Det tycks vara en allmän uppfattning att användarmedverkan i systemutvecklingsarbetet automatiskt leder till säkrare system. Eftersom detta påstående sällan underbyggs med fakta ville vi pröva detta. Detta har vi gjort genom att studera 4 st. case vilka vi har jämfört med litteratur som vi finner relevant. Arbetet har resulterat i följande hypoteser:

• Vi borde tala mindre om att användarna är med och mer om hur de är med. Det som vi i dag kallar delaktighet är nog ofta snarare frågan om representativ medverkan där representanterna har mycket lite att säga till om. Total delaktighet från alla som berörs av förändringarna leder, som vi ser det, till säkrare system.
• Vi tror inte man kan arbeta med IT-säkerhet utan att samtidigt ta hänsyn till begrepp som: kommunikation, motivation och lärande, något som vi inte tror sker i tillräcklig utsträckning i dag.

It seems to be a common opinion that user-participation, when it comes to developing information systems, automatically leads to safer systems. We wanted to "test" this utterance since it’s rarely expressed together with any facts to support it. We have been doing this by studying four cases, which we have compared with literature that we find relevant. The report has resulted in the following hypotheses:

• We should talk less about engaging the users and more about how they are engaged. What we call user-participation is probably often rather a question of users being represented in the projects and where the representatives have little influence. Total participation from all who are affected by the changes will, in our opinion, lead to safer systems.
• We don’t believe that one can work with security issues without consider concepts like: communication, motivation and learning. We don’t feel that this is being done as much as it should today.

1. Inledning *

2. Problem och syfte *

3. Problemdiskussion *

4. Avgränsningar *

5. Metod *

6. Teori *

7. Resultat *

8. Analys *

9. Diskussion *

10. Erfarenheter av metod *

11. Förslag till fortsatta studier *

Referenslista *

Figur 1: Kommunikationsmodell I *

Vi har nu läst ämnet Informatik på högskolan i Halmstad under tre år och där har det gång på gång poängterats vikten av att användarna involveras i systemutvecklingsprocessen. Vi tycker att vi har fått en ganska bra förståelse för betydelsen av användarmedverkan när det gäller alla typer av utvecklingsarbete i IT-sammanhang. Eftersom vi bägge dessutom tycker att IT-säkerhet är ett både intressant och viktigt ämne stod det ganska tidigt klart att vi skulle skriva om detta. När vi funderade över bägge dessa aspekter kom vi fram till att vi skulle kunna kombinera dom, frågan var bara hur?

I boken "IT-säkerhet för ditt företag" poängteras att för att få ett så säkert system som möjligt så måste säkerhetsarbetet i de flesta fall inbegripa användarmedverkan. Om man inte ser till att arbeta med de som dagligen använder sig av systemet så riskerar man att få dem emot sig vilket kan bli en säkerhetsrisk i sig. Eftersom detta tycks vara en allmän uppfattning som sällan underbyggs av fakta ansåg vi att detta vore ett intressant område att undersöka.

Detta arbete riktar sig i första hand till de som arbetar med IT-säkerhet, systemutveckling eller de som studerar dessa ämnen på högskola/universitet.

Vår problemformulering lyder:

"Leder användarmedverkan i systemutvecklingsarbetet till ett säkrare system?" Det finns vissa problem med denna formulering som vi är medvetna om och som vi nedan utvecklar närmare: T.ex. vad är "ett säkrare system"?

Vårt syfte är att "testa" påståendet att mer användarmedverkan leder till ett säkrare system.

Leder användarmedverkan i systemutvecklingsarbetet till ett säkrare system? Frågan låter sig inte besvaras utan att man först definierar vissa begrepp:

1. Vad är "användarmedverkan"?
2. Vad är "ett säkrare system"?

Angelöw, B. anger i boken Det goda förändringsarbetet tre perspektiv vid genomförande av förändringar, Angelöw (1991):

1. Toppstyrt perspektiv (ett fåtal aktörer genomför arbetet)
2. Deltagarperspektiv (användarna deltar aktivt i processen)
3. Representativt perspektiv (användarna är endast representerade i arbetsgruppen)

Ska användarnas kunskap tas tillvara eller tillåts de bara "sitta med" vid möten?

Ska användarna vara involverade i hela utvecklingsarbetet eller ska de bara vara med vid föraranalysen, utvecklingen, implementeringen eller utvärderingen?

Tar man till sig användarnas åsikter eller är det endast experter som tas på allvar?

I detta arbete ser vi användarmedverkan som något där användarna är delaktiga (inte bara representerade) genom en stor del av processen och där de är aktiva i arbetet och där deras åsikter och kunskaper tas tillvara.

Vi ser ett säkert system som ett system som klarar av att stå emot både inre och yttre hot. Hoten kan klassificeras enligt följande:

• Avsiktliga: t.ex. sabotage eller annan brottslig verksamhet.
• Oavsiktliga: "mänskliga faktorn", bristfälliga rutiner, kommunikationsproblem. T.ex. slumpmässiga intrång.
• Olyckor och katastrofer: oriktade hot som inte är orsakade av människor. T.ex. strömavbrott, översvämning och jordbävning.

1. Extern säkerhetsnivå, där användaren är huvudaktören.
2. Logisk säkerhetsnivå, där organisationen, strategin och logistik är viktiga.
3. Fysisk säkerhetsnivå, där drift, enheter, byggnader och dess tekniska åtgärder är avgörande.

Ett annat sätt att klassificera hot kan vara enligt följande:

• Avbrott: En tillgång förloras, blir inte tillgänglig eller blir satt ur funktion.
• Inbrytning: Någon får otillåten tillgång till systemet.
• Modifiering: Skapande av förändringar i systemet.
• Fabrikation: Någon tillför objekt i systemet. Programvaror, data m.m.

Om ovanstående hot realiseras kan det leda till någon av nedanstående attacker:

• Hårdvaruattack: Skadegörelse, stöld m.m.
• Mjukvaruattack: Förändringar i program, stöld av program t.ex.:

• Logisk bomb: Oförutsedda effekter vid körning.
• Trojanska hästar: Ett program som offentligt utför en sak men samtidigt utför andra saker.
• Lönndörr: Ett program som har en speciell inträdes/utträdespunkt.

Vi ser ett säkert system som ett system som, i rimlig omfattning, klarar av att hantera avsiktliga och oavsiktliga hot. De avsiktliga hoten kan bestå av avbrott, inbrytning, modifiering eller fabrikation vilka har potential att leda till skadegörelse, stöld, krascher, virusangrepp och/eller intrång. De oavsiktliga hoten kan å sin sida bestå av modifiering och fabrikation.

Varifrån kraven på säkerhet kommer ifrån skiljer sig. ADB-konferensen 1976 i Nynäshamn kom fram till två typer av krav på ADB-säkerhet, det som idag kallas IT-säkerhet:

• Interna krav: Kan ställas av företaget självt (ytterst av företagsledningen, som bör/ska besluta om företagets säkerhetspolicy).
• Externa krav: Genom bland annat:

• Bokföringslagen
• Datalagen (PUL)
• Datainspektionens föreskrifter
• Försäkringsavtal

Vi kommer inte behandla hot i form av olyckor och katastrofer. I uppsatsen kommer vi heller inte att titta djupare på den fysiska säkerheten. Vi inriktar oss på en blandning mellan logisk och extern säkerhetsnivå. Vi är medvetna om att ett systems säkerhet påverkas av de kostnader man lägger på att göra systemet säkrare. Exempelvis kan ett väldigt säkert system byggas genom att användarna mer eller mindre rationaliseras bort. Vi är även medvetna om att ökad användarmedverkan också leder till ökade kostnader. För att problemområdet ska bli hanterbart har vi dock valt att bortse från dessa aspekter.

Enkäter och intervjuer har båda sina fördelar. Med en enkät skulle vi kunna nå flera och därmed få ett bredare underlag. Ett mindre antal intervjuer har också sina fördelar eftersom man då kan gå djupare in på frågorna. Vi har dock valt att göra en fallstudie eftersom vi tycker att det saknas väldokumenterad kunskap om hur användarmedverkan påverkar IT-säkerheten.

Varför väljer man att göra en fallstudie? Merriam menar att man intar ett mer holistisk hållning till problemet, Merriam (1994):

Det är just detta som är vår utgångspunkt, att inte konstatera att någon har fel (vilket ofta är utgångspunkten med mer kvantitativ forskning) utan att utforska. Vidare kan man säga att fallstudien som metod präglas av:

• att vara kvalitativ
• en holistisk syn
• att den är deskriptiv
• att den resulterar i hypoteser
• att den är induktiv till sin natur (generaliseringar och teorier växer fram ur den information man tittat på)

Termen dokument används ofta när man avser den information som samlats in via andra kanaler än intervjuer och observationer. Denna term används eftersom det i huvudsak är skriftliga källor som kommer till användning i en fallundersökning. Även tidigare forskning kan bli föremål för studium. Det kan ofta visa sig att den information man som forskare söker redan finns insamlad och kan därför återanvändas istället för att åter igen samlas in.

