Informasjonssikkerhetskultur i bank : En case-studie om leders betydning

Abstract

Den teknologiske utviklingen har ført til endringer i norsk bank- og finansnæring, og har gjort informasjonssikkerhet til en viktig del av arbeidet. Sikkerhetsbruddene har større konsekvenser enn tidligere, og etableringen av en informasjonssikkerhetskultur er nødvendig for å kunne etablere en effektiv informasjonssikkerhetspraksis. Denne oppgaven har derfor som formål å kartlegge informasjonssikkerhetskulturen i to avdelinger i en norsk bank, og hvilken betydning leder har for denne informasjonssikkerhetskulturen. Vår problemstilling er som følger: “hvilken rolle spiller lederstil for informasjonssikkerhetskulturen i bank?”

Teori om organisasjonskultur, informasjonssikkerhetskultur og lederstil danner grunnlaget for studien. Undersøkelsen ble gjennomført ved kvalitativ tilnærming, og datamaterialet ble samlet inn gjennom intervju av 16 informanter fra to ulike avdelinger. Informantene besto av to avdelingsledere og ansatte på disse avdelingene. I tillegg ble det gjort bruk av offentlige dokumenter for å få belyst fenomenet informasjonssikkerhetskultur på en bedre måte. Det var ønskelig å få kunnskap om emnet for å kunne bidra til å se hvilken betydning leder har for informasjonssikkerhetskulturen. Dette ville vi gjøre ved å kartlegge informasjonssikkerhetskulturen i avdelingene, samt lederstilen de to avdelingslederen før vi så hvilken rolle lederne kan spille for informasjonssikkerhetskulturen.

Informasjonssikkerhetskulturen fremstår som god i begge avdelingene. Leder i avdeling 2 har flere karakteristikker fra en transformasjonsleder, og ansatte i denne avdelingen er i større grad bevisste på informasjonssikkerhet. Ansatte ble påvirket gjennom positiv innflytelse slik at de forstår konsekvensene ved sikkerhetsbrudd (Avolio, Bass, Berson & Jung, 2003; Da Veiga & Eloff, 2010). Det indikerer at transformasjonsledelse er en lederstil som har en positiv innvirkning på informasjonssikkerhetskulturen (Bass, 1990; Niekerk & Solms, 2010; Safa & Solms, 2016). Transaksjonsledelse fremstår likevel som en lederstil som er viktig for overholdelse av regler og rutiner som vil fremme sikkerhetsatferd (Avolio et al., 2003; Humaidi & Balakrishnan, 2015). Ansatte ble påvirket til å sørge for god etterlevelse av instrukser og rutiner ved at leder følger opp rutiner og instrukser før det oppstår avvik, rutinebrudd eller informasjonssikkerhetsbrudd (Antonakis Avolio & Sivarsubramaniam, 2003; Avolio et al., 2003; Guhr & Breitner, 2018). Sentrale trekk ved transformasjonsledelse er mer fordelaktig for en mer helhetlig tilnærming til arbeid for informasjonssikkerhetskultur på avdelingsnivå. Selvgående og proaktive ansatte som ikke bare følger regler og prosedyrer, kan være aktive bidragsytere i sikkerhetsarbeidet på daglig basis (Guhr & Breitner, 2018).