F5+litteratur

Question 1

Vad avgör informationssäkerheten för ett
informationssystem / IT-system?

Answer 1

□ Svar: Mänskligt beteende – i huvudsak
□ Motiv:
 Utveckling av säker kod – mänskligt
beteende
 Driftsättning – mänskligt beteende
 Förvaltning – mänskligt beteende
 Användning – mänskligt beteende

Question 2

Hur kan vi försöka påverka och styra
beteendet så att det blir bra för
informationssäkerheten.

Answer 2

□ Analysera och förstå mänskligt beteende
□ Förklara vad som styr mänskligt beteende

Question 3

”Institution” – vad är det?

Answer 3

□ Definition: ”Institutioner är strukturer baserade på mer eller mindre för givet tagna, formella eller informella, regler vilka begränsar och kontrollerar (eller stöder) socialt beteende”. (Johansson)
□ Exempel: Hålla upp dörren för den som kommer efteråt, att stå i kö, applåder efter en konsert.
□ Begrepp: Socialt beteende, formell/informell, regler, strukturer

Question 4

Styr institutioner allt mänskligt beteende?

Answer 4

□ Nej! Men en hel del av hur man väljer att agera i en organisation.

Question 5

Fråga: Vad mer styr hur vi beter oss?

Answer 5

Maslows behovshierarki från de mest grundläggande behoven till de mer avancerade:

Fysiologiska behov: Dessa är grundläggande behov för överlevnad, såsom mat, vatten, sömn och andning.

Trygghetsbehov: Detta inkluderar behov av säkerhet och skydd, såsom fysisk säkerhet, hälsa och stabilitet i livet.

Sociala behov: Behov av kärlek, tillhörighet och sociala relationer, inklusive vänskap, familj och intimitet.

Behov av uppskattning: Behov av självkänsla, erkännande, status och respekt från andra.

Självförverkligande behov: Behovet av att uppnå sin fulla potential och att bli den man verkligen vill vara. Detta kan inkludera kreativitet, personlig utveckling och att sträva efter mål

Question 6

institutionell teori VS systemteori

Answer 6

• Institutionell teori fungerar bara som analysverktyg där det finns mänskligt beteende.
• Det står i kontrast till systemteori som kan
  användas för analys av ”vad som helst”.

Question 7

analysnivåer inom institutionell teori

Answer 7

□ Individ
□ Organisationsenhet – ex avdelning
□ Organisation – ex företag el myndighet
□ Bransch – ex telekombranschen
□ Land – ex Sverige
□ Kontinent – ex Europa

Question 8

Bakomliggande antagande institutionell teori

Answer 8

Graden av säkerhet i alla informationssystem bestäms i slutändan av människors handlande.
Det gäller även säkerheten för informationssystemets hård- och mjukvarukomponenter – dess datoriserade
delar.

Question 9

Institutioner medför begränsningar genom att definiera

Answer 9

• legala,
• moraliska och
• kulturella gränser,
  som skiljer mellan accepterat och icke-accepterat
  beteende.

Question 10

Scotts ”Tre Pelare för Institutioner”

Answer 10

□ Regulativa institutioner
□ Normativa institutioner
□ Kulturella-kognitiva institutioner

Question 11

Scotts definition:

Answer 11

”Institutioner består av regulativa, normativa
och kulturella-kognitiva delar vilka, tillsammans med tillhörande aktiviteter och resurser, skänker stabilitet och mening åt socialt liv”.

Question 12

Regulativa institutioner

Answer 12

Handlar om: Formella lagar och regler
□ Syns som: Regler, lagar, sanktioner (straff)
□ Hur krävs efterlevnad: Tvång, Juridiskt
sanktionerade
□ Exempel inom informationssäkerhet: GDPR,
Cybersäkerhetslagen i Sverige.

Question 13

Normativa institutioner 1/2

Answer 13

Handlar om: Bindande förväntningar (värderingar, normer)
□ Syns som: Certifiering, ackreditering, roller
□ Hur krävs efterlevnad: Moraliskt styrda
□ Exempel inom informationssäkerhet: Roller inom informationssäkerhet i ett företag – förväntningar på beteende utifrån roller.

Question 14

Normativa institutioner 2/2

Answer 14

□ En aktör utsatt för en ”norm”
□ Frågar sig inte: Hur ska jag agera så att jag själv får det
så bra som möjligt?, utan
□ Frågar sig: I den här situationer, och med den roll jag har,
vad är det förväntade och accepterade beteendet jag bör
uppvisa?
□ Det handlar alltså om att leva upp till oskrivna regler och
förväntningar.