Det är viktigt att fråga sig om informationen eller kunskapen är relevant för frågeställningen som studeras och om informationen kan fås fram på ett både praktiskt och systematiskt sätt.

Clark (1967) har gjort en förteckning över de frågor man bör ställa sig när det gäller äktheten hos ett dokument:

• Vilken är bakgrunden till eller historien bakom ett dokument?
• Hur kom jag som forskare över det?
• Vilka garantier har jag för att det är vad det utger sig för att vara?
• Är dokumentet komplett, d.v.s. i sitt ursprungliga skick?
• Har någon ändrat i eller redigerat dokumentet?
• Om dokumentet är äkta, i vilket syfte och under vilka omständigheter tillkom det?
• Vem är upphovsman?
• Vad ville han eller hon med dokumentet?
• För vem eller vilka har dokumentet tillkommit, d.v.s. vem är mottagaren?
• Vilka var upphovsmannens källor? Utgör dokumentet en ögonvittnesskildring, en andrahandsredogörelse, en efterkonstruktion eller en tolkning av tidigare händelse?
• Vilka felkällor kan ha påverkat upphovsmannen? Vilka var hans eller hennes värderingar?
• I vilken utsträckning kan man förmoda att upphovsmannen ville förmedla sanningen?
• Finns det andra dokument som på något sätt kan belysa samma händelse, historia, program, projekt eller kontext? Är de i så fall tillgängliga? Var kan jag få tag på dem?

En för forskaren stor fördel med att använda dokument eller källmaterial är dess stabilitet. Dessutom skiljer användandet av dokument istället för intervjuer och observationer på så sätt att vid användandet av intervjuer och observationer riskerar forskaren att bli påverkad av den intervjuade/observationsobjektet. Detta sker ej vid användandet av dokument. Dokumentdatan brukar därför ibland kallas "icke påträngande data".

I detta avsnitt tittar vi närmare på de teorier som är relevanta i ämnet. Teorierna är hämtade från den pedagogiska-, arbetsvetenskapliga-, företagsekonomiska litteraturen samt från informatik- och IT-säkerhetslitteraturen.

En av de mest förekommande kommunikationsmodellerna är tekniskt inspirerad. Bakka (1993). Denna bygger på tre element:

Denna grundstruktur kan byggas ut på många sätt och finns i talrika varianter. Modellen visar en process där något flyttas från sändare A till mottagare B. Följande utvidgning av modellen visar att den även kan innehålla tre steg: Inkodning, avkodning och feedback. Ovannämnda beskrivning brukar betecknas envägskommunikation. Exempel på detta kan vara reklammeddelanden, skriftliga order från ledningen o.s.v. Lägger vi till begreppet feedback så menar vi att mottagaren har möjlighet att reagera på meddelandet. Vad gäller kommunikation i en organisation så är feedback oerhört viktigt.

I den första fasen (inkodning) formulerar A sitt budskap. A:s tankar eller avsikter är inte uppenbara direkt men de kan däremot framstå som naturliga slutsatser i en situation, i varje fall för de som känner A. Poängen är att A ska välja ett "språk" som mottagaren B kan förstå. Överföringen till mottagaren kan ske via många kanaler. Talar A och B direkt med varandra kommer kanalen att vara själva samtalssituationen. I andra fall kan det vara telefon, fax o.s.v. Bakka menar att forskningen har visat att kanalegenskaper är mycket viktiga för meddelandets effekt på olika grupper av mottagare. Det talade ordet samt bilder verkar nästan alltid starkare än det tryckta budskapet.

Nästa fas (avkodning) handlar om mottagandet. Når meddelandet fram till avsedd mottagare? och viktigast av allt, hur blir det mottaget och tolkat?

Vid studier av all mänsklig kommunikation är feedback-begreppet oerhört viktigt. Den enkla modellen (kommunikationsmodell I) är av mycket generell karaktär men den visar tydligt var det kan uppstå störningar och fel i processen. I den utbyggda modellen (kommunikationsmodell II) har det lags in felkällor. Dessa störningar kan komma in på fler ställen i modellen, t.ex. under återkopplingen.

Den danska psykologen K G Madsen har ett sätt att se på motivation där han urskiljer 19 olika grundmotiv uppdelade i fyra grupper, Bruzelius och Skärvad (1989):

• Organiska motiv: T ex hunger och törst.
• Känslomässiga motiv: Fruktan eller säkerhetsmotivet.
• Sociala motiv: Kontakt- makt- och prestationsmotivet.
• Aktivitetsmotiv: Upplevelsebehov, rörelsebehov, Nyfikenhet (intellektuellt aktivitetsmotiv), spänningsbehov (känslomässigt aktivitetsmotiv), skaparlust (komplicerat aktivitetsmotiv)

Ett s.k. motivsystem uppstår om flera grundmotiv samverkar och om denna samverkan blir varaktig. Ibland kan motiven dock blockera eller utesluta varandra. Man talar då om motivkonflikter. Exempel på motivsystem kan vara "intressen" där aktivitetsmotivet, som omfattar upplevelsebehov, rörelsebehov, nyfikenhet, spänningsbehov och skaparlust, intar en viktig plats. Alla dessa grundmotiv är samtidigt utomordentligt viktiga för att få ett bra arbete utfört. Författarna anser att både individen, företaget och samhället gynnas av att arbete blir mer intressebetonat. Intresset är en stark drivkraft eftersom det består av flera samverkande motiv. Det är också en stabil drivkraft eftersom de samverkande motiven kan avlösa varandra och stödja varandra. Ibland gör man något för att man är nyfiken, ibland för att man vill vara tillsammans med andra o.s.v. Dessutom betyder det mycket för trivseln på arbetsplatsen om alla är nöjda med arbetet.

Fel som uppstår i informationssystem beror ofta på mänskliga faktorer. Därför är det viktigt att analysera och söka förstå orsakerna till att människan beter sig som hon gör. Billfeldt och Söderberg (1987) anger följande faktorer som påverkar människans attityder och motivation till att göra ett bra arbete:

1. Möjlighet att avancera på karriärstegen.
2. Den sociala sammanhållningen på arbetsplatsen.
3. Trivsel med arbetsuppgifterna.
4. Medbestämmande över den egna arbetssituationen.
5. Ergonomiska förhållanden.

Det har, enligt Bruzelius och Skärvad, blivit allt viktigare att en organisation har förmågan att lära sig att utföra olika uppgifter bättre, annorlunda eller på ett radikalt nytt sätt. Det har därför blivit allt viktigare att diskutera förnyelse- och förändringsprocesser i organisationer. Detta gör författarna utifrån perspektivet: organisatorisk inlärning. Men vad menas organisatorisk inlärning? Hur skiljer sig organisatorisk inlärning från individens inlärning? Hur kan organisatorisk inlärning stimuleras?

Lärande organisationer kännetecknas, enligt Bruzelius och Skärvad (1995), av:

För att organisatorisk inlärning ska kunna ske förutsätts att individerna i organisationen lär. Denna inlärning blir dock till organisatorisk inlärning först när denna kommuniceras till andra personer inom organisationen, och dessa börjar använda sig av de vunna erfarenheterna och insikterna. Organisatorisk inlärning är därför i hög grad en fråga om kommunikation.

En lärprocess är ett invecklat samspel mellan känslomässiga, intellektuella och färdighetsmässiga processer inom individen men den består även av ett samspel mellan individen och den sociala omgivningen vilket är något som Segerstad, Klasson och Tebelius (1996) tar upp. De menar bl.a. att inlärning å ena sidan helt kan förklaras av individens egna förutsättningar att lära. En konsekvens av detta är att den enskilda individen kan ses som relativt oberoende av sin omgivning. Å andra sidan kan individens förutsättningar att lära förklaras som något som påverkas av den sociala omgivningen. Författarna menar att individen är mer beroende av omgivningen för att kunna lära. Detta kan ske på två olika sätt:

Det är, enligt Segerstad, Klasson och Tebelius, självklart att olika situationer av lärande ställer olika typer av krav på oss. Vi är beroende av inre aktiviteter i vissa situationer medan vi i andra är beroende av yttre aktiviteter.

Till de inre aktiviteterna hör vårt sätt att ta emot och skapa mening i information, hur vi anpassar vårt handlande som ett resultat av inlärningen och på vilket sätt vi själva kan avgöra vilka konsekvenser vårt handlande får. De yttre aktiviteterna visar på nödvändigheten av ett samspel mellan individen och den yttre världen för att vi ska få feedback.

