F5+litteratur Flashcards

1
Q

Vad avgör informationssäkerheten för ett
informationssystem / IT-system?

A

□ Svar: Mänskligt beteende – i huvudsak
□ Motiv:
 Utveckling av säker kod – mänskligt
beteende
 Driftsättning – mänskligt beteende
 Förvaltning – mänskligt beteende
 Användning – mänskligt beteende

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Hur kan vi försöka påverka och styra
beteendet så att det blir bra för
informationssäkerheten.

A

□ Analysera och förstå mänskligt beteende
□ Förklara vad som styr mänskligt beteende

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

”Institution” – vad är det?

A

□ Definition: ”Institutioner är strukturer baserade på mer eller mindre för givet tagna, formella eller informella, regler vilka begränsar och kontrollerar (eller stöder) socialt beteende”. (Johansson)
□ Exempel: Hålla upp dörren för den som kommer efteråt, att stå i kö, applåder efter en konsert.
□ Begrepp: Socialt beteende, formell/informell, regler, strukturer

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Styr institutioner allt mänskligt beteende?

A

□ Nej! Men en hel del av hur man väljer att agera i en organisation.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Fråga: Vad mer styr hur vi beter oss?

A

Maslows behovshierarki från de mest grundläggande behoven till de mer avancerade:

Fysiologiska behov: Dessa är grundläggande behov för överlevnad, såsom mat, vatten, sömn och andning.

Trygghetsbehov: Detta inkluderar behov av säkerhet och skydd, såsom fysisk säkerhet, hälsa och stabilitet i livet.

Sociala behov: Behov av kärlek, tillhörighet och sociala relationer, inklusive vänskap, familj och intimitet.

Behov av uppskattning: Behov av självkänsla, erkännande, status och respekt från andra.

Självförverkligande behov: Behovet av att uppnå sin fulla potential och att bli den man verkligen vill vara. Detta kan inkludera kreativitet, personlig utveckling och att sträva efter mål

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

institutionell teori VS systemteori

A
  • Institutionell teori fungerar bara som analysverktyg där det finns mänskligt beteende.
  • Det står i kontrast till systemteori som kan
    användas för analys av ”vad som helst”.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

analysnivåer inom institutionell teori

A

□ Individ
□ Organisationsenhet – ex avdelning
□ Organisation – ex företag el myndighet
□ Bransch – ex telekombranschen
□ Land – ex Sverige
□ Kontinent – ex Europa

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Bakomliggande antagande institutionell teori

A

Graden av säkerhet i alla informationssystem bestäms i slutändan av människors handlande.
Det gäller även säkerheten för informationssystemets hård- och mjukvarukomponenter – dess datoriserade
delar.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Institutioner medför begränsningar genom att definiera

A
  • legala,
  • moraliska och
  • kulturella gränser,
    som skiljer mellan accepterat och icke-accepterat
    beteende.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Scotts ”Tre Pelare för Institutioner”

A

□ Regulativa institutioner
□ Normativa institutioner
□ Kulturella-kognitiva institutioner

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Scotts definition:

A

”Institutioner består av regulativa, normativa
och kulturella-kognitiva delar vilka, tillsammans med tillhörande aktiviteter och resurser, skänker stabilitet och mening åt socialt liv”.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

Regulativa institutioner

A

Handlar om: Formella lagar och regler
□ Syns som: Regler, lagar, sanktioner (straff)
□ Hur krävs efterlevnad: Tvång, Juridiskt
sanktionerade
□ Exempel inom informationssäkerhet: GDPR,
Cybersäkerhetslagen i Sverige.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

Normativa institutioner 1/2

A

Handlar om: Bindande förväntningar (värderingar, normer)
□ Syns som: Certifiering, ackreditering, roller
□ Hur krävs efterlevnad: Moraliskt styrda
□ Exempel inom informationssäkerhet: Roller inom informationssäkerhet i ett företag – förväntningar på beteende utifrån roller.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Normativa institutioner 2/2

A

□ En aktör utsatt för en ”norm”
□ Frågar sig inte: Hur ska jag agera så att jag själv får det
så bra som möjligt?, utan
□ Frågar sig: I den här situationer, och med den roll jag har,
vad är det förväntade och accepterade beteendet jag bör
uppvisa?
□ Det handlar alltså om att leva upp till oskrivna regler och
förväntningar.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

Kulturella-kognitiva institutioner

A

Handlar om: Delade uppfattningar (”filterbubblor”)
□ Syns som: Gemensamma värderingar, handlingar
□ Hur krävs efterlevnad: ”Kulturellt” understödda
□ Exempel inom informationssäkerhet: Hur man faktiskt beter sig vid sidan om regler, säkerhetskultur

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

Hur skapas och upprätthålls en institution?

