F5- Institutionell teori Flashcards
Institutionell teori handlar mycket om mänskligt beteende. Man menar att om man kunde analysera och förstå mänskligt beteende och förklara vad som styr det, då skulle man:
Också kunna påverka och styra beteendet och säkra informationen. Det som påverkar informationssäkerheten allra mest är nämligen mänskligt beteende. I tex utveckling av säker kod, driftsättning, förvaltning, användning.
Vad är en institution?
Institutioner är strukturer baserade på mer eller mindre för givet tagna, formella eller informella regler vilket begränsar och kontrollerar (eller stödjer) socialt beteende. (Exempel är att hålla upp dörren för den som kommer efteråt)
Institutionell teori kan bara användas när:
Det finns mänskligt beteende med i bilden.
Bakomliggande antagande:
Graden av säkerhet i alla informationssystem bestäms i slutändan av människors handlande.
Det gäller även säkerheten för informationssystemets hård- och mjukvarukomponenter – dess datoriserade delar.
Institutioner begränsar beteende genom att definiera:
Legala, moraliska och kulturella gränser som skiljer mellan vad som är acceptabelt och icke-acceptabelt beteende.
Vilka är Scotts tre pelare?
Regulativa, normativa och kulturella-kognitiva
Regulativa institutioner (huvuddragen):
Handlar om: Formella lagar och regler
Syns som: Regler, lagar, sanktioner (straff)
Hur krävs efterlevnad: Tvång, Juridiskt sanktionerade
Exempel inom informationssäkerhet: GDPR, informationssäkerhetsregler i ett företag
Regler måste tolkas. Dispyter måste lösas. Incitament (”morötter”) och sanktioner (”piskor”) måste utformas och kommer att ha oväntade effekter. Övervakningsmekanismer krävs men kostar pengar och kommer ibland att fallera. Att följa regeln är endast ett av flera tänkbara svar av de som utsätts för den. (Scott)
Normativa institutioner (huvuddragen):
Handlar om: Bindande förväntningar (värderingar, normer)
Syns som: Certifiering, ackreditering, roller
Hur krävs efterlevnad: Moraliskt styrda
Exempel inom informationssäkerhet: Roller inom informationssäkerhet i ett företag – förväntningar på beteende utifrån roller.
En aktör frågar sig inte ”hur ska jag agera så att jag själv får det bra” utan frågar sig istället ”Vad är det förväntade och accepterade beteendet jag bör visa”
Kulturella kognitiva institutioner (huvuddragen):
Handlar om: Delade uppfattningar (”filterbubblor”) Syns som: Gemensamma värderingar, handlingar
Hur krävs efterlevnad: ”Kulturellt” understödda
Exempel inom informationssäkerhet: Hur man faktiskt beter sig vid sidan om regler, säkerhetskultur.
Hur skapas och upprätthålls en institution?
1) Institutionen kodas in i aktören genom en socialiseringsprocess
2) När institutionen är ”internaliserad” omvandlas den till ett ”skript” (handlingsmönster)
3) När aktören agerar i enlighet med handlingsmönstret etableras institutionen
4) Andra aktörer kan se handlingsmönstret och tar upp samma mönster
5) Efter en tid ses handlingsmönstret som ”självklart”
Hur överförs institutioner? Hur ”bärs” dom?
Symboliska system: Regler, lagar, värderingar, förväntningar, etc.
Relationssystem: Styrsystem, identiteter, etc. Rutiner: Protokoll, lojalitet, rollbeskrivningar,
riktlinjer, etc.
Artifakter (saker): Saker som lever upp till konventioner, symboliska sake
En typisk institutionell bärare inom infosäk är?
Standarden ISO/IEC 27001 och 27002 som berättar
hur man kan styra sin informationssäkerhet
Informationssäkerhetspolicyer i organisationer
nformella rutiner som styr hur man får agera
Det är vanligt att avancerade ledningssystem införs för att sen inte följas! Institutionell teori säger att:
Det Kan vara rationellt att inte följa reglerna
Det Kan vara så att institutioner säger att en policy eller ett ledningssystem ska vara utformat på ett visst sätt för att vara legitimt
Det är inte säkert att det sättet passar organisationen.
Mekanismer inom säkerhetsstrukturer kan vara:
Tvingande mekanismer: ! Lagkrav
! Kundkrav ! Ägarkrav
Mimetiska (härma) mekanismer: ! Följ ledande konkurrent
Normativa mekanismer:
! Konsulter (copy-and-paste policyer)
! Personcertifieringar som ger liknande synsätt
Vad kan institutionell teori göra för oss?
Förstå och förklara skillnaden mellan formella regler och faktiskt beteende
Förstå och förklara varför vissa aktörer har avancerade regler som inte efterlevs
Förstå, förklara och försöka styra / påverka beteende så att det blir ”säkrare”.
På detta sätt kan vi bygga säkrare informationssystem och företag, mer kostnadseffektivt.