F5+litteratur Flashcards
Vad avgör informationssäkerheten för ett
informationssystem / IT-system?
□ Svar: Mänskligt beteende – i huvudsak
□ Motiv:
Utveckling av säker kod – mänskligt
beteende
Driftsättning – mänskligt beteende
Förvaltning – mänskligt beteende
Användning – mänskligt beteende
Hur kan vi försöka påverka och styra
beteendet så att det blir bra för
informationssäkerheten.
□ Analysera och förstå mänskligt beteende
□ Förklara vad som styr mänskligt beteende
”Institution” – vad är det?
□ Definition: ”Institutioner är strukturer baserade på mer eller mindre för givet tagna, formella eller informella, regler vilka begränsar och kontrollerar (eller stöder) socialt beteende”. (Johansson)
□ Exempel: Hålla upp dörren för den som kommer efteråt, att stå i kö, applåder efter en konsert.
□ Begrepp: Socialt beteende, formell/informell, regler, strukturer
Styr institutioner allt mänskligt beteende?
□ Nej! Men en hel del av hur man väljer att agera i en organisation.
Fråga: Vad mer styr hur vi beter oss?
Maslows behovshierarki från de mest grundläggande behoven till de mer avancerade:
Fysiologiska behov: Dessa är grundläggande behov för överlevnad, såsom mat, vatten, sömn och andning.
Trygghetsbehov: Detta inkluderar behov av säkerhet och skydd, såsom fysisk säkerhet, hälsa och stabilitet i livet.
Sociala behov: Behov av kärlek, tillhörighet och sociala relationer, inklusive vänskap, familj och intimitet.
Behov av uppskattning: Behov av självkänsla, erkännande, status och respekt från andra.
Självförverkligande behov: Behovet av att uppnå sin fulla potential och att bli den man verkligen vill vara. Detta kan inkludera kreativitet, personlig utveckling och att sträva efter mål
institutionell teori VS systemteori
- Institutionell teori fungerar bara som analysverktyg där det finns mänskligt beteende.
- Det står i kontrast till systemteori som kan
användas för analys av ”vad som helst”.
analysnivåer inom institutionell teori
□ Individ
□ Organisationsenhet – ex avdelning
□ Organisation – ex företag el myndighet
□ Bransch – ex telekombranschen
□ Land – ex Sverige
□ Kontinent – ex Europa
Bakomliggande antagande institutionell teori
Graden av säkerhet i alla informationssystem bestäms i slutändan av människors handlande.
Det gäller även säkerheten för informationssystemets hård- och mjukvarukomponenter – dess datoriserade
delar.
Institutioner medför begränsningar genom att definiera
- legala,
- moraliska och
- kulturella gränser,
som skiljer mellan accepterat och icke-accepterat
beteende.
Scotts ”Tre Pelare för Institutioner”
□ Regulativa institutioner
□ Normativa institutioner
□ Kulturella-kognitiva institutioner
Scotts definition:
”Institutioner består av regulativa, normativa
och kulturella-kognitiva delar vilka, tillsammans med tillhörande aktiviteter och resurser, skänker stabilitet och mening åt socialt liv”.
Regulativa institutioner
Handlar om: Formella lagar och regler
□ Syns som: Regler, lagar, sanktioner (straff)
□ Hur krävs efterlevnad: Tvång, Juridiskt
sanktionerade
□ Exempel inom informationssäkerhet: GDPR,
Cybersäkerhetslagen i Sverige.
Normativa institutioner 1/2
Handlar om: Bindande förväntningar (värderingar, normer)
□ Syns som: Certifiering, ackreditering, roller
□ Hur krävs efterlevnad: Moraliskt styrda
□ Exempel inom informationssäkerhet: Roller inom informationssäkerhet i ett företag – förväntningar på beteende utifrån roller.
Normativa institutioner 2/2
□ En aktör utsatt för en ”norm”
□ Frågar sig inte: Hur ska jag agera så att jag själv får det
så bra som möjligt?, utan
□ Frågar sig: I den här situationer, och med den roll jag har,
vad är det förväntade och accepterade beteendet jag bör
uppvisa?
□ Det handlar alltså om att leva upp till oskrivna regler och
förväntningar.