Vad händer när vi möter en ny situation eller ny information? Finns det något mer generellt sätt att beskriva detta? Segerstad, Klasson och Tebelius menar att i den vuxenpedagogiska litteraturen råder det enighet om att lärprocessen är cyklisk. För att illustrera detta pekar författarna på Kolbs modell för att beskriva lärprocesser, en modell som bl.a. bygger på Piagets tankar.

Modellen visar alltså lärandet som en cyklisk process där konkret erfarenhet övergår till reflekterande observation, som i sin tur leder till abstrakta begrepp som i sin tur används som vägledning för att aktivt pröva de nya lärdomarna.

• Den konkreta erfarenheten innefattar den omedelbara förståelsen eller uppfattningen.

• Den konkreta erfarenheten granskas och observeras från olika perspektiv. Den omedelbara förståelsen genomgår en omvandling när det som förståtts omsätts i de tidigare utvecklade kognitiva strukturerna (reflekterande observation).
• Reflekterandet leder därefter till att vi får en djupare förståelse som innebär att vi kan formulera vår förståelse i abstrakta begrepp.
• Den djupare förståelsen använder vi för att fatta beslut eller för att lösa problem. Aktivt experimenterande används för att pröva de slutledningar som gjorts (aktivt experimenterande).

I modellen finns också Piagets begrepp: assimilation och ackommodation, samt begreppen: konvergent och divergent.

• Med divergent tänkande avses den form av tänkande som genom den konkreta erfarenheten omskapas så att upplevelsen tillskrivs en mening. I det divergenta ligger också att tänkandet är fritt, d.v.s. att man kan se något ur flera perspektiv.
• Assimilativt tänkande innebär att man lagrar det nya och att det nya tillskrivs en mening. I detta ligger att man på något sätt inarbetar de nya aspekterna i de existerande kognitiva strukturerna.
• Konvergent tänkande avser det tänkande som utvecklas genom en djupare förståelse och förvandlas så att det sker en expansion i de existerande kognitiva strukturerna.
• Med ackomodativt tänkande menas det tänkande som innebär en rekonstruktion av de existerande kognitiva strukturerna, därför att det nya inte passar in i de strukturer som finns.

Modellen ska tolkas så att det i varje lärsituation finns en spänning mellan polerna i två dimensioner. Den första dimensionen har den konkreta "här-och-nu-erfarenheten" å ena sidan och formulerandet av abstrakta begrepp å andra sidan. Den andra dimensionen har den reflekterande observationen som en pol och det aktiva experimenterandet som den andra.

I början på boken Den femte disciplinen skriver Peter Senge (1995):

Det är med andra ord mycket viktigt för en organisation att ta hänsyn till alla parter i organisationen. Men det är också viktigt att ta hänsyn till de parter som organisationen har kontakt med. Detta visas tydligt i Intressentmodellen.

Även Checkland betonar detta i boken Systems Thinking, Systems Practice. Han skriver:

Vi förlorar till stora delar helhetssynen på problemen eftersom komplexiteten gör att vi tvingas avgränsa oss och studera delarna separat. Detta tvingar oss dessutom att dela upp vår kunskap olika discipliner. Uppdelningen i olika ämnen i vår utbildning är en mänsklig konstruktion, naturen själv delar ej upp sig i fysik, biologi m.m. Denna uppdelning är så integrerad i människors tänkande att det är svårt att greppa helheten. Checkland (1993).

Peter Senge använder sig av följande modell:

Det krävs att alla fem disciplinerna samarbetar för att organisationen på bästa sätt ska nå sina mål. Navet utgörs av systemtänkandet, de fem disciplinerna måste utvecklas till en helhet. Med hjälp av systemtänkandet kan vi förstå på ett nytt sätt hur människor i den lärande organisationen uppfattar sig själva och sin omvärld. Pilarna visar inte ett speciellt beroende mellan två discipliner utan ska visa ett relationsförhållande mellan alla fem disciplinerna.

Personligt mästerskap är enligt Senge en av kärndisciplinerna som behövs för att bygga en lärande organisation. Personligt mästerskap handlar bland annat om individuellt lärande. För att den lärande organisationen ska fungera krävs att medlemmarna själva kan lära. Detta gör alltså det Personliga mästerskapet till en förutsättning för att de andra disciplinerna ska kunna utvecklas. Senge menar att Personligt mästerskap består av två komponenter, Senge (1990):

• Sitt mål. Vad vill man uppnå.
• Ett mått på hur nära man är sitt mål.

Det Senge menar med mål stämmer mer överens med vad vi i vardagligt tal kallar visioner. Det är mål för en väldigt lång tid framöver. Gäller det en människa skulle tidsramen kanske vara över hela hans/hennes livstid.

De Mentala modellerna eller tankemodellerna som de också kallas, är ramverk för våra kognitiva processer, med andra ord styr de mentala modellerna hur vi tänker och agerar. För att kunna utveckla organisationens förmåga att kunna arbeta med de Mentala modellerna krävs att man lär sig nya färdigheter. Det krävs också att alla medarbetare har en klar uppfattning om verksamheten och att alla arbetar för att förändra organisationens arbetssätt. Alltså att alla arbetar åt samma håll. I den miljön kan människorna i organisationen bli mottagliga för nytänkande och nya tankemodeller.

Detta kan vara en samling människor som gör något tillsammans, t.ex. ett fotbollslag, forskarteam eller två som skriver en magisteruppsats. Grupplärandet syftar till att genom en process sammanfoga och utveckla förmågan hos gruppen att nå fram till de resultat som gruppen verkligen vill uppnå. Senge menar att lära tillsammans är nödvändigt för att utveckla förmågan hos teamet. Detta gör organisationen med de tre verktygen dialog, diskussion och mikrovärldar.

Senge menar att en vision är svaret på frågan: "vad vill du skapa", Senge (1990). Gemensamma visioner förenar människor i en strävan mot samma mål, detta gör de gemensamma visionerna mycket viktigt för organisationer. Det är viktigt att ledaren delar med sig av sin vision till de övriga i organisationen och detta genom att engagera medlemmarna inte genom en påtvingande kraft. För att visionen ska bli verklighet måste alla i organisationen förstå, bidra och dela visionen. En gemensam vision kommer att leda till att människor arbetar därför att de vill, inte för att de måste.

Systemtänkande är den disciplin som länkar ihop de övriga till en helhet av teori och praktik. Helhetssynen är ett måste om vi ska skapa en framgångsrik lärande organisation. Att inte se de fulla konsekvenserna av vårt handlande är priset vi måste betala om vi inte har helhetssynen. Saknas överblickbarhet så saknas också den motivation som krävs för att se sambanden som råder mellan de övriga disciplinerna.

Bastoe och Dahl (1996) menar att det finns fyra olika perspektiv på förändringar:

• Förändringar genomförs vertikalt ("uppifrån-och-ner") i organisationen.
• Låg delaktighet från de anställda.
• Expertutredningar och centrala beslut föregår förändringar.

• Förändring ses som en långsiktig och tidskrävande process som förutsätter problemlösning.
• De anställda deltar aktivt i planering, genomförande och utvärdering.
• Man lägger stor vikt vid att utveckla ledarskap och kommunikation.

• Förändringar är ett resultat av konflikter och kompromisser mellan olika aktörer.
• Ett förhandlingsinriktat ledarskap – ledaren agerar som politiker.

• Förändringar växer fram "nerifrån-och-upp" gradvis.
• Att uppmärksamma, ev stödja och legitimera framväxande förändringar är en viktig ledningsfunktion – ledaren som "trädgårdsmästare".

Angelöw (1991) menar att en rad problem kan uppkomma när förändringar genomförs i en organisation (eller när en organisation tvingas, av sin omvärld, till förändring). Han menar bl.a. att förändringsarbetet traditionellt har varit toppstyrt, d.v.s. att ledningen har initierat, formulerat och genomfört förändringen och underordnade anställda har reducerats till objekt och föremål för förändringen.

Detta synsätt håller, enligt författaren, nu gradvis på att förändras. Företagsledningar börjar mer och mer inse att:

Det är inte så konstigt att anställda ofta är negativt inställda till förändringar i organisationen med tanke på att de flesta organisationsförändringar är toppstyrda, och där anställda blir presenterade färdiga "förändringspaket", vilka de inte har några möjligheter att påverka. Men det räcker inte med att de anställda är delaktiga i processen, de måste kunna vara med och bestämma förändringstakten, så att förändringar inträffar i en lagom mängd. Att oavbrutet vara föremål eller delta i en alltför hög takt av förändringar kan, enligt Angelöw, leda till förändringströtthet.

