Sikkerhetskultur i en digital tidsalder

Abstract

Der nyere forskning har blitt gjennomført med det formål å oppdage underliggende nøkkelprinsipper ved vellykket digital transformasjon, eksisterer det relativt lite forskning på hvordan digital transformasjon og informasjonssikkerhet opptrer sammen i organisasjonsmiljøet. Målet med denne kvalitative studien er å undersøke hvordan ulike organisatoriske tilnærminger til informasjonssikkerhet påvirker det sosio-tekniske aspektet av informasjonssikkerhet i digitale virksomheter, og omvendt. Tre informasjonssikkerhetsrepresentanter fra større teknologiske virksomheter, som alle har gjennomgått digitale transformasjonsprosesser, ble inkludert i analysen.

Resultatene, i samsvar med relevante teorier, viste at bedrifter som har kommet langt med digital transformasjon og holder dette som en viktig forutsetning for forretningsdrift, dyrker en kulturell tilnærming til informasjonssikkerhet. Disse bedriftene ble vurdert til å være mer organisatorisk tilpasningsdyktige, så vel som mer mottakelige for en åpen og læringsorientert kultur. Som en polarisering til dette var virksomhetene som hadde en teknisk tilnærming til informasjonssikkerhet i langt større grad tilbøyelig til å utøve autoritær ledelse og en defensiv orientert kultur. Til tross for dette spekteret og åpenbaring av sammenheng mellom tilnærminger, kultur og lederskap, konkluderes studien med at organisasjonsidentitet og historie spiller en viktig rolle i det å utvikle en robust sikkerhetskultur. Det ble derfor funnet at det er de kontekstuelle premissene som et selskap opererer i som spiller avgjørende rolle i hvordan organisasjoner påvirkes av ulike tilnærminger til informasjonssikkerhet.

While newer research has been conducted with the intent of discovering the key principles underlying successful digital transformation, little research exists on how digital transformation and information security act together in the organizational environment. The aim of this qualitative study was to explore how different organizational approaches to information security affect the social-technical aspect of information security in digital businesses, and vice versa. Three information security representatives from large-scale technological businesses, all having gone through digital transformation processes, were included in the analysis.

The findings, in coherence with relevant theories, revealed that businesses that have come far with digital transformation and holds this as a key business premise inhabited a cultural approach to information security. These businesses were found to be more adaptive, as well as more susceptible to an open-minded and learning oriented culture. As a polarization to this, the businesses that had a technical approach to information security were to a much larger extent prone to exercise authoritarian management and a defensive oriented culture. In spite of this spectrum and revelation of coherence between approaches, culture and leadership, the study in conclusion found that organizational identity and history plays a vital role in regards of developing a robust security culture. It was therefore found that it is the contextual setting in which a company operates that determines how the organization is affected by different approaches to information security.