A

□ 1) Institutionen kodas in i aktören genom en
socialiseringsprocess
□ 2) När institutionen är ”internaliserad” omvandlas den till ett ”skript” (handlingsmönster)
□ 3) När aktören agerar i enlighet med handlingsmönstret etableras institutionen
□ 4) Andra aktörer kan se handlingsmönstret och tar upp samma mönster
□ 5) Efter en tid ses handlingsmönstret som ”självklart”

17
Q

Hur överförs institutioner? (bärare)

A

□ Symboliska system: Regler, lagar, värderingar,
förväntningar, etc.
□ Relationssystem: Styrsystem, identiteter, etc.
□ Rutiner: Protokoll, lojalitet, rollbeskrivningar,
riktlinjer, etc.
□ Artifakter (saker): Saker som lever upp till
konventioner, symboliska saker, etc.
□ När institutionen är i kraft är det svårt att inse att ens handlingsmönster styrs av en institution
□ Att agera som institutionen ”föreskriver” ses som rationellt av dem som delar den.

18
Q

Institutionella bärare inom infosäk

A

□ Exempel
 Standarden ISO/IEC 27001 och 27002 som
berättar hur man kan styra sin
informationssäkerhet
 Informationssäkerhetspolicyer i
organisationer
 Informella rutiner som styr hur man får
agera

19
Q

formella säkerhetsstrukturer

A

□Tvingande mekanismer:
 Lagkrav
 Kundkrav
 Ägarkrav
□ Mimetiska (härma) mekanismer:
 Följ ledande konkurrent
□ Normativa mekanismer:
 Konsulter (copy-and-paste policyer)
 Personcertifieringar som ger liknande
synsätt

20
Q

Institutionell teori om formella säkerhetsstrukturer

A

säger:
 Kan vara rationellt att inte följa reglerna
 Kan vara så att institutioner säger att en policy eller ett
ledningssystem ska vara utformat på ett visst sätt för att vara
legitimt
 Det är inte säkert att det sättet passar organisationen.

21
Q

Vad kan institutionell teori göra för oss?

A

□ Förstå och förklara skillnaden mellan formella regler och faktiskt beteende
□ Förstå och förklara varför vissa aktörer har avancerade regler som inte efterlevs
□ Förstå, förklara och försöka styra / påverka beteende så att det blir ”säkrare”.
□ På detta sätt kan vi bygga säkrare informationssystem och företag, mer kostnadseffektivt.

22
Q

Artikel kopplad till föreläsning 5

A

“Institutional Theory and IS/IT Security Management” (2004) av min broder fredrik blix

23
Q

Vad säger artikeln?

A
  • Institutionell teori kan ge förklaringar till skillnaden mellan formella säkerhetspolicies och faktiskt beteende, samt identifiera mekanismer (institutionella bärare) som styr säkerhetsbeteende.
  • Författarna föreslår att framtida forskning inom IS/IT-säkerhet bör använda institutionell teori för att utveckla mer kostnadseffektiva och realistiska säkerhetsstrategier.
24
Q

Isomorfism förklarar varför organisationer antar liknande säkerhetsstrukturer på grund av:

A
  • Krävande (coercive) mekanismer: t.ex. lagkrav, kundkrav.
  • Mimetiska mekanismer: kopiering av konkurrenter för att efterlikna deras framgång.
  • Normativa mekanismer: påverkan av konsulter och säkerhetscertifierade personer.
25
Q

Vilken standard för informationssäkerhet nämns som en “institutionell bärare”?

A

ISO/IEC 27001 och 27002 (internationell standard för informationssäkerhetsstyrning).

26
Q

Vilken teori används inte ofta i IS/IT-säkerhetsforskning enligt artikeln?

A

Få teorier om socialt beteende används, trots att IS/IT-säkerhet i hög grad påverkas av mänskliga handlingar.

27
Q

Vad kallar artikeln ibland säkerhetsdokument som inte implementeras?

A

“Paper tigers”, eftersom de ofta skapas men sällan används i praktiken.

28
Q

Vilka två faktorer säger artikeln påverkar säkerheten i ett informationssystem?

A

Tekniska system och mänskligt beteende.

29
Q

Vilka forskare nämns som viktiga inom institutionell teori?

A

Paul DiMaggio och Walter Powell, särskilt för deras arbete med isomorfism.