Kulturella-kognitiva institutioner
Handlar om: Delade uppfattningar (”filterbubblor”)
□ Syns som: Gemensamma värderingar, handlingar
□ Hur krävs efterlevnad: ”Kulturellt” understödda
□ Exempel inom informationssäkerhet: Hur man faktiskt beter sig vid sidan om regler, säkerhetskultur
Hur skapas och upprätthålls en institution?
□ 1) Institutionen kodas in i aktören genom en
socialiseringsprocess
□ 2) När institutionen är ”internaliserad” omvandlas den till ett ”skript” (handlingsmönster)
□ 3) När aktören agerar i enlighet med handlingsmönstret etableras institutionen
□ 4) Andra aktörer kan se handlingsmönstret och tar upp samma mönster
□ 5) Efter en tid ses handlingsmönstret som ”självklart”
Hur överförs institutioner? (bärare)
□ Symboliska system: Regler, lagar, värderingar,
förväntningar, etc.
□ Relationssystem: Styrsystem, identiteter, etc.
□ Rutiner: Protokoll, lojalitet, rollbeskrivningar,
riktlinjer, etc.
□ Artifakter (saker): Saker som lever upp till
konventioner, symboliska saker, etc.
□ När institutionen är i kraft är det svårt att inse att ens handlingsmönster styrs av en institution
□ Att agera som institutionen ”föreskriver” ses som rationellt av dem som delar den.
Institutionella bärare inom infosäk
□ Exempel
Standarden ISO/IEC 27001 och 27002 som
berättar hur man kan styra sin
informationssäkerhet
Informationssäkerhetspolicyer i
organisationer
Informella rutiner som styr hur man får
agera
formella säkerhetsstrukturer
□Tvingande mekanismer:
Lagkrav
Kundkrav
Ägarkrav
□ Mimetiska (härma) mekanismer:
Följ ledande konkurrent
□ Normativa mekanismer:
Konsulter (copy-and-paste policyer)
Personcertifieringar som ger liknande
synsätt
Institutionell teori om formella säkerhetsstrukturer
säger:
Kan vara rationellt att inte följa reglerna
Kan vara så att institutioner säger att en policy eller ett
ledningssystem ska vara utformat på ett visst sätt för att vara
legitimt
Det är inte säkert att det sättet passar organisationen.
Vad kan institutionell teori göra för oss?
□ Förstå och förklara skillnaden mellan formella regler och faktiskt beteende
□ Förstå och förklara varför vissa aktörer har avancerade regler som inte efterlevs
□ Förstå, förklara och försöka styra / påverka beteende så att det blir ”säkrare”.
□ På detta sätt kan vi bygga säkrare informationssystem och företag, mer kostnadseffektivt.
Artikel kopplad till föreläsning 5
“Institutional Theory and IS/IT Security Management” (2004) av min broder fredrik blix
Vad säger artikeln?
- Institutionell teori kan ge förklaringar till skillnaden mellan formella säkerhetspolicies och faktiskt beteende, samt identifiera mekanismer (institutionella bärare) som styr säkerhetsbeteende.
- Författarna föreslår att framtida forskning inom IS/IT-säkerhet bör använda institutionell teori för att utveckla mer kostnadseffektiva och realistiska säkerhetsstrategier.
Isomorfism förklarar varför organisationer antar liknande säkerhetsstrukturer på grund av:
- Krävande (coercive) mekanismer: t.ex. lagkrav, kundkrav.
- Mimetiska mekanismer: kopiering av konkurrenter för att efterlikna deras framgång.
- Normativa mekanismer: påverkan av konsulter och säkerhetscertifierade personer.
Vilken standard för informationssäkerhet nämns som en “institutionell bärare”?
ISO/IEC 27001 och 27002 (internationell standard för informationssäkerhetsstyrning).
Vilken teori används inte ofta i IS/IT-säkerhetsforskning enligt artikeln?
Få teorier om socialt beteende används, trots att IS/IT-säkerhet i hög grad påverkas av mänskliga handlingar.
Vad kallar artikeln ibland säkerhetsdokument som inte implementeras?
“Paper tigers”, eftersom de ofta skapas men sällan används i praktiken.
Vilka två faktorer säger artikeln påverkar säkerheten i ett informationssystem?
Tekniska system och mänskligt beteende.
Vilka forskare nämns som viktiga inom institutionell teori?
Paul DiMaggio och Walter Powell, särskilt för deras arbete med isomorfism.