När förändringsprocesser initieras från de anställda välkomnas dessa ofta av företagsledningen om denna också ser ett behov av förändringar. Problemen uppstår dock om ledningen inte är lika förändringsbenägen som personalen. Angelöw nämner fem olika sätt som ledningen då väljer att möta de anställdas krav på förändring:

1. Hålla i okunnighet: Om organisationsledningen har monopol på information så är detta ett effektivt sätt att undkomma förändringskrav.
2. Problemens betydelse kan förnekas: Ledningen kan välja att förneka att problemen finns eller att inte erkänna problemens betydelse.
3. Aktivera formella hinder: Ledningen för frågan vidare till en kommitté, låter den utredas eller hittar på formella skäl för att ej behöva ta upp frågan. Ett effektivt sätt är att hävda att ekonomin inte tillåter att problemen åtgärdas.
4. Negativa beslut: Dvs att förslaget till lösning av problemen helt enkelt avslås.
5. Tolkning av beslut: Beslut kan tolkas så att ledningen, trots ett fattat beslut, vinklar det eller dröjer med att genomföra det. Beslut kan även tolkas konservativt, att man trots alla mödor ej når fram till en förändring.

De anställda kan å sin sida möta förändringar på olika sätt. Angelöw anger följande:

1. Anpassning: Anställda accepterar målet för förändring och arbetar för att uppnå den förändring som avses. Anpassningen kan emellertid vara mer eller mindre aktiv.
2. Motstånd/kamp: Anställda bjuder på motstånd mot den planerade förändringen och håller fast vid existerande arbetsvillkor. Anställda driver en kamp för sin egen linje.
3. Integration med egna syften: Förändringen accepteras och tolkas så att den kan användas som stöd för att tillgodose önskvärda förändringar hos anställda. Gruppen av anställda införlivar förändringen med egna syften.
4. Pluralism: Den nya förändringen accepteras av en del anställda samtidigt som det tidigare sättet att fungera tillåts existera hos en annan kategori av anställda.
5. Apati: Anställda varken bjuder motstånd eller anpassar sig till det nya sättet att fungera. Aktiviteten sjunker och handlingsförlamning råder.
6. Flykt: Anställda känner sig missnöjda med den uppifrån planerade förändringen och lämnar därför organisationen. Detta handlingsalternativ finns endast för dem som har möjligheter att erhålla anställning utanför organisationen.

Vid förändringar som användare uppfattar som negativa menar Angelöw att olika typer av reaktioner kan uppstå, såsom försvarsmekanismer, syndabocksroller, kris och förändringsstress.

Om vi upplever förändringar som hotfulla mot vår situation, trygghet mot vår självkänsla, och nuvarande överlevnadsmöjligheter, kan dessa ge upphov till olika typer av försvar och reaktioner. Hur stor omfattningen och djupet av dessa försvars- och reaktionsmönster blir beror, enligt Angelöw, på förändringens art och förväntade konsekvenser.

Försvarsmekanismerna, vars uppgift är att minska upplevelsen av hot och fara för vårt jag, kan delas in enligt följande:

• Aggressivitet: Detta handlar inte om vanlig och naturlig ilska utan snarare om en överdriven och ibland oförklarlig aggressivitet som kan ta sig olika uttryck. Exempel på dessa kan vara att drabbade personer börjar sprida ut överdrivna negativa rykten om den kommande förändringen och vad den kommer att leda till.
• Förnekande: Detta kan innebära att man å ena sidan lägger märke till det som borde vara hotande, men man förnekar att det är väsentligt och accepterar inte dess egentliga innebörd.
• Misstänkliggörande: Handlar om att hysa misstro till de motiv som sägs ligga bakom förändringen.

• Ointresse: Som försvarsmekanism innebär detta att vara ointresserad av förändringen och tro att inget egentligen kommer att förändras. Ointresse har stora likheter med förnekande, men med den skillnaden att man är medveten om den förestående förändringen men förblir ointresserad och passiv med förhoppningen att man därmed ska slippa att förändra sin nuvarande situation.
• Rationalisering: Man konstruerar förklaringar och tankemönster som egentligen inte är har med verkligheten att göra för att därigenom lättare kunna klara av och acceptera förändringen. Genom till synes förnuftsmässiga argument försöker man minska upplevelsen av hot.
• Projektion: Denna försvarsmekanism har det huvudsakliga syftet att lägga ansvaret för ett skeende, som man själv är delaktig i, på andra.

Bruzelius och Skärvad menar att det är en vanlig uppfattning att människor är motståndare till förändringar men att detta motstånd varierar från fall till fall beroende på vad förändringen gäller, hur förändringsarbetet sköts och hur pass genomgripande förändringen är. Motståndet är särskilt starkt:

• vid genomgripande och radikala förändringar
• vid oväntade och plötsliga förändringar
• vid förändringar med möjliga negativa konsekvenser för de inblandade
• om det råder stark tilltro till det som ska förändras
• då skälen för, och syftet med och innebörden av förändringen är diffusa och oklara
• om man har negativa erfarenheter av tidigare förändringar.

De menar också att det finns individuella skillnader. Vissa personer oroar sig för och är motståndare till t.o.m. mindre förändringar medan mycket radikala och omstörtande förändringar kan vara en drivfjäder och stimulans för andra personer.

Det finns även organisatoriska skillnader. I vissa organisationer är personalen van vid ständiga förändringar medan man i andra organisationer är ovan vid förändringar och har bristande erfarenhet av dessa.

Bødker, Greenbaum och Kyng menar i boken Design at work att motstånd mot förändringar kan bero på rädsla, lathet, o.s.v. Det finns dessutom en risk att den som leder förändringsarbetet (t.ex. systemutvecklare) smittas av användarnas motstånd och använder det som ursäkt för att inte ta med användarna i förändringsarbetet. Greenbaum och Kyng (1991).

För att genomföra ett bra förändringsarbete (bra i betydelsen att de anställda inte mår dåligt av det) krävs att de anställda tillåts vara med och planera och genomföra förändringarna. Traditionellt sett har det funnits tre strategier för förändringsarbete. Dessa beskrivs av Angelöw enligt följande:

• Den toppstyrda förändringsstrategin: Här är det få aktörer som försöker finna en lösning på något problem i organisationen. Förändringsarbetet initieras av ledningen som definierar problemet. Efter detta ombeds eventuellt en konsult att utarbeta en lösning. Den toppstyrda förändringsstrategin utgår från att organisationsledningen har förmågan att komma med de objektivt sett bästa lösningarna på kort sikt. För att åstadkomma en snabb förändring bör så få som möjligt involveras i arbetet innan ett handlingsförslag presenteras. Det motstånd som den toppstyrda förändringsstrategin ofta möter på bottnar i att anställda inte fått vara delaktiga i diskussionerna om problemen och att utforma handlingsprogrammet. Beredskapen för och viljan till förändringar är med andra ord låg hos dem som berörs.
• Den representativa förändringsstrategin: Bygger på att representanter för organisationsledning och personalorganisationer tillsammans bildar en projektgrupp som ofta är med i såväl förändringsprojektets idéfas, planeringsfas som genomförandefas. De anställda får sedan fortlöpande information om projektets framskridande. I inledningen av förändringsarbetet finns viss uppmärksamhet och ett visst intresse bland de anställda, framför allt om projektet behandlar problem som många anställda efterlyst åtgärder för. Problemet är dock att anställda inte är direkt berörda av förändringsarbetet. Om en anställd blir berörd är det antingen genom medverkan i datainsamling, i form av att besvara enkäter eller bli intervjuad av någon i projektgruppen, eller genom att arbetsmängden ökat därför att någon arbetskamrat ingår i gruppen och inte hinner utföra det ordinarie arbetet. Resultatet av denna förändringsstrategi kan bli att antingen accepteras projektets föreslagna åtgärder och dessa vidtas av de anställda, eller också rinner det hela ut i sanden.
• Den delaktiga förändringsstrategin: Bygger på att samtliga berörda medverkar i förändringsarbetet. Förändringar ska planeras, genomföras och följas upp av dem som berörs av dem. Detta innebär att förändringsarbetet är tidskrävande och att många personer är inblandade i det. Samtidigt så sprids en förändringsvilja och engagemang hos de berörda. Alla är aktörer och tar ansvar för att åtgärder vidtas. Det finns goda förutsättningar för att förändringsarbetet kan bli en naturlig del av det vardagliga arbetet.

De skandinaviska forskningsprojekten vad gäller systemutveckling har traditionellt sett lagt en stark betoning på användarmedverkan som en strategi för att öka arbetsplatsdemokratin. Bjerknes och Bratteteig (1995) analyserar i en artikel några av dessa projekt med avseende på dessa mål. Författarna gör gällande att det har skett en utveckling från politik till etik när det gäller forskning på systemutveckling och att den politiska dimensionen bör återinföras. De menar bl.a. att man brukar ange tre skäl för användarmedverkan:

• För att öka kunskapen om de system som byggs,
• för att användarna ska få realistiska förväntningar och reducera motstånd mot förändringar, och
• för att öka arbetsplatsdemokratin genom att folk får vara delaktiga i de beslut som troligen kommer att påverka deras arbete.

