Global ETD Search

1	Information Security Risk Assessment : An Analysis of a Medical Aid Service Hedlund, Filip, Loots, Emma January 2020 (has links) Security in the healthcare sector has historically been insufficient, seeing several high-profile cyber-attacks crippling availability of equipment and vital services with demands of ransom sums, and intrusions collecting sensitive patient data en masse. For this reason, digital services intended for medical use need to be convincingly secure in order to be adopted. This report investigates how to implement sufficient information security for a system involving a digital pill organiser with mobile application connectivity intended for professional medical use. Each component of the currently-indevelopment Dosis Pro system is systematically evaluated in order to assess which security measures need to be taken for the service to be considered adequately secure. The analysis is structured around the ISO IEC 27001:2013 guidelines, and potential solutions are suggested on a per-component basis based on a broad literature study in related research. The result is practical solutions for 19 highlighted problem areas, which should achieve a reasonable level of security overall in combination with the careful data flow of the service. Further, to achieve an exceptionally secure system it is advisable to test the solutions on a complete system, and continuously carry out similar evaluations and improve its design throughout several years of operation. / Hälsovårdssektorn har genom tiderna utstått många angrepp mot sina digitala verktyg och tjänster. Det har rådit allt från storskaliga dataintrång till förhindrande av kritiska offentliga tjänster med krav på lösensummor. På grund av det här måste digitala produkter avsedda för medicinskt bruk visas vara säkra för att bli accepterade. I detta examensarbete undersöks det hur man kan implementera fullgod datasäkerhet för ett system kring en digital pillerdosa med appanslutning avsedd för bruk inom vården. I rapporten undersöks systematiskt varje komponent av Dosis Pro-tjänsten för att avgöra vilka säkerhetsrisker som existerar och vilka åtgärder som behöver vidtas för att tjänsten ska kunna konstateras vara säker. Analysen struktureras enligt riktlinjerna från ISO IEC 27001:2013, lösningar föreslås komponentvis utifrån en bred litteraturstudie inom relaterad forskning. Resultatet är praktiska lösningar för 19 identifierade problemområden, vilka tillsammans bör uppnå en godkänd säkerhetsnivå medräknat tjänstens försiktiga data-flöde. Vidare, för att uppnå ett exceptionellt säkert system, rekommenderas det att testa lösningarna i ett färdigt system, och kontinuerligt utföra liknande utvärderingar för att göra förbättringar under flera år av drift. Computer and Information Sciences Data- och informationsvetenskap
2	Implanta??o de ferramentas e t?cnicas de seguran?a da informa??o em conformidade com as normas ISO 27001 e ISO 17799 Souza, Ranieri Marinho de 15 February 2008 (has links) Made available in DSpace on 2016-04-04T18:31:22Z (GMT). No. of bitstreams: 1 raniere marinho de souza.pdf: 1926577 bytes, checksum: 484dfcd407330aafd991c45a093a9fdb (MD5) Previous issue date: 2008-02-15 / The technical evolution that we are living both in relation to the computer programs and to the hardware equipments that supply the market, it also happens to the threats in the virtual world. Besides the technological advance, we also have the popularization of the broadband Internet access, which makes possible a faster threats proliferation. However, the mechanisms of information security not always are able to withhold such threats, being therefore, necessary to develop a security project tailored to the characteristics of businesses of each company, because a specific knowledge of the vulnerabilities is a fundamental step to minimize the effects of any eventual threat. Bearing this scenario in mind, in this work we present a method to provide information security to organizations that use telecommunications and computer networks resources. / A evolu??o tecnol?gica que estamos vivendo tanto em rela??o aos softwares de computador quanto aos equipamentos de inform?tica que abastecem o mercado tamb?m ocorre em rela??o ?s amea?as no assim chamado mundo virtual. Aliado ao fato do avan?o tecnol?gico temos ainda a populariza??o do acesso ? Internet por banda larga, que possibilita uma maior velocidade na prolifera??o de amea?as. No entanto, os mecanismos de seguran?a da informa??o nem sempre est?o aptos a det?-las, sendo, portanto, necess?rio desenvolver um projeto de seguran?a adequado aos neg?cios e caracter?sticas de cada empresa, pois um conhecimento espec?fico das vulnerabilidades ? um passo fundamental para se minimizar os efeitos de qualquer eventual amea?a. Em vista desse cen?rio, neste trabalho apresentamos um m?todo para prover a seguran?a da informa??o em organiza??es que utilizem recursos de redes de computadores e de telecomunica??es. Termos de indexa??o: seguran?a, tecnologia, informa??o, telecomunica??es, ISO 17799 e ISO 27001. seguran?a tecnologia informa??o telecomunica??es ISO 17799 ISO 27001 security technology information telecommunications ISO 17799 ISO 27001
3	Hur ISO 27001 certifierade företag utvecklar sina anställdas Kunskap, Attityd och Beteende mot Informationssäkerhetsmedvetenhet / How ISO 27001 certified companies develop their employees´Knowledge, Attitude and Behavior towards Information Security Awareness Istiphan, Sebastian, Biller, Alexander January 2023 (has links) Många företag har idag ett stort ansvar att hålla information säker. Med människor som jobbar med informationen hos företag följer därför arbetet med att stärka informationssäkerhetsmedvetenheten, vilket kan göras genom att bland annat implementera ett ledningssystem för informationssäkerhet efter standarden ISO 27001. Det finns däremot flera sätt att påverka informationssäkerhetsmedvetenheten och bland dessa är det genom att påverka kunskap, attityd eller beteende. Denna studie har därför undersökt hur företag arbetar med dessa aspekter i ett företag certifierat genom ISO 27001. För studien har