F5+litteratur Flashcards
Vad avgör informationssäkerheten för ett
informationssystem / IT-system?
□ Svar: Mänskligt beteende – i huvudsak
□ Motiv:
Utveckling av säker kod – mänskligt
beteende
Driftsättning – mänskligt beteende
Förvaltning – mänskligt beteende
Användning – mänskligt beteende
Hur kan vi försöka påverka och styra
beteendet så att det blir bra för
informationssäkerheten.
□ Analysera och förstå mänskligt beteende
□ Förklara vad som styr mänskligt beteende
”Institution” – vad är det?
□ Definition: ”Institutioner är strukturer baserade på mer eller mindre för givet tagna, formella eller informella, regler vilka begränsar och kontrollerar (eller stöder) socialt beteende”. (Johansson)
□ Exempel: Hålla upp dörren för den som kommer efteråt, att stå i kö, applåder efter en konsert.
□ Begrepp: Socialt beteende, formell/informell, regler, strukturer
Styr institutioner allt mänskligt beteende?
□ Nej! Men en hel del av hur man väljer att agera i en organisation.
Fråga: Vad mer styr hur vi beter oss?
Maslows behovshierarki från de mest grundläggande behoven till de mer avancerade:
Fysiologiska behov: Dessa är grundläggande behov för överlevnad, såsom mat, vatten, sömn och andning.
Trygghetsbehov: Detta inkluderar behov av säkerhet och skydd, såsom fysisk säkerhet, hälsa och stabilitet i livet.
Sociala behov: Behov av kärlek, tillhörighet och sociala relationer, inklusive vänskap, familj och intimitet.
Behov av uppskattning: Behov av självkänsla, erkännande, status och respekt från andra.
Självförverkligande behov: Behovet av att uppnå sin fulla potential och att bli den man verkligen vill vara. Detta kan inkludera kreativitet, personlig utveckling och att sträva efter mål
institutionell teori VS systemteori
- Institutionell teori fungerar bara som analysverktyg där det finns mänskligt beteende.
- Det står i kontrast till systemteori som kan
användas för analys av ”vad som helst”.
analysnivåer inom institutionell teori
□ Individ
□ Organisationsenhet – ex avdelning
□ Organisation – ex företag el myndighet
□ Bransch – ex telekombranschen
□ Land – ex Sverige
□ Kontinent – ex Europa
Bakomliggande antagande institutionell teori
Graden av säkerhet i alla informationssystem bestäms i slutändan av människors handlande.
Det gäller även säkerheten för informationssystemets hård- och mjukvarukomponenter – dess datoriserade
delar.
Institutioner medför begränsningar genom att definiera
- legala,
- moraliska och
- kulturella gränser,
som skiljer mellan accepterat och icke-accepterat
beteende.
Scotts ”Tre Pelare för Institutioner”
□ Regulativa institutioner
□ Normativa institutioner
□ Kulturella-kognitiva institutioner
Scotts definition:
”Institutioner består av regulativa, normativa
och kulturella-kognitiva delar vilka, tillsammans med tillhörande aktiviteter och resurser, skänker stabilitet och mening åt socialt liv”.
Regulativa institutioner
Handlar om: Formella lagar och regler
□ Syns som: Regler, lagar, sanktioner (straff)
□ Hur krävs efterlevnad: Tvång, Juridiskt
sanktionerade
□ Exempel inom informationssäkerhet: GDPR,
Cybersäkerhetslagen i Sverige.
Normativa institutioner 1/2
Handlar om: Bindande förväntningar (värderingar, normer)
□ Syns som: Certifiering, ackreditering, roller
□ Hur krävs efterlevnad: Moraliskt styrda
□ Exempel inom informationssäkerhet: Roller inom informationssäkerhet i ett företag – förväntningar på beteende utifrån roller.
Normativa institutioner 2/2
□ En aktör utsatt för en ”norm”
□ Frågar sig inte: Hur ska jag agera så att jag själv får det
så bra som möjligt?, utan
□ Frågar sig: I den här situationer, och med den roll jag har,
vad är det förväntade och accepterade beteendet jag bör
uppvisa?
□ Det handlar alltså om att leva upp till oskrivna regler och
förväntningar.
Kulturella-kognitiva institutioner
Handlar om: Delade uppfattningar (”filterbubblor”)
□ Syns som: Gemensamma värderingar, handlingar
□ Hur krävs efterlevnad: ”Kulturellt” understödda
□ Exempel inom informationssäkerhet: Hur man faktiskt beter sig vid sidan om regler, säkerhetskultur