De två första skälen är ganska jordnära och återfinns ofta i de olika systemutvecklingsansatserna. Det tredje skälet är mer kulturellt och politiskt vinklade och har sitt ursprung i lagstiftning och politisk litteratur. Många skandinaviska forskningsprojekt i systemutveckling har, under de senaste årtiondena, anslutit sig till det tredje skälet.

Den skandinaviska forskningen på systemutveckling beskriver flera vägar att arbeta för demokrati. De projekt som beskrivs av Bjerknes och Bratteteig visar på fyra nivåer av inflytande:

• Arbetssituationsnivån: På denna nivån är användandet av teknik beroende av arbetsuppgifternas natur. Användarna kan påverka genom att delta i utvecklingsprojekt eller genom val av applikationer.
• Den organisatoriska nivån: På denna nivån är användandet av teknik beroende av hur olika aktiviteter är koordinerade och integrerade i organisationen. För att påverka den egna arbetssituationen måste den anställda påverka hela organisationen. Användarens påverkan på teknologin är därför mer indirekt på denna nivån.
• Den inter-organisatoriska nivån: På denna nivån är användandet av teknik beroende av relationerna mellan organisationen och dess omgivning. Användarna kan påverka genom att bilda nätverk eller genom t ex fackliga organisationer.
• Den samhälleliga nivån: Denna nivån omfattar lagar och bestämmelser för samhället (och arbetslivet). För att påverka teknologin här krävs att man lagstiftar.

Olika grupper av anställda har förmåga att klara av förändringar på arbetsplatsen olika bra. Angelöw identifierar bl.a. följande riskgrupper:

• Kön: Kvinnor brukar som regel uppge högre grad av oro och stress än män vid påfrestande förändringar. En väsentlig förklaring är att kvinnor ofta har underordnade positioner i organisationer. Eftersom det ofta är lägre befattningshavare som drabbas hårdast vid påfrestande förändringar, utsätts kvinnor för högre stress.
• Ålder: Äldre anställda brukar ofta vara mest utsatta i samband med påfrestande organisationsförändringar. Åldern förefaller vara den mest utslagsgivande faktorn när det gäller möjligheterna att få ett nytt arbete. Den mest utsatta gruppen är de mellan 50 och 60 år vilka är för unga för förtidspensionering men ofta av arbetsgivare betraktas som för gamla för att erhålla nytt arbete. Denna åldersgrupp uppvisar hög stress i samband med påfrestande förändringar.
• Nationalitet: Invandrare uppvisar som regel högre stress jämfört med svenskar. Den mest betydelsefulla faktorn i sammanhanget är att invandrare som regel har lägre utbildningsnivå jämfört med svenskar. Därav följer att de också har färre handlingsalternativ.
• Utbildningsnivå och arbetsförmåga: Låg utbildningsnivå är ofta ett gemensamt kännetecken för människor som uppvisar svårigheter i samband med påfrestande förändringar. Personer med nedsatt arbetsförmåga eller arbetshandikapp kan få svårigheter att erhålla nytt arbete eller arbetsuppgifter i samband med påfrestande organisationsförändringar.
• Erfarenheter och syn på förändring: Människor har olika erfarenheter av förändringar, som gör att de reagerar olika på förändringar. En del människor klarar av påfrestande förändringar, ser dem som sporrande utmaningar och samlar sina krafter för att hitta konstruktiva lösningar. Andra ser dem som hotfulla och reagerar med total förtvivlan och hjälplöshet.

Andersen menar att företag ofta använder sig av användarledd systemutveckling av den anledningen att de egentliga systemutvecklarna är upptagna med andra arbetsuppgifter, Andersen (1994).

Det är användarna som har den största kunskapen om dagens rutiner och kan på så sätt lättare översätta dessa till det kommande systemet där systemutvecklaren eventuellt skulle stött på bekymmer. Andersen blir senare lite "mildare" i sin syn på användarmedverkan och säger att vid små projekt kan det vara av ett stort plus att använda sig av användarmedverkan. Den tid som det skulle tagit för en systemutvecklare att sätta sig in i projektet skulle blivit allt för lång och på så sätt gjort det lilla projektet allt för kostsamt. Andersen menar att man istället kan ha ett samarbete mellan systemutvecklare och användare där användarna tar hand om de enklare bitarna medan systemutvecklarna får ta de lite tyngre där användarna saknar kompetens.

Vidare betonar Andersen vikten av utveckling av personal, system och organisation parallellt. Väljer företaget eller organisationen att inte arbeta med användarmedverkan vid systemutvecklingsskedet är det extra viktigt att parallellt informera och utbilda organisationen om det kommande systemet. Dels för att användarna vid införandet ska besitta den kunskap som krävs, men också för att vinna acceptans för det kommande systemet. Andersen skrev detta i sin bok 1994 och sedan dess har fler teorier om användarmedverkan integrerats i systemutvecklingen vilket också diskuteras i boken. Anderson skriver:

Ett företags eller en organisations infrastruktur är en beskrivning av hur informationsflödet är administrerat. Exempelvis kan en chef ha ett budskap till sina anställda. Han tar då kontakt med sina avdelningschefer som sedan i sin tur informerar de anställda. Organisationens infrastruktur styrs till stor del av hur IT-situationen ser ut. Med hjälp av IT-teknologin kan informationen finna andra vägar, effektivare vägar som inte var möjliga tidigare. För att ta samma exempel så lägger nu chefen ut sitt meddelande på organisationens intranät där de anställda tar del av läser budskapet. (Anteckingar från kursen IT-säkerhet, 1998)

En organaisations IT-strategi är väldigt viktigt för dess infrastruktur. I IT-strategin finns en plan för organisationens förhållningssätt gentemot IT. Genom detta speglas till stor del organisationens IT-säkerhet av IT-strategin. Att göra användarna medvetna om säkerhetsfrågorna i organisationen är ett av IT-strategins syften. (Borg, Lozano, Löfgren, Malmgren och Palicki, 1997)

6.11.1. Vilka står för säkerhetsincidenterna?

Vid säkerhetsdiskussioner tenderar man ofta att fokusera på attacker utifrån. Författarna Seger och VonStorch (1995) menar dock att majoriteten av datorbrott och säkerhetsincidenter är ett resultat av interna fel eller medvetna interna attacker.

Även Freese och Holmberg (1993) kommer fram till liknade slutsatser, d.v.s. att användarna står för den största andelen säkerhetsincidenter:

6.11.2. Krav på IT-Säkerhet

Användarna ställer idag högre krav på funktionalitet och säkerhet. Men det är inte bara användarna som ställer högre krav utan dessa kommer ifrån flera olika intressenter. Exempel på dessa kan vara: Organisationsledningen, allmänheten och leverantörer. Det finns dessutom rättsliga krav som påverkar hanteringen av vissa typer av information.

Statskontoret sammanfattar kraven på IT-Säkerhet i fyra tillstånd, Stadskontoret (1997):

• Riktighet: Producerad information ska vara korrekt, aktuell och begriplig.
• Tillgänglighet: IT-Systemen ska vara tillgängliga för behöriga användare i beslutad omfattning på bestämda tider.
• Sekretess: IT-Systemets data/information och program skyddas så att de inte avsiktligt eller oavsiktligt görs tillgängliga eller avslöjas för obehöriga eller utnyttjas på ett otillåtet sätt.
• Spårbarhet: Det ska finns funktioner och rutiner som gör det möjligt att härleda alla operationer i IT-Systemet till enskilda individer och program.

7. Resultat

I detta avsnitt gör vi en kortare sammanfattning av de case som vi studerat. Vi tar upp deras hypoteser, problemställningar, syften och resultat.

Vi ska här försöka visa på äktheten i dessa dokument. Därför använder vi oss av de riktlinjer Clark (1967) anger vilka vi finner relevanta i detta sammanhang. Alla dokument vi har valt att arbeta med har sitt ursprung i den akademiska världen. De är alla godkända C- eller D-uppsatser skrivna mellan åren 1995 och 1997. Även om uppsatsarbetena är gjorda ute på företag så har vi ingen anledning att misstänka att de är gjorda på uppdrag av företagen. Vi har heller ingen anledning att misstänka att författarna har låtit egna värderingar påverka arbetet.

Uppsatsen är skriven av Anders Engwall och Béatrice Karjalainen och har titeln "Användarmedverkan – Problem som kan påverka acceptansen av systemet". Författarna menar att allt fler systemutvecklingsarbeten i dag sker med involvering från användarnas sida och vissa projekt är till och med utförda med användarna i centrum. Trots detta blir inte alltid dessa system accepterade. Författarna utgår ifrån hypotesen att detta beror på att användarmedverkan i sig skapar nya problem som man ej tagit med i beräkningen. Syftet med arbetet är att utreda om det finns problem vid användarmedverkan som gör att användarmedverkan inte automatiskt leder till accepterade system.