Question 15

Kulturella-kognitiva institutioner

Answer 15

Handlar om: Delade uppfattningar (”filterbubblor”)
□ Syns som: Gemensamma värderingar, handlingar
□ Hur krävs efterlevnad: ”Kulturellt” understödda
□ Exempel inom informationssäkerhet: Hur man faktiskt beter sig vid sidan om regler, säkerhetskultur

Question 16

Hur skapas och upprätthålls en institution?

Answer 16

□ 1) Institutionen kodas in i aktören genom en
socialiseringsprocess
□ 2) När institutionen är ”internaliserad” omvandlas den till ett ”skript” (handlingsmönster)
□ 3) När aktören agerar i enlighet med handlingsmönstret etableras institutionen
□ 4) Andra aktörer kan se handlingsmönstret och tar upp samma mönster
□ 5) Efter en tid ses handlingsmönstret som ”självklart”

Question 17

Hur överförs institutioner? (bärare)

Answer 17

□ Symboliska system: Regler, lagar, värderingar,
förväntningar, etc.
□ Relationssystem: Styrsystem, identiteter, etc.
□ Rutiner: Protokoll, lojalitet, rollbeskrivningar,
riktlinjer, etc.
□ Artifakter (saker): Saker som lever upp till
konventioner, symboliska saker, etc.
□ När institutionen är i kraft är det svårt att inse att ens handlingsmönster styrs av en institution
□ Att agera som institutionen ”föreskriver” ses som rationellt av dem som delar den.

Question 18

Institutionella bärare inom infosäk

Answer 18

□ Exempel
 Standarden ISO/IEC 27001 och 27002 som
berättar hur man kan styra sin
informationssäkerhet
 Informationssäkerhetspolicyer i
organisationer
 Informella rutiner som styr hur man får
agera

Question 19

formella säkerhetsstrukturer

Answer 19

□Tvingande mekanismer:
 Lagkrav
 Kundkrav
 Ägarkrav
□ Mimetiska (härma) mekanismer:
 Följ ledande konkurrent
□ Normativa mekanismer:
 Konsulter (copy-and-paste policyer)
 Personcertifieringar som ger liknande
synsätt

Question 20

Institutionell teori om formella säkerhetsstrukturer

Answer 20

säger:
 Kan vara rationellt att inte följa reglerna
 Kan vara så att institutioner säger att en policy eller ett
ledningssystem ska vara utformat på ett visst sätt för att vara
legitimt
 Det är inte säkert att det sättet passar organisationen.

Question 21

Vad kan institutionell teori göra för oss?

Answer 21

□ Förstå och förklara skillnaden mellan formella regler och faktiskt beteende
□ Förstå och förklara varför vissa aktörer har avancerade regler som inte efterlevs
□ Förstå, förklara och försöka styra / påverka beteende så att det blir ”säkrare”.
□ På detta sätt kan vi bygga säkrare informationssystem och företag, mer kostnadseffektivt.

Question 22

Artikel kopplad till föreläsning 5

Answer 22

“Institutional Theory and IS/IT Security Management” (2004) av min broder fredrik blix

Question 23

Vad säger artikeln?

Answer 23

• Institutionell teori kan ge förklaringar till skillnaden mellan formella säkerhetspolicies och faktiskt beteende, samt identifiera mekanismer (institutionella bärare) som styr säkerhetsbeteende.
• Författarna föreslår att framtida forskning inom IS/IT-säkerhet bör använda institutionell teori för att utveckla mer kostnadseffektiva och realistiska säkerhetsstrategier.

Question 24

Isomorfism förklarar varför organisationer antar liknande säkerhetsstrukturer på grund av:

Answer 24

• Krävande (coercive) mekanismer: t.ex. lagkrav, kundkrav.
• Mimetiska mekanismer: kopiering av konkurrenter för att efterlikna deras framgång.
• Normativa mekanismer: påverkan av konsulter och säkerhetscertifierade personer.

Question 25

Vilken standard för informationssäkerhet nämns som en “institutionell bärare”?

Answer 25

ISO/IEC 27001 och 27002 (internationell standard för informationssäkerhetsstyrning).

Question 26

Vilken teori används inte ofta i IS/IT-säkerhetsforskning enligt artikeln?

Answer 26

Få teorier om socialt beteende används, trots att IS/IT-säkerhet i hög grad påverkas av mänskliga handlingar.

Question 27

Vad kallar artikeln ibland säkerhetsdokument som inte implementeras?

Answer 27

“Paper tigers”, eftersom de ofta skapas men sällan används i praktiken.

Question 28

Vilka två faktorer säger artikeln påverkar säkerheten i ett informationssystem?

Answer 28

Tekniska system och mänskligt beteende.

Question 29

Vilka forskare nämns som viktiga inom institutionell teori?

Answer 29

Paul DiMaggio och Walter Powell, särskilt för deras arbete med isomorfism.