Är anställda mest rädda för att förlora jobbet om de klickar på en konstig länk på jobbmejlen – eller är de rädda för att andra kan komma till skada? Att veta svaret kan minska bedrägerier och hackerattacker mot svenska arbetsplatser, enligt forskning vid Örebro universitet.
Forskning har visat att medarbetarnas beteende är en av de största orsakerna till att exempelvis hackerattacker lyckas slå ut datasystem. Men det är svårt för medarbetare att följa regler som inte är anpassade till arbetet.
Det säger Marcus Gerdin, forskare i informationssäkerhet vid Örebro universitet. Hans forskning handlar om att förstå varför anställda ibland väljer att inte följa riktlinjer för informationshantering och datasäkerhet.
– För medarbetarna krockar vardagen ibland med anvisningarna om hur man ska hantera lösenord eller e-post. I vården ska en sjuksköterska eller läkare exempelvis lägga tid på patienterna, så när informationssystemen tar tid skapas en värdekonflikt för medarbetaren, säger Marcus Gerdin.
En lite okänd ledtråd
Marcus Gerdin har i arbetet med sin doktorsavhandling intervjuat anställda i en kommun och studerat hur dessa ser på anvisningar för informationssäkerhet.
”Konsekvenser” av felsteg i säkerhetssammanhang tolkas i forskningen ofta som risken att bli av med jobbet, kostnader för organisationen och liknande. Men de svenska kommunanställda var i första hand oroliga för följder för de personer som de hade i uppdrag att hjälpa.
– De kommunanställda oroade sig inte för konsekvenserna för sitt eget jobb om de exempelvis klickade på en farlig länk, säger Marcus Gerdin.
– De tänkte snarare på konsekvenser för tredje part, alltså för brukare eller personer som är beroende av tjänsterna för att klara sig och överleva.
Pejla prioriteringar på golvet
Den här typen av tankegångar hos anställda är något som förbises i forskningen och som sällan noteras i arbetet med informationssäkerhet. Men om arbetsgivare är medvetna om detta kan de anpassa sina riktlinjer på ett sätt som ger säkrare informationshantering, menar Marcus Gerdin.
Att mycket av forskningen på området kommer från USA påverkar också förståelsen för hur anställda har det på jobbet.
– I en annan kultur kan rädslan för att bli av med jobbet vara större, och då kan det vara effektivt att formulera en policy utifrån det. Men om den rädslan är mindre än omsorgen om dem man är satt att hjälpa är det bättre att ta fasta på de anställdas motivation för att få dem att hantera bluffmejl eller inloggningar på rätt sätt, säger Marcus Gerdin.
– Det får man bara reda på om man faktiskt utgår från de anställda.
Morötter kan vara bäst
En stor fråga inom informationssäkerhet är om piska eller morot ger bäst resultat.
– Men om man använder piska och straffar felaktiga beteenden leder det till ökad kontroll på arbetsplatsen. Det kan vara dåligt av andra skäl. Kanske passar det bättre att jobba med morötter på svenska arbetsplatser.
Marcus Gerdins slutsats är att det finns brister i forskningen på området, som bygger på lånade beteendeteorier från andra forskningsfält och därför inte fullt ut förklarar varför anställda inte följer anvisningar om informationssäkerhet. Det är exempelvis vanligt att man inte mäter det man definierat som problem och att det påverkar forskningsresultaten.
Avhandling:
Good Variable Practice: Addressing inconsistencies in non-/compliance research using a sequential multi-method approach, Örebro universitet.