Författarna har valt att inte göra en empirisk studie utan istället antagit ett teoretiskt angreppssätt, där man inhämtat material och kunskap från litteraturen och tidigare gjorda undersökningar.

Författarna utgår ifrån två undersökningar: Saarinen, Sääkisjärvi, 1990 och Hawks, Dos Santos, 1991. Saarinen och Sääkisjärvi undersökte hur användarmedverkan påverkade hur nöjda användarna var med informationen, systemets användarvänlighet och hur lätt systemet var att ändra och anpassa efter nya krav. Deras undersökning visar att det endast är nedanstående punkter som har någon inverkan på informations- och användarvänlighetsvariablerna:

Systemutvecklarnas:

• kunskaper i systemutveckling/tekniker
• kunskaper om organisationen
• skicklighet att kommunicera och uttrycka krav

och användarnas:

• känsla av involvering
• kunskaper i systemutveckling/tekniker

Detta stöds av Hawks och Dos Santos undersökning där de visar på att användarnas medverkan inte har någon större betydelse för att användarna ska få ett bra och lättanvänt system såvida de inte kan systemutveckling/tekniker mycket bra.

Problem som involverar kommunikation och förståelse mellan systemutvecklare och användare kan orsaka att system inte blir tillräckligt bra. Men det största problemet är om systemutvecklarna inte kan förklara systemutvecklingsmetoderna för användarna och/eller om de inte kan presentera kravspecifikationer på ett sätt som användarna förstår. Då kan systemet få en utformning där varken informationen, funktionerna eller gränssnittet är bra.

Hawks och Dos Santos fann även ett samband mellan användarnas kommunikationsförmåga och acceptansfaktorerna. Detta innebär att om användarna inte kan förklara för systemutvecklaren vad de vill ha så kan informationen, funktionerna och gränssnittet bli fel.

Systemutvecklarnas dåliga kunskap inom systemutveckling/teknik kan påverka hur informationen, användbarheten och användarvänligheten blir accepterad i det slutliga systemet. Även systemutvecklarnas kunskap om organisationen spelar en viss roll. Om de har dåliga kunskaper om organisationen kan det hända att informationen inte blir korrekt, funktioner saknas och att systemet får ett gränssnitt som inte accepteras av användarna.

Arbetet har titeln "Vad påverkar en slutanvändares syn på system?" och är skrivet av Björn Lundström och Magnus Nilsson. De arbetar med hypotesen att:

Man har kommit fram till att följande faktorer påverkar en slutanvändares syn på systemet:

• Förändringar
• Driftssäkerhet
• Systemet löser uppgiften rätt – löser rätt uppgift
• Dokumentation
• Kunskap

Författarna har gjort en fallstudie där de har granskat SSAB Tunnplåt AB:s system STINS och där man fann att slutanvändarnas syn på de ovanstående faktorerna till stora delar överensstämmer med dessa. Faktorn dokumentation är dock en faktor där teori och fallstudie skiljer sig åt. Litteraturen säger att det är viktigt med såväl dokumentation om förändringar som användar- och systemdokumentation. Fallstudien pekar dock på motsatsen, att det inte alls är speciellt viktigt. Författarna har dock kommit fram i sin analys till att denna skillnad mellan fallstudie och litteratur beror på det faktum att slutanvändarna av STINS har varit delaktiga vid systemkonstruktionen och på detta vis fått sådana kunskaper om systemet att de kan det utan och innan.

Denna magisteruppsats är skriven av Catharina Marklund och Anna Olsson vid Institutionen för Informatik på Handelshögskolan vid Göteborgs Universitet. Arbetet är gjort under vårterminen 1997 och är titulerat "Intranät – En fallstudie på Göteborgs Posten".

Med uppsatsen vill författarna genom en litteraturstudie och en egen undersökning visa på faktorer som måste beaktas vid ett införande av ett Intranät. Författarna har bl.a. haft för avsikt att:

• Undersöka vilken information och vilka funktioner användarna vill ha.
• Rangordna behovet, d.v.s. angelägenhet om att informationen och funktionerna ska finnas på intranätet.
• Undersöka huruvida innehållet kunde grupperas i utvecklingsfaser.
• Kontrollera om informationsinnehållet i de olika utvecklingsfaserna går att kategorisera.
• Undersöka behovet av en sammankoppling av organisationens nuvarande informationssystem.

För att få en bild av hur marknaden för Intranät ser ut så har författarna gjort en mindre undersökning på ett flertal företag. Detta har de också gjort för att hitta vad de kallar "rätta frågorna". Innan den stora undersökningen på GP gjordes också en mindre förundersökning för att en sista gång kunna slipa på frågorna.

Svaren har resulterat i ett antal punkter som författarna föreslår implementeras stegvis. Man fann att informationens och funktionernas införande bl.a. har med individens mognad att hantera intranätet att göra. Det är viktigt att börja rent informativt för att senare mer och mer involvera användarna i intranätets uppbyggnad.

För att det intranätet ska fungera gäller enligt författarna följande:

En sista sjätte faktor kan enligt författarna tänkas vara motivationen. För att lyckas med ett Intranät bör användarna vara övertygade om att ett Intranät är det rätta medlet för ändamålet.

Även det fjärde caset kommer ifrån Institutionen för Informatik på Handelshögskolan vid Göteborgs Universitet. Denna magisteruppsats är skriven av Jens Gustafsson och Patrik Skoogh under vårterminen 1997. Uppsatsen med titeln "Fallstudie av en Lärande Organisation och dess Intranät-stöd" har följande syfte:

Det är författarnas syftet att med uppsatsen göra en fallstudie av en lärande organisation som aktivt använder sig av IT, och genom detta få en bild av hur företaget utvecklas mot en solid lärande organisation, och utifrån detta kunna bestämma om IT är en möjliggörare för lärande organisationer.

Fallstudien har författarna gjort på företaget Guide Datakonsult AB. Guide anser sig vara en lärande organisation som använder sig av IT. Främst Intranät, och detta som en faktor för att utveckla sitt lärande i organisationen. Författarna har gjort djupintervjuer med fem personer inom företaget, samt observationer genom att verka i organisationen och på så sett aktivt undersöka Intranätet.

Vid fallstudien vid Guide Datakonsult fann författarna att grundstenarna i Guide är:

• Humankapitalet: Den enskilde individens kompetens som krävs för att tillhandahålla lösningar för kunden.
• Strukturkapitalet: Organisationens organisatoriska kompetens för att möta kundens behov.
• Kundkapitalet: Kundkapitalet definieras som djupet (penetrationen), vidden (täckningen), sammankopplingen (lojalitet) och lönsamheten av vår dedikation.

Dock kunde inte författarna med hjälp av sin undersökning visa på att utnyttjandet av internet-teknologier skulle leda till en bättre lärande organisation. Däremot visade nulägesanalysen att Guide Datakonsult kommit en bra bit i processen för en lärande organisation.

Författarna vill visa på nödvändigheten att ta hänsyn till allas önskemål, idéer och krav. De använder Peter Senges modell över de fem disciplinerna för förklara detta.

Det personliga mästerskapet är en av kärndisciplinerna som behövs för att bygga en lärande organisation. Personligt mästerskap handlar bland annat om individuellt lärande. Författarna menar att detta hålls tillbaka lite i Guides organisation. Detta är dock inte särskilt konstigt då detta kan motverka strävan att få hela organisationen att arbeta åt samma håll.

De mentala modellerna är ramverk för våra kognitiva processer, med andra ord styr de mentala modellerna hur vi tänker och agerar. Då klimatet på Guide främjar uppriktighet och ärlighet motsäger inte detta de mentala modellerna. Författarna ställer sig dock frågande till hur organisationen ska främja utvecklingen av ett samstämmigt lärande.

Team-learning/grupplärande kan vara en samling människor som gör något tillsammans, t.ex. ett fotbollslag, forskarteam eller två som skriver en magisteruppsats. På Guide har företaget kompetensgrupper där alla lär känna varandra lite bättre och på så sätt ökas förhoppningsvis teamkänslan på Guide. Alla i gruppen har alltid något att tillföra, d.v.s. allas kunskaper samlade blir större än summan av allas enskilda kunskaper. Organisationen får en synergieffekt, 1+1=2 förvandlas till 1+1=3.

Gemensamma visioner förenar människor i en strävan mot samma mål, vilket bland annat är viktigt för organisationer. Författarna menar att Guide har lyckats få organisationen att inse vikten av lärandet så att detta blivit en gemensam vision i organisationen. Detta har gjort att organisationen inte har det motstånd till förändringar vilket annars är vanligt. Det här är en förutsättning för en lärande organisation.

