F5- Institutionell teori

Question 1

Institutionell teori handlar mycket om mänskligt beteende. Man menar att om man kunde analysera och förstå mänskligt beteende och förklara vad som styr det, då skulle man:

Answer 1

Också kunna påverka och styra beteendet och säkra informationen. Det som påverkar informationssäkerheten allra mest är nämligen mänskligt beteende. I tex utveckling av säker kod, driftsättning, förvaltning, användning.

Question 2

Vad är en institution?

Answer 2

Institutioner är strukturer baserade på mer eller mindre för givet tagna, formella eller informella regler vilket begränsar och kontrollerar (eller stödjer) socialt beteende. (Exempel är att hålla upp dörren för den som kommer efteråt)

Question 3

Institutionell teori kan bara användas när:

Answer 3

Det finns mänskligt beteende med i bilden.

Question 4

Bakomliggande antagande:

Answer 4

Graden av säkerhet i alla informationssystem bestäms i slutändan av människors handlande.
Det gäller även säkerheten för informationssystemets hård- och mjukvarukomponenter – dess datoriserade delar.

Question 5

Institutioner begränsar beteende genom att definiera:

Answer 5

Legala, moraliska och kulturella gränser som skiljer mellan vad som är acceptabelt och icke-acceptabelt beteende.

Question 6

Vilka är Scotts tre pelare?

Answer 6

Regulativa, normativa och kulturella-kognitiva

Question 7

Regulativa institutioner (huvuddragen):

Answer 7

􏰀 Handlar om: Formella lagar och regler
􏰀 Syns som: Regler, lagar, sanktioner (straff)
􏰀 Hur krävs efterlevnad: Tvång, Juridiskt sanktionerade
􏰀 Exempel inom informationssäkerhet: GDPR, informationssäkerhetsregler i ett företag

􏰀 Regler måste tolkas. Dispyter måste lösas. Incitament (”morötter”) och sanktioner (”piskor”) måste utformas och kommer att ha oväntade effekter. Övervakningsmekanismer krävs men kostar pengar och kommer ibland att fallera. Att följa regeln är endast ett av flera tänkbara svar av de som utsätts för den. (Scott)

Question 8

Normativa institutioner (huvuddragen):

Answer 8

􏰀 Handlar om: Bindande förväntningar (värderingar, normer)
􏰀 Syns som: Certifiering, ackreditering, roller
􏰀 Hur krävs efterlevnad: Moraliskt styrda
􏰀 Exempel inom informationssäkerhet: Roller inom informationssäkerhet i ett företag – förväntningar på beteende utifrån roller.

En aktör frågar sig inte ”hur ska jag agera så att jag själv får det bra” utan frågar sig istället ”Vad är det förväntade och accepterade beteendet jag bör visa”

Question 9

Kulturella kognitiva institutioner (huvuddragen):

Answer 9

􏰀 Handlar om: Delade uppfattningar (”filterbubblor”) 􏰀 Syns som: Gemensamma värderingar, handlingar
􏰀 Hur krävs efterlevnad: ”Kulturellt” understödda
􏰀 Exempel inom informationssäkerhet: Hur man faktiskt beter sig vid sidan om regler, säkerhetskultur.

Question 10

Hur skapas och upprätthålls en institution?

Answer 10

1) Institutionen kodas in i aktören genom en socialiseringsprocess
2) När institutionen är ”internaliserad” omvandlas den till ett ”skript” (handlingsmönster)
3) När aktören agerar i enlighet med handlingsmönstret etableras institutionen
4) Andra aktörer kan se handlingsmönstret och tar upp samma mönster
5) Efter en tid ses handlingsmönstret som ”självklart”

Question 11

Hur överförs institutioner? Hur ”bärs” dom?

Answer 11

􏰀 Symboliska system: Regler, lagar, värderingar, förväntningar, etc.
􏰀 Relationssystem: Styrsystem, identiteter, etc. 􏰀 Rutiner: Protokoll, lojalitet, rollbeskrivningar,
riktlinjer, etc.
􏰀 Artifakter (saker): Saker som lever upp till konventioner, symboliska sake

Question 12

En typisk institutionell bärare inom infosäk är?

Answer 12

Standarden ISO/IEC 27001 och 27002 som berättar
hur man kan styra sin informationssäkerhet

Informationssäkerhetspolicyer i organisationer

nformella rutiner som styr hur man får agera

Question 13

Det är vanligt att avancerade ledningssystem införs för att sen inte följas! Institutionell teori säger att:

Answer 13

Det Kan vara rationellt att inte följa reglerna

Det Kan vara så att institutioner säger att en policy eller ett ledningssystem ska vara utformat på ett visst sätt för att vara legitimt

Det är inte säkert att det sättet passar organisationen.

Question 14

Mekanismer inom säkerhetsstrukturer kan vara:

Answer 14

􏰀 Tvingande mekanismer: ! Lagkrav
! Kundkrav ! Ägarkrav
􏰀 Mimetiska (härma) mekanismer: ! Följ ledande konkurrent
􏰀 Normativa mekanismer:
! Konsulter (copy-and-paste policyer)
! Personcertifieringar som ger liknande synsätt

Question 15

Vad kan institutionell teori göra för oss?

Answer 15

Förstå och förklara skillnaden mellan formella regler och faktiskt beteende
Förstå och förklara varför vissa aktörer har avancerade regler som inte efterlevs
Förstå, förklara och försöka styra / påverka beteende så att det blir ”säkrare”.
På detta sätt kan vi bygga säkrare informationssystem och företag, mer kostnadseffektivt.