Informasjonssikkerhetskultur i banksektoren: En kvalitativ studie av ansatte og lederes holdninger og erfaringer med sikkerhet i en norsk bank

Abstract

Informasjonssikkerhet er blitt en stadig økende utfordring for både samfunn og virksomheter, og har som konsekvens fått større vektlegging på nasjonalt og internasjonalt nivå. Tradisjonelt sett har fokuset vært på de tekniske aspektene, noe som har betydd at det menneskelige aspektet av informasjonssikkerhet ofte har blitt oversett. Selv om dette aspektet har fått økt oppmerksomhet i nyere tid gjennom vektlegging av menneskelige faktorer og sikkerhetskulturer, har likevel dette etterslepet på kunnskap medført et større behov for mer praktisk kompetanse og forskning på området. Formålet med denne oppgaven har derfor vært å utforske sikkerhetskultur gjennom å studere ansatte ulike avdelinger i en norsk bank.

Masteroppgaven gir derfor innsikt i ulike ansatte og mellomlederes forståelse av sikkerhet i sine avdelinger og organisasjonen som helhet. Samt hvordan sikkerhetsansvarlige oppfatter ulike utfordring med bevisstgjøring og opplæring av de ansattes sikkerhetskompetanse. Oppgaven undersøker sikkerhetskulturen med et utgangspunkt i et teoretisk rammeverk for å se på organisatoriske, sosiologiske og tekniske faktorer som innspiller på sikkerhetskulturen. Samt trekkes det også inn hvordan risikoforståelse står sentralt for sikkerheten. Oppgaven er en kvalitativ studie og semi-strukturerte intervjuer utgjør primærdataene som ble bearbeidet gjennom en tematisk analyse.

Fra funnene tyder det på at de ansatte og ledere har en god holdning til sikkerhet, men likevel hadde banken enkelte utfordringer når det kom til rolleansvar, øke bevissthet gjennom de interne kommunikasjonskanalene og bidra til praktisk erfaring gjennom opplæringen. Funnene tydet på at noe av dette kunne skyldes kompleksiteten i organisasjonen, og mangel på ressurser fra sikkerhetsmiljøet til å være involvert på forretningssiden i den graden de ønsket. Oppgaven påpeker derfor på at fraværet av nærhet mellom disse miljøene virket å ha en negativ effekt på ansatte og lederes oppfatning av sikkerhet. Oppgaven forslår derfor mer ressurser til å lukke dette gapet til de ulike avdelingene kunne være en faktor som kunne bidro til en sterkere sikkerhetskultur for banken.

Information security has become a growing concern for society and businesses, and consequently received a greater priority nationally and internationally. Traditionally the emphasis has been on the technical aspects, which in turn has meant that the human aspect of information security has often been overshadowed. Although the human aspect has gained increased recognition in recent years, there is still a need for more practical knowledge and empirical research on the subject. The purpose of this master thesis has therefore been to deepen this understanding of security cultures by examining employees in different departments in a Norwegian bank.

This master thesis aims to gain insight into how different employees and middle managers understood security in both their departments and the bank. In addition, how the security officers experienced different challenges related to creating awareness and educating the employees’ knowledge of security. The master thesis explores the security culture through a theoretical framework consisting of the organizational, sociological, and technical factors that affect the security culture. Furthermore, it supplements theory on how risk awareness is central to the understanding of security. The master thesis makes use of a qualitative research design by using semi-structured interviews as primary data, which then processed through a thematic analysis.

The findings indicate that the employees and middle managers had good attitudes towards security, although there were various difficulties in terms of roles and responsibilities, building awareness through internal information channels, and transforming the education into practical knowledge. Results indicated that some of these challenges were connected to the complexity of the organization, and the lack of resources from the security department to be as involved in the organization's business side as they would have preferred. The master thesis therefore points that the lack of proximity and presence between these organizational environments had a negative effect on the employees' and managers' understanding of security. Therefore, this master thesis suggests that allocating more resources to bridge this divide could bring positive effects on security culture.