Den disciplin som länkar ihop de övriga till en helhet av teori och praktik är systemtänkandet. Helhetssynen är nödvändig om vi ska skapa en framgångsrik lärande organisation. Författarna hade svårt att sätta fingret på systemtänkandet. Alla visade upp olika grad av systemtänkande men författarnas intryck är att Guide har en vidsynthet utöver det vanliga och därför skapat goda förutsättningar för systemtänkandet. Detta genom den attityd som organisationen har gentemot individen och de misstag individen gör. Man vet att det inte lönar sig att bestraffa och det är i sig är ett bevis på systemtänkande.

I detta avsnitt visar vi på de kopplingar som vi finner mellan casen och den teori som tidigare presenterades.

I det första caset kommer man fram till att systemutvecklarnas skicklighet att kommunicera och uttrycka krav är väldigt viktigt för att nå acceptans för ett nytt system. Detta visar sig också i Bakkas kommunikationsmodeller där feedback och val av kanalegenskaper är oerhört viktigt för att reducera osäkerhet. Det talade ordet och bilder är exempel på kanaler som är att föredra. Det är med andra ord viktigt att välja en beskriviningsteknik i systemutvecklingsprocessen som användarna kan ta till, förstå och diskutera kring. Enligt Bakka skulle då exempel på dåliga kanaler kunna vara: Om organisationens infrastruktur vad gäller information fungerar så att beslut går genom allt för många mellanchefer vilket ökar risken för störningar i samband med inkodning och/eller avkodning.

Även i case 2 pekar författarna indirekt på vikten av bra kommunikation. Acceptansen påverkas av förändringar i systemet. Om förändringarna genomförs utan att föregås av en kommunikation som tillåter feedback så kan detta leda till en lägre acceptans för systemet vilket i förlängningen kan leda till ett aggressivt beteende från användarnas sida. Användarnas helhetsbild förutsätter även den att användarna har haft möjlighet att fråga och ha åsikter. En dålig kommunikation leder alltså, enligt case-författarna, till en lägre grad av accepterande från användarnas sida vilket Greenbaum och Kyng anser kan leda till att användarnas motstånd smittar av sig på systemutvecklarna.

I case 1 skriver författarna om de problem som kan uppkomma om kommunikationen mellan systemutvecklare och användare inte fungerar som den ska. Dessa problem kan även kopplas till de typer av användare som finns. Angelöw talar om att det finns vissa riskgrupper när det gäller förändringsarbete. Användare med lägre utbildningsnivå kan förväntas ha svårare att ta till sig systemutvecklingsarbetet liksom användare med tidigare negativa erfarenheter av systemutvecklingsarbete.

Författarna till case 1 talar om hur känslan av involvering i systemutvecklingsarbetet påverkar acceptansen av det nya systemet. Madsen menar å sin sida att förändringsarbetet måste appellera till användarna kontaktbehov, prestationsbehov, upplevelsebehov, nyfikenhet och/eller skaparlust för att dom ska känna sig motiverade. Ett exempel på hur man kan öka motivationen skulle kunna vara, som i case 4, lansera idén om "lärande som en vision i organisationen". Lärandet skulle då hjälpa användarna att tillfredsställa sina aktivitetsmotiv (t. ex. Det intellektuella aktivitesmotivet: nyfikenhet). Detta för att minska motståndet mot förändringar.

Även i case 3 menar författarna att motivationen är en viktig faktor vid utvecklandet av ett nytt system. Det kanske viktigaste grundmotivet i sammanhanget är aktivitetsmotivet vilket innehåller "nyfikenhet" och "skaparlust".

Angelöw menar att de anställda kan möta förändringar bl.a. genom man anpassar sig till förändringar och detta gör man för att tillfredsställa grundmotiven enligt ovan. Känner man däremot att dessa grundmotiv ej blir tillfredsställda så bjuder man motstånd för att hålla fast vid existerande arbetsvillkor.

Billfeldt och Söderbergs teorier om vilka faktorer som påverkar människans motivation till att göra ett bra arbete går igen i casen där t ex användarnas känsla av involvering kan ses som: Medbestämmande över den egna arbetssituationen eller Trivsel med arbetsuppgifterna.

En positiv effekt av att implementera stegvis, vilket man talar om i case 3, är att man ger användarna chans att vänja sig vid den nya situationen (skapa mening i informationen). Detta förutsätter dock att man ser individens lärande dels som en individuell process och dels som ett resultat av hans/hennes relation till sin omgivning. Användarna får därigenom en möjlighet att ge feedback på det nya. Man behöver möjlighet att reflektera över det man lärt sig (Kolb) eftersom detta leder till en djupare förståelse vilket behövs för att nå en acceptans av det nya systemet.

Acceptansen av ett system påverkas bl.a. av vilken känsla av involvering användarna har (case 1). Bastoe och Dahl talar om det strukturella perspektivet kontra det humanistiska perspektivet där det strukturella perspektivet innebär låg delaktighet från de anställda och att förändringsarbetet är toppstyrt. Det humanistiska perspektivet innebär däremot att de anställda är aktiva i förändringsarbetet genom hela processen. Samtidigt skiljer sig, vilket Bruzelius och Skärvad talar om, graden av acceptans mellan olika individer och beroende på hur förändringarna genomförs. Bjerknes och Bratteteig representerar å sin sida en mer politisk syn på saken då man bl. a. anser att användarmedverkan behövs för att stärka arbetsplatsdemokratin.

Angelöw menar att förändringsarbete traditionellt sett har varit toppstyrt, vilket har lett till att viljan till förändringar har varit låg hos användarna, men att detta gradvis håller på att förändras. Detta stämmer väl överens med vad man menar i case 1 nämligen att allt fler projekt sker med användarna i fokus.

Även Andersen menar att involveringen från de anställdas sida ökar. Han pekar dessutom på vikten av en parallell utveckling av personalen, organisationen och systemet. I case 1 säger man till och med att det, i vissa projekt, är användarna som helt dominerar. Andersen menar att skälet till detta är att de egentliga systemutvecklarna är upptagna med annat. En annan anledning till detta kan vara att användarna helt enkelt är de som har de bästa kunskaperna om det nuvarande systemet och därför vet bäst vilka behov det kommande systemet bör fylla.

Författarna till case 2 skriver att slutanvändarna av STINS har en god helhetssyn på systemet för att de har varit delaktiga vid systemkonstruktionen. Detta menar Angelöw leder till att användarna inte bara anpassar sig till förändringarna utan att de dessutom blir engagerade i sitt arbete och mer benägna att acceptera förändringar.

I case 4 vill författarna peka på vikten av att ta hänsyn till allas önskemål, idéer och krav, något som väl stämmer överens med Angelöws teori om den delaktiga förändringsstrategin där alla som berörs av förändringarna också är med och planerar, genomför och följer upp arbetet. Delaktigheten kan även bestå av det som Senge kallar Team-learning/grupplärandet. Han menar att det är nödvändigt att lära tillsammans för att utveckla förmågan att nå fram till de resultat som gruppen verkligen vill uppnå.

I casen poängteras vikten av att användarna har kunskaper och motivation (känsla av involvering) för att systemen ska accepteras. Ur säkerhetssynpunkt stämmer detta väl överens med Freese och Holmbergs teori om användarrelaterade säkerhetsproblem där författarna menar att upp till 50% av IT-relaterade säkerhetsproblem beror på feloperationer.

Användarna ställer i dag högre krav på funktionalitet och säkerhet vilket statskontoret specificerar i ett antal punkter. I case 2 menar man att bl. a. driftssäkerhet är en av faktorerna som påverkar acceptansen av systemet. Författarna till case 3 menar att informationen i systemet bl. a. måste vara tillgänglig och färsk för att systemet ska fungera. Detta kan jämföras med de krav som Statskontoret ställer där riktighet och tillgänglighet är två punkter.

Författarna Seger och VonStorch menar att ca 55% av säkerhetsincidenterna beror på mänskliga misstag. Författarna till case 4 pekar på Guide Datakonsult AB där man är medveten om att användarna gör misstag men att de inte straffas för det.

Det påpekas också med hjälp av Senges modell för systemtänkandet vikten av att få organisationen att arbeta åt samma håll. Alla ska kunna lära av varandra, för det är viktigt att inte bara vissa bitar av organisationen arbetar korrekt utan att hela organisationen gör det. Det finns klara paralleller mellan IT-strategin och systemtänkandet då båda syftar till att få alla att arbeta mot samma mål. Då alla arbetar mot samma mål elimineras många användarrelaterade hot mot IT-säkerheten.

Syftet med denna uppsats är, som tidigare sagts, inte att visa att ökad användarmedverkan leder till säkrare system (eller motsatsen) utan snarare att, genom en fallstudie kopplad till den litteratur vi valt att inkludera, komma fram till någon form av hypotes. Vi inleder därför denna diskussion med en redogörelse av de slutsatser vi drar utifrån den föregående analysen.

