5. Institutionell teori Flashcards
Vad är en institution?
”Institutioner är strukturer baserade på mer
eller mindre för givet tagna, formella eller informella,
regler vilka begränsar och kontrollerar (eller stöder)
socialt beteende”.
Vad är syftet med att applicera institutionellt teori inom informationssäkerhet?
Genom att:
Analysera/förstå och förklara vad som styr mänskligt beteende kan vi:
Påverka och styra beteendet så det blir bra för informationssäkerheten
Vilka analysobjekt går det att applicera institutionell teori på?
Endast där det finns mänskligt beteende.
- ex på administrativa åtgärder
Vilka analysnivåer finns?
Individ
Organisationsenhet
- avdelning
Organisation
- företag/myndighet
Bransch
- telekombranschen
Land
Kontinent
Vad är bakomliggande antagandet?
Graden av säkerhet i alla informationssystem bestäms i slutändan av människors handlande.
Hur begränsar institutioner mänskligt beteende?
De definierar
- legala
- moraliska
- kulturella
gränser.
Enligt Scott finns tre pelare för institutioner, vilka?
Regulativa
Normativa
Kulturella-kognitiva
-delar vilka, tillsammans med tillhörande aktiviteter och resurser, skänker stabilitet och mening åt socialt liv
Vad är regulativa institutioner?
Utvecklas under tid, börjar som idéer och slutar som regler/lagar.
Efterlevnad krävs genom tvång/juridiskt sanktionerande.
- ex GDPR
Vad är normativa institutioner?
Bindande förväntningar/standarder. Certifiering, ackreditering.
Moraliskt styrda.
Handlar om att leva upp till oskrivna regler och förväntningar.
- ex roller inom informationssäkerhet i ett företag – förväntningar på beteende utifrån roller.
Vad är kulturella-kognitiva institutioner?
Delade uppfattningar, inte uppskrivna. Syns som gemensamma värderingar/handlingar.
- ex inom informationssäkerhet: Hur man faktiskt beter sig vid sidan om regler, säkerhetskultur.
Hur skapas och upprätthålls en institution? (5 steg)
1) Institutionen kodas in i aktören genom en socialiseringsprocess
2) När institutionen är ”internaliserad” omvandlas den till ett ”skript” (handlingsmönster)
3) När aktören agerar i enlighet med handlingsmönstret etableras institutionen
4) Andra aktörer kan se handlingsmönstret och tar upp samma mönster
5) Efter en tid ses handlingsmönstret som ”självklart”
Hur överförs institutioner? (bärare) (3)
Symboliska system:
- Regler, lagar, värderingar, förväntningar, etc.
Relationssystem:
- Styrsystem, identiteter, etc.
Rutiner:
- Protokoll, lojalitet, rollbeskrivningar, riktlinjer, etc.
Ge exempel på institutionella bärare inom infosäk:
- Standarden ISO/IEC 27001 och 27002 som berättar hur man kan styra sin informationssäkerhet
- Informationssäkerhetspolicyer i organisationer
- Informella rutiner som styr hur man får agera
Hur bör en analys göras utifrån detta synsätt? (3 steg)
- Tänk – vilka regler – formella eller informella – styr beteendet här?
- Vilka institutionella ”bärare” finns, vilka saknas?
- Om beteendet är ”osäkert”, hur kan jag använda kunskapen om institutioner för att påverka det i ”säker” riktning? Hur kan en bryta mönstret?
Nämn tre tvingande mekanismer för organisationer? (3)
- Lagkrav
- Kundkrav
- Ägarkrav