Utbildningsinsatsers effekt på informationssäkerhets-kultur
Kort beskrivning
Projektet Informationssäkerhetskultur i praktiken leds från Totalförsvarets forskningsinstitut (FOI) och har som syfte att belysa hur informationssäkerhetskulturen i organisationer kan mätas och förbättras. Projektet har en total budget på 15 MKR och genomförs av forskare på FOI, Göteborgs universitet och Örebro universitet. Delprojektet Utbildningsinsatsers effekt på informationssäkerhetskultur, som är ett av fem delprojekt, leds från Psykologiska Institutionen på Göteborgs universitet och handlar om att testa i vilken utsträckning det går att förbättra organisationers informationssäkerhetskultur. Det prövades om chefshandledning till chefer kombinerat med utbildning av medarbetare ledde till förbättrad informationssäkerhetskultur i form av informationssäkerhetsledarskap hos cheferna och informationssäkerhetsbeteenden hos medarbetare.
Bakgrund
Säkerhetsrelaterade beteenden hos individer kan utgöra en risk för deras organisationers informationssäkerhet. Tvärsnittsstudier visar på höga korrelationer mellan chefers ledarbeteenden och medarbetares informationssäkerhetsbeteenden. Dock saknas det forskning om hur chefer kan tränas i informationssäkerhetsledarskap. Longitudinella randomiserade kontrollerade studier inom informationssäkerhet är viktiga eftersom de kan främja vår förståelse för hur organisationers informationssäkerhetskultur kan förbättras. Erfarenhet från närliggande områden såsom arbetssäkerhet indikerar att ledarträning som baseras på topografisk och funktionell beteendeanalys kan förbättra chefers säkerhetsledarskap. Ledarträning utifrån beteendeanalys handlar om att identifiera och hantera beteendeöverskott och beteendeunderskott samt de operanta inlärningsprocesser som upprätthåller dessa över- och underskott. Beteendeanalysen kan sedan ligga till grund för målformulering, beteendeträning med beteendespecifik återkoppling, hemuppgifter och vidmakthållandeplan. Inlärningsmekanismen i beteende-baserad ledarträning tros utgöras av instrumentell och social förstärkning som gradvis utvecklar och vidmakthåller chefers kontextuellt funktionella beteenden.
Syfte
Syftet med projektet var att undersöka i vilken utsträckning det går att förbättra informationssäkerhetskulturen i arbetsgrupper genom att kombinera chefshandledning till chefer med utbildning av medarbetare.
Metod
För projektet utvecklade forskarna utbildningsprogrammet Training for Improved Information Security Culture (TIISC) som designades för att utveckla medarbetares och chefers säkerhetsrelaterade beteenden. TIISC består av informationssäkerhetsutbildning för medarbetare och KBT-baserad chefshandledning för chefer. Effekterna av TIISC på säkerhetsrelaterade beteenden hos medarbetare och chefer utvärderades i en longitudinell randomiserad kontrollerad studie. Data om medarbetare och chefers säkerhetsrelaterade beteenden samlades in under en 16-månadersperiod genom upprepade enkät-mätningar till medarbetare och kontinuerlig mätning av medarbetares mottaglighet för nätfiskemejl.
Resultat
Resultaten visar att utbildningsprogrammet hade en signifikant positiv effekt på de flesta typer av säkerhetsrelaterade beteenden hos chefer, men på endast en typ av säkerhetsrelaterade beteenden hos medarbetare. Utbildningsprogram som inkluderar beteendeträning för chefer kan åstadkomma viktiga förbättringar i organisationers informationssäkerhetskultur, främst genom att förändra chefers säkerhetsrelaterade beteenden med hjälp av beteendeanalys, målformulering, beteendeträning med beteendespecifik återkoppling, hemuppgifter och vidmakthållandeplan.
Forskare
Projektledare
Martin Grill, docent vid Psykologiska institutionen
Externa deltagare
Teodor Sommestad, forskare vid FOI
Henrik Karlzén, forskare vid FOI