Skälet till användarmedverkan vid systemutvecklingen tror vi i de flesta fall beror på att man vill vinna användarnas intresse och energi. De har också den bästa kunskapen om den nuvarande verksamheten och därför har de även den bästa insikten i hur det kommande systemet bör se ut. Ur säkerhetssynpunkt har organisationen mycket att vinna på användarens intresse, energi och kunskaper eftersom detta leder till att användaren gör färre fel och därmed minskar de realiserade hoten som kan härröras från mänskliga misstag och missnöjda anställda.

55% av säkerhetsincidenterna går att härröra från mänskliga misstag. En stor källa till dessa misstag är säkert dålig kommunikation. Genom att minska störningar i kommunikationen och använda lämpliga kommunikationskanaler minskar man riskerna för mänskliga misstag. Det är med andra ord viktigt med en väl genomtänkt IT-infrastruktur. Med detta menar vi exempelvis att beslut som går genom många mellanchefer lätt kan tappa den ursprungliga tanken på vägen. Det räcker med att en person begår misstag vilket kan äventyra hela organisationens säkerhet.

Det räcker dock inte med en god kommunikation för att få en godtagbar säkerhet. Användarna måste känna sig motiverade att ta till sig den säkerhetsstrategi som organisationen har. Detta uppnår man genom att göra alla berörda användare delaktiga i systemutvecklingsarbetet. Det som vi i dag menar när vi säger användarmedverkan är nog alltför ofta i stället fråga om representativ medverkan. Representanter för användarna tillåts sitta med vid möten men de har egentligen inget att säga till om. Det sker en envägskommunikation där den mottagande parten är i underläge och där ingen feedback finns.

Man måste även titta på hur lärandet gestaltar sig när man arbetar med förändringar i systemet. Användarna måste ges tillfälle att reflektera och ge feedback annars riskerar man att få användarna emot sig vilket i sig är en säkerhetsrisk.

Utifrån ovanstående slutsatser har vi kommit fram till följande hypoteser:

1. Graden av användarmedverkan tycks öka med tiden men detta betyder inte nödvändigtvis att användarna är mer involverade i systemutvecklingsarbetet nu. Det är troligt att de oftast bara är med i form av representanter med lite eller inget att säga till om. Man bör därför tala mindre om att involvera användarna och istället mer om hur detta ska ske. Om användarmedverkan verkligen består av deltagande från användarnas sida så leder detta, enligt vår uppfattning, till ett säkrare system eftersom man då minskar risken för bl. a. feloperationer.
2. Vi tror IT-säkerheten har mycket att vinna på att systemutvecklare och ansvariga tar åt sig de kunskaper som står att finna i de arbetsvetenskapliga- och pedagogiska teorierna. Med detta vill vi säga att vi inte anser att man kan arbeta med IT-säkerhet utan att samtidigt ta hänsyn till begrepp som: kommunikation, motivation och lärande. Detta är något som vi inte tror sker i tillräcklig utsträckning i dag.

Anledningen till att vi valde att inte göra en kvantitativ undersökning var att vi kände att området var relativt outforskat och skulle ha blivit ogreppbart stort med tanke på det djup vi ville ha i arbetet. Med utgångspunk från ovanstående valde vi istället att göra en case-studie.

Så här i efterhand tror vi att det hade varit en bra idé att inrikta sig på ett case och med utgångspunkt från detta genomföra ett antal djupintervjuer.

En nackdel med att använda sig av case är att man kan finna sig låst av det material som finns tillgängligt. Vi tycker dock att de case vi har använt har innehållit de ingredienser vi har haft för avsikt att undersöka. Möjligtvis skulle vi kunna önska att casen var lite mer inriktade på säkerhetsproblematiken.

Bland avgränsningarna nämner vi att vi inte tagit hänsyn till ekonomiska aspekter i detta arbete. Eftersom detta trots allt är en icke obetydlig aspekt så föreslår vi att man kan inkludera även detta i fortsatta studier.

Vi anser också att fortsatt forskning på området även borde inkludera någon form av intervju. Vi har funnit att det i dagsläget inte finns särskilt mycket litteratur inom området säkerhet/användarmedverkan vilket gör det svårt att få ett tillräckligt bra underlag för att genomföra några intervjuer. Eftersom ämnet känns mer och mer relevant så tror vi att det, inom några år, finns mer kunskap i ämnet. Det vore då relevant att göra en ny studie då man även inkluderar ett antal intervjuer.

Andersen, E. S. (1994). Systemutveckling – principer, metoder och tekniker. (2: rev uppl).

Angelöw, B. (1991). Det goda förändringsarbetet. Lund: Studentlitteratur.

Backman, J. (1985). Att skriva och läsa vetenskapliga rapporter. Lund: Studentlitteratur.

Bakka, J. F., Fivelsdal, E., & Lindkvist, L. (1993). Organisationsteori : Struktur, kultur, processer. (2.2 rev uppl). Malmö: Liber-Hermods.

Bastoe, PO, & Dahl, K. (1996). Organisationsutveckling i offentlig verksamhet. Lund: Studentlitteratur.

Billfeldt, D., & Söderberg, G. (1987). Praktikfall och teori för lokala nätverk. Lund: Studentlitteratur.

Borg, T., Lozano, A., Löfgren, T., Malmgren, S., & Palicki, J. (1997). IT-Säkerhet för ditt företag. Uddevalla: Bonnier DataMedia.

Bruzelius, L. H., & Skärvad, P-H. (1989). Integrerad organisationslära. (6:e rev uppl). Lund: Studentlitteratur.

Bruzelius, L. H., & Skärvad, P-H. (1995). Integrerad organisationslära. (7:e rev uppl). Lund: Studentlitteratur.

Bødker, S. , Greenbaum, J., & Kyng, M. (1991). Setting the Stage for Design as Action. J. Greenbaum & M. Kyng. (Ed.), Design at work – cooperative design of computer systems. New Jersey: Lawrence Erlbaum Associates.

Checkland, P. B. (1993). Systems Thinking, Systems Practice. (2:e rev uppl). England: John Wiley & Sons Ltd.

Clark, G.K. (1967). The Critical Historian. Portsmouth, N.H.: Heinemann Educational Books.

Ekman, A. (Red.). (1998). Nationalencyklopedin på CD-ROM. Höganäs: Bokförlaget Bra Böcker AB

Eriksson, L.E., & Wiedersheim-Paul, P. (1997). Att utreda, forska och rapportera. (5:e uppl). Malmö: Bäcklunds Boktryckeri Aktiebolag.

Freese, Jan., & Holmberg, S. (1993). Data säkerhet – Praktisk handbok för beslutsfattare. (3:e rev uppl). Lidingö: Affärsinformation AB

Gro Bjerknes, G., & Bratteteig, T. (1994). User Participation and Democracy. Scandinavian Journal of Information Systems, Nr 7, 73-98.

Icove, D., Seger, K., & VonStorch, W. (1995). Computer Crime – A Crimefighter´s Handbook. USA: O’Reilly & Associates, Inc.

Lennerlöw, L. (Red.) . (1997). Människan i arbetslivet. (2:a rev uppl). Stockholm: Publica - Norstedts Juridik AB.

Merriam, S. B. (1994). Fallstudien som forskningsmetod. Lund: Studentlitteratur.

Segerstad, H, H., Klasson, A., & Tebelius, U. (1996). Vuxenpedagogik – att iscensätta vuxnas lärande. Lund: Studentlitteratur

Senge, P.M. (1995). Den femte disciplinen. (T. Cato, övers.). Stockholm: Nerenius & Santérus Förlag.

Statskontoret. (1997). Handbok i IT-Säkerhet – Del 1. Stockholm: Statskontoret.

Engewall, A., & Karjalainen, B. (1996). ANVÄNDARMEDVERKAN – Problem som kan påverka acceptansen av systemet. (C-Uppsats) Högskolan i Luleå: Systemvetenskaplig linje vid Högskolan i Luleå.

Gustafsson, J., & Skoogh, P. (1997). Fallstudie av en lärande Organisation och dess intranet-stöd. (C-Uppsats) Göteborgs Universitet: Institutionen för Informatik vid Göteborgs Universitet.

Lundström, B., & Nilsson, M. (1995). Vad påverkar en slutanvändares syn på system?. (C-Uppsats) Högskolan i Luleå: Systemvetenskaplig linje vid Högskolan i Luleå.

Marklund, C., & Olsson, A. (1997). INTRANET – En fallstudie på Göteborgs Posten. (C-Uppsats) Göteborgs Universitet: Institutionen för Informatik vid Göteborgs Universitet.

Anteckningar från kursen IT-säkerhet, Högskolan i Halmstad, hösten 1998