F5- Institutionell teori Flashcards

1
Q

Institutionell teori handlar mycket om mänskligt beteende. Man menar att om man kunde analysera och förstå mänskligt beteende och förklara vad som styr det, då skulle man:

A

Också kunna påverka och styra beteendet och säkra informationen. Det som påverkar informationssäkerheten allra mest är nämligen mänskligt beteende. I tex utveckling av säker kod, driftsättning, förvaltning, användning.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Vad är en institution?

A

Institutioner är strukturer baserade på mer eller mindre för givet tagna, formella eller informella regler vilket begränsar och kontrollerar (eller stödjer) socialt beteende. (Exempel är att hålla upp dörren för den som kommer efteråt)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Institutionell teori kan bara användas när:

A

Det finns mänskligt beteende med i bilden.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Bakomliggande antagande:

A

Graden av säkerhet i alla informationssystem bestäms i slutändan av människors handlande.
Det gäller även säkerheten för informationssystemets hård- och mjukvarukomponenter – dess datoriserade delar.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Institutioner begränsar beteende genom att definiera:

A

Legala, moraliska och kulturella gränser som skiljer mellan vad som är acceptabelt och icke-acceptabelt beteende.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Vilka är Scotts tre pelare?

A

Regulativa, normativa och kulturella-kognitiva

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

Regulativa institutioner (huvuddragen):

A

􏰀 Handlar om: Formella lagar och regler
􏰀 Syns som: Regler, lagar, sanktioner (straff)
􏰀 Hur krävs efterlevnad: Tvång, Juridiskt sanktionerade
􏰀 Exempel inom informationssäkerhet: GDPR, informationssäkerhetsregler i ett företag

􏰀 Regler måste tolkas. Dispyter måste lösas. Incitament (”morötter”) och sanktioner (”piskor”) måste utformas och kommer att ha oväntade effekter. Övervakningsmekanismer krävs men kostar pengar och kommer ibland att fallera. Att följa regeln är endast ett av flera tänkbara svar av de som utsätts för den. (Scott)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Normativa institutioner (huvuddragen):

A

􏰀 Handlar om: Bindande förväntningar (värderingar, normer)
􏰀 Syns som: Certifiering, ackreditering, roller
􏰀 Hur krävs efterlevnad: Moraliskt styrda
􏰀 Exempel inom informationssäkerhet: Roller inom informationssäkerhet i ett företag – förväntningar på beteende utifrån roller.

En aktör frågar sig inte ”hur ska jag agera så att jag själv får det bra” utan frågar sig istället ”Vad är det förväntade och accepterade beteendet jag bör visa”

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Kulturella kognitiva institutioner (huvuddragen):

A

􏰀 Handlar om: Delade uppfattningar (”filterbubblor”) 􏰀 Syns som: Gemensamma värderingar, handlingar
􏰀 Hur krävs efterlevnad: ”Kulturellt” understödda
􏰀 Exempel inom informationssäkerhet: Hur man faktiskt beter sig vid sidan om regler, säkerhetskultur.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Hur skapas och upprätthålls en institution?

A

1) Institutionen kodas in i aktören genom en socialiseringsprocess
2) När institutionen är ”internaliserad” omvandlas den till ett ”skript” (handlingsmönster)
3) När aktören agerar i enlighet med handlingsmönstret etableras institutionen
4) Andra aktörer kan se handlingsmönstret och tar upp samma mönster
5) Efter en tid ses handlingsmönstret som ”självklart”

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Hur överförs institutioner? Hur ”bärs” dom?

A

􏰀 Symboliska system: Regler, lagar, värderingar, förväntningar, etc.
􏰀 Relationssystem: Styrsystem, identiteter, etc. 􏰀 Rutiner: Protokoll, lojalitet, rollbeskrivningar,
riktlinjer, etc.
􏰀 Artifakter (saker): Saker som lever upp till konventioner, symboliska sake

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

En typisk institutionell bärare inom infosäk är?

A

Standarden ISO/IEC 27001 och 27002 som berättar
hur man kan styra sin informationssäkerhet

Informationssäkerhetspolicyer i organisationer

nformella rutiner som styr hur man får agera

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

Det är vanligt att avancerade ledningssystem införs för att sen inte följas! Institutionell teori säger att:

A

Det Kan vara rationellt att inte följa reglerna

Det Kan vara så att institutioner säger att en policy eller ett ledningssystem ska vara utformat på ett visst sätt för att vara legitimt

Det är inte säkert att det sättet passar organisationen.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Mekanismer inom säkerhetsstrukturer kan vara:

A

􏰀 Tvingande mekanismer: ! Lagkrav
! Kundkrav ! Ägarkrav
􏰀 Mimetiska (härma) mekanismer: ! Följ ledande konkurrent
􏰀 Normativa mekanismer:
! Konsulter (copy-and-paste policyer)
! Personcertifieringar som ger liknande synsätt

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

Vad kan institutionell teori göra för oss?

A

Förstå och förklara skillnaden mellan formella regler och faktiskt beteende
Förstå och förklara varför vissa aktörer har avancerade regler som inte efterlevs
Förstå, förklara och försöka styra / påverka beteende så att det blir ”säkrare”.
På detta sätt kan vi bygga säkrare informationssystem och företag, mer kostnadseffektivt.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly