Ensimmäisenä empiirisenä haastattelututkimuksena tehtiin Kahan työntekijöille sekä kvantitatiivinen että kvalitatiivinen haastattelututkimus. Haastattelun tavoit-teena oli selvittää mitkä tekijät motivoivat työntekijöitä heidän pyrkiessä noudat-tamaan tietoturvakriteerejä. Haastattelu valittiin aineistonkeruumenetelmäksi, koska se mahdollisti motivaatiotekijöiden syvällisen käsittelyn. Samalla haluttiin pyrkiä ymmärtämään mitä ajatuksia kriteerit herättävät työntekijöissä sekä halut-tiin täsmentää kyselytutkimuksessa epäselviksi jääneitä kohtia.
Haastattelun perustana oli helmikuussa 2013 Kahalla tehdyn kyselytutkimuksen tulosten 22 heikoimmin noudattamaan pyrittyä tietoturvakriteeriä, jotka on esitet-ty kohdassa 5.3.3. Näistä kriteereistä 14 oli yleisiä ja 8 hallinnollisia
tietoturvakri-En ollenkaan/ melko harvoin En osaa sanoa En ollenkaan/ melko harvoin En osaa sanoa En ollenkaan/ melko harvoin En osaa sanoa
osoitetaan selkeästi yrityksen johdon tuki tietoturvalle. 8 16 2 1 6 15
huomioidaan tietoturvajohtamisen laajuus. 7 17 2 2 5 15
huomioidaan tietoturvajohtamisen hyvä tietohallintotapa (IT
Governance). 6 19 1 1 5 18
tietoturvan resursointi. 11 14 1 2 10 12
on toipumissuunnitelmat. 11 20 3 3 8 17
on menettelyt sidosryhmien tietoturvan hallintaan. 10 16 2 3 8 13
tietoturvan tavoitteita ja toteutumista seurataan ja arvioidaan. 7 19 2 2 5 17 pidetään yhteyttä asiakkaisiin ja sidosryhmiin tietoturvaa varten. 10 17 2 3 8 14
Hallinnolliset
Kaikki Esimiehet Työntekijät
teerejä. Motivaatiotekijöitä tarkasteltiin Decin ja Ryanin mittaamismenetelmällä toimintojen toteuttamisen motivaatiotekijöille, jotka ovat toisen henkilön tai tilan-teen vaatimus, toteuttamisen tuottama mielihyvä tai oma kiinnostus, toteuttamatta jättämisestä aiheutuva häpeä, syyllisyys tai ahdistus sekä oma usko toteuttamisen tärkeydestä (esitetty kohdassa 2.1). Tämä menetelmä valittiin, koska sen muoto ja valmiit vastausvaihtoehdot sopivat arvioimaan yrityksen tietoturvakriteerien (eli tietoturvatoimenpiteiden) toteuttamisen motivaatiotekijöitä. 22 heikoimmin nou-dattamaan pyrityn tietoturvakriteerin ja Decin ja Ryanin mittaamismenetelmän pohjalta laadittiin haastattelurunko, joka on esitetty liitteessä 6. Haastattelun ky-symyksillä pyrittiin tutkimaan tietoturvakriteereihin ja motivaatiotekijöihin liitty-en työntekijöidliitty-en mielipiteitä ja asliitty-enteita. Haastattelussa käsiteltiin yhtä kriteeriä kerrallaan.
Haastateltavilta kysyttiin kuhunkin kriteeriin liittyen kaksi kysymystä. Ensimmäi-nen kysymys, Millaisia ajatuksia kriteeri herättää sinussa?, oli avoin kysymys, jolla pyrittiin selvittämään vastaajan mielipidettä. Kysymys valittiin, jotta pystyt-tiin ymmärtämään mitä ajatuksia kriteerit herättävät työntekijöissä sekä täsmen-tämään kyselytutkimuksessa epäselviksi jääneitä kohtia. Vastaajaa pyydettiin vas-taamaan ensimmäiseen kysymykseen omin sanoin. Jälkimmäiselläkin kysymyk-sellä, Mikä tai mitkä syyt motivoisivat sinua pyrkimyksessä noudattaa kriteeriä?, selvitettiin mielipidettä ja asennetta. Kysymys valittiin, koska haluttiin selvittää mitkä tekijät motivoivat työntekijöitä heidän pyrkiessä noudattamaan tietoturva-kriteerejä. Tämän kysymyksen vastaukset sidottiin Decin ja Ryanin mittaamisme-netelmän mukaisiin vastausvaihtoehtoihin (toisen henkilön tai tilanteen vaatimus, toteuttamisen tuottama mielihyvä tai oma kiinnostus, toteuttamatta jättämisestä aiheutuva häpeä, syyllisyys tai ahdistus sekä oma usko toteuttamisen tärkeydestä).
Kysymysten taustalla oli ajatus modernista motivaatioteoriasta, jossa tutkitaan motivaatiota ihmisen tavoitteiden näkökulmasta. Teorian mukaan ensin määritel-lään ihmisen tavoitteet ja pyrkimykset. Teorian yhtenä tavoitteena on selvittää millaisia tunteita ihmisellä herää tavoitteisiin ja pyrkimyksiin liittyen. Koska mo-tivaatiotutkimusten yhteisenä tuloksena on löydetty runsaasti motivaatiotekijöitä, koettiin tutkimuksen suunnittelussa järkeväksi rajoittaa motivaatiotekijöiden mää-rää. Decin ja Ryanin mittaamismenetelmän mukaiset vastausvaihtoehdot tarjosi-vat sopivan vaihtoehdon. Haastattelun kysymysten ymmärrettävyys varmistettiin haastattelurungon laatimisen jälkeen yrityksen IT-päälliköllä, joka luki kysymyk-set läpi. Hän ei esittänyt vaatimuksia haastattelurungon muuttamiseksi.
Haastattelututkimus toteutettiin huhtikuussa 2013 yksilöhaastatteluna yrityksen tiloissa. Haastateltavat valittiin satunnaisesti numeron valitsevalla tietoteknisellä työkalulla kahdesta numeroidusta yrityksen henkilöstön nimilistasta, jotka oli järjestetty sukunimen mukaan aakkosjärjestykseen. Nimilistat muodostettiin
ase-man mukaan lajitellen, jolloin ensimmäisessä listassa olivat kaikki esimies-tason työntekijät (yhteensä 15 nimeä) ja toisessa kaikki nk. työntekijöihin kuuluvat työntekijät (104 nimeä). Haastattelussa oli alun perin varauduttu n. 15 haastatte-lun tekemiseen. Aluksi listoista valittiin haastatteluun kaksi esimiestä ja kolme työntekijää. Vain yhden esimiehen tai työntekijän haastattelua pidettiin liian sup-peana. Viidennessä haastattelussa tulokset alkoivat toistua. Tämän jälkeen tehtiin vielä kolmen työntekijän haastattelu varmistamaan tuloksia. Tulosten toistuminen jatkui, jolloin voitiin varmistua saturaation saavuttamisesta ja haastattelut lopetet-tiin. Yhteensä haastatteluja tehtiin kahdeksan. Kenenkään haastatellun työntekijän toimenkuva ei liittynyt suoraan tietotekniikkaan. Kaikki haastattelut tehtiin yhden päivän aikana yhden ja saman henkilön toimesta. Haastateltavat saivat tiedon haastattelusta haastattelua edeltävänä päivänä. Haastateltavat eivät saaneet haas-tattelukysymyksiä tietoonsa etukäteen. Yhteen haastatteluun kulunut aika oli 20 minuutista reiluun puoleen tuntiin.
Käytännössä haastattelu eteni samalla tavoin kaikissa haastattelutilanteissa. Haas-tattelun teema ja näkökulma oli valittu etukäteen, minkä takia kaikille haastatelta-ville esitettiin samat kysymykset. Haastattelun alussa haastateltavalle annettiin haastattelun runko (liitteessä 6) myös paperilta seurattavaksi. Haastattelurungolla pyrittiin varmistamaan, että kaikkien haastateltavien kanssa käydään läpi samat asiat. Haastateltavalle kerrottiin liitteessä esitetty esipuhe myös suullisesti.
Haastatteluista kirjoitettiin heti haastattelun aikana muistiinpanot, kustakin haas-tattelusta oma muistiinpanonsa. Muistiinpanoihin kirjattiin huolellisesti kaikki haastateltavien vastaukset. Muistiinpanot kirjoitettiin puhtaaksi tekstinkäsittelyoh-jelmalla haastattelua seuraavana päivänä. Tutkimustulosten esittelyssä kerrotaan muistiinpanoihin kirjatut vastaukset, eikä omien asenteiden annettu millään tavoin vaikuttaa kerrottaviin tuloksiin. Kussakin haastattelussa tehdyt muistiinpanot käy-tiin läpi kaksi kertaa, jotta varmistutkäy-tiin siitä, että kaikki vastaukset ovat varmasti ja huolellisesti esitelty. Tulokset raportoitiin niin, ettei yksittäistä vastaajaa voida tunnistaa. Vastaajia käsiteltiin kahtena ryhmänä: esimies/johtoryhmä-asemassa olevia vastaajia käsiteltiin esimiehinä sekä muita työntekijöitä työntekijöinä.
Decin ja Ryanin menetelmän mukaiset neljä motivaatiotekijää on mahdollista lajitella ulkoisiin ja sisäisiin motivaatiotekijöihin. Ulkoisesti motivoiva on toisen henkilön tai tilanteen vaatimus -motivaatiotekijä sekä sisäisesti motivoivia loput kolme motivaatiotekijää eli toteuttamisen tuottama mielihyvä tai oma kiinnostus, toteuttamatta jättämisestä aiheutuva häpeä, syyllisyys tai ahdistus sekä oma usko toteuttamisen tärkeydestä. Tämä huomioidaan myöhemmin tulosten analysoinnis-sa.