Recension: Informationssäkerhet och organisationskultur (SECURIT)
Forskningsprojektet SECURIT har under de senaste åren samlat svenska forskare från flera svenska högskolor och universitet kring gemensamma teman på ämnet informationssäkerhet och organisationskultur. Boken Informationssäkerhet och organisationskultur, utgiven vid Studentlitteratur i september 2017 är en populärvetenskaplig framställning av resultaten. Dataskydd.net:s ordförande Amelia Andersdotter har läst boken.
Informationssäkerhet för med sig många utmaningar för samhället. Dels finns inneboende intressekonflikter mellan medborgare och stat, företag och stat, och stater och företag. Dels finns kostnadsfrågor och avvägningar mellan snabbhet och följsamhet med processer. Bokens tolv studier går förtjänstfullt igenom olika aspekter av dessa intressekonflikter och hur de påverkar individuell informationssäkerhet (personlig integritet och dataskydd), och institutionell informationssäkerhet (följsamhet med processer i offentlig sektor och företag).
Artiklarna har använt huvudsakligen tre metodologier: enkätundersökningar, intervjuer och metaanalyser. Som en av metaanalyserna påtalar, kan enkätundersökningar vara vanskliga då de bygger på besvararnas självskattning. När tjänstemän i en byråkratisk organisation uppfattar att de är bättre på att följa informationssäkerhetspolicies, betyder det att de har en högre nivå av informationssäkerhet, eller att de i högre utsträckning följer regler? Och motsvarande: har en marknadsorienterad organisation sämre informationssäkerhet för att de inte uppskattar sig prioritera policies, eller finns det omständigheter då informationssäkerhet är ett resultat bland andra önskvärda? En annan av metaanalyserna för fram att överdriven respekt för en policy kan få motsatt effekt på informationssäkerheten än den önskvärda, bland annat för att organisationen inte kan lära sig.
Bokens sista kapitel handlar om definitionen av informationssäkerhet från ett filosofiskt och logiskt perspektiv, och borde egentligen ha presenterats tidigare. Den föreslår en definition på informationssäkerhet som tar olika intressenters behov och intressen i beaktande. Målkonflikter mellan tjänstemän, organisationer, företag, konsumenter och privatpersoner går igen i de flesta av bokens kapitel, utan att artikelförfattarna reflekterar över vad det är för något de egentligen mätt eller studerat.
Den etnografiska studien i kapitel 12 går förtjänstfullt igenom gapet mellan små aktörers intressen och stora aktörers intressen, även det ett tema som tas upp i flera artiklar i bokens första del. Och kapitlet om improviserade IT-lösningar under krishantering väcker många relevanta tankar om vilka sorters infrastrukturer vi önskar att offentliga organ kunde tillhandahålla, vilka de får tillhandahålla i enlighet med gällande informationssäkerhetsregler och när det skapar problem.
Ur ett dataskyddsperspektiv är behandlingen av eHälsomyndighetens integritetsarbete intressant. Studien menar att regeringskansliet har dumpat frågorna på eHälsomyndigheten, utan att ha givit eHälsomyndigheten i uppdrag att utreda frågan. Genom att först avfärda integritet som en teknisk fråga, och frånse organisatoriska effekter på möjligheten att realisera både informationssäkerhet och integritet, har regeringskansliet försatt projektet Hälsa för mig i sitsen att problem främst introduceras i ett sent skede av projektet, genom läkare och patienter.
Boken är kanske inte så populärvetenskaplig som forskarna alltid har tänkt sig. Chi-kvadratanalyserna i behandlingen av enkätsvar har inte ett så uppenbart syfte som man skulle önska sig, och det är inte alltid klart vad man faktiskt försökt mäta. De artiklar som förlitar sig på intervjumetoder, etnografi och filosofi är i sådana fall lättare att ta till sig. Bland metaanalyserna är det i stället källorna som är intressanta: FOI har i hög grad förlitat sig på föregående studier inom försvarsorienterad informationssäkerhet, medan organisationsvetarna har förlitat sig på studier från civila kontexter och ur ett organisatoriskt perspektiv. Ingen av metaanalyserna förlitar sig på statliga utredningar eller myndighetsrapporter, inte heller från presumtiva expertgrupper så som Justitiedepartementets krisenhet eller MSB.
Som helhet är dock boken läsvärd, inte minst för de många individer som följt utvecklingen av flera medialt uppmärksammade IT-upphandlingar på myndigheter under sommaren. Ska man utgå från bokens resultat är det en lång väg kvar att gå för både regeringskansliet och statliga verksamheter med ansvar för informationssäkerhet innan de närmar sig framkanten av forskningen.
Läs mer:
Studentlitteratur, Informationssäkerhet och organisationskultur (345 kronor):