler får individer att agera enhetligt (Burns och Scapens, 2000), något som är viktigt för att få samtliga medarbetare inkluderade i cybersäkerhetsarbetet.

Arbetet med cybersäkerhet är en växande utmaning som i och med digitaliseringens utveckling kommer få allt större betydelse. Av denna anledning är det viktigt att verksamheter tar hänsyn till fler aspekter än bara de tekniska. Det är således relevant att studera hur cybersäkerheten kan stärkas genom organisatorisk utformning, för att på så sätt komplettera de tekniska

(30)

26 lösningarna. Detta eftersom många säkerhetsbrister visat sig vara en konsekvens av människors felaktiga agerande.

5.2 Studiens begränsningar och förslag till framtida forskning

Då tidigare forskning på ämnet cybersäkerhet främst utgår ifrån ett datavetenskapligt perspektiv är det motiverat att istället undersöka ämnet utifrån andra vetenskapliga fält. Denna studie har undersökt cybersäkerhet utifrån ett organisatoriskt perspektiv. Detta har gjorts genom att intervjua personer som arbetar med säkerhetsfrågor inom olika organisationer men inom samma bransch. Med utgångspunkt i studiens teoretiska begrepp visar resultatet på att det finns ett antal återkommande faktorer i hur organisationerna valt att forma sina verksamheter på. Det skulle således vara intressant att använda en annan urvalsstrategi i framtida forskning. Ett förslag är att studera en specifik verksamhet mer djupgående där intervjuer med medarbetare från flera olika nivåer i företaget tas i beaktning för att få en tydligare helhetsbild. Eftersom microfoundations valts som teoretiskt ramverk anses studiens teoretiska begrepp roller, rutiner och regler vara mest lämpliga. Däremot skulle ämnet även kunna studeras utifrån andra organisationsteoretiska ramverk för att således bygga på forskningen kring cybersäkerhet och organisatorisk utformning.

Som tidigare nämnt tyder studiens resultat på att hela verksamheten måste inkluderas i säkerhetsarbetet samt att ett säkerhetstänk alltid måste finnas med i det dagliga arbetet. Av denna anledning uppmuntras därför framtida forskning att närmare studera hur organisationer kan göra för att uppnå detta, oavsett metodologiskt och teoretiskt tillvägagångssätt.

References

Download now ( PDF - 34 Page - 772.17 KB )

Related documents

Att skapa till mig själv istället för att skapa till andra

Jag har länge skrivit pop-musik till andra artister, ofta i session tillsammans med andra låtskrivare, men varje gång jag försökt skriva musik som jag själv ska framföra har det

Centralt innehåll som provuppgifterna utgår ifrån Plugguide – kryssprov om islam

• Varierande tolkningar och bruk inom världsreligionerna i dagens samhälle. ”varierande tolkningar och bruk” mellan shiitisk och sunnitisk islam.).. • Huvuddragen

Hur ämnet musik prioriteras i skolans tidigare åldrar

Eftersom pedagog A inte kunde utveckla varför hon ansåg att ämnet musik är viktigt för de andra skolämnena misstänker vi att hon inte hade kunskap om detta. Detta tror vi gör

2 Tidigare  forskning  -­‐  och  andra  kunskaper  

En del kan behöva resurser som möjliggör vila, sjukgymnastik eller rehabilitering på en helt annan nivå än genomsnittet (Shakespeare 2006). Olika preferenser som skiljer från

Matematikdidaktik för tidigare åldrar - Utifrån ett praktiskt och teoretiskt perspektiv

(http://sv.wikipedia.org/wiki/DAMP).. 17 används, då inte upplevs som relevanta för tillämpningsområdet och det blir därför inte motivationsskapande. Enligt Lundin är

TIDIGARE FORSKNING

Anledningen till detta tror de beror på att kvinnor oftast är hemma under en längre tid när de fått barn vilket gör att de får ett avbrott i karriären under den tid som de är

Tidigare forskning

Män som arbetar i kvinnodominerade yrken ska inte bara göra samma uppgifter som sina kvinnliga kollegor, utan förväntas även göra sådant som kvinnor normalt

Tidigare forskning

De ska klara sig själva och texten uppmanar att inte vara beroende av någon man men samtidigt beskrivs också hur kvinnan är den som gör allt för sin man och även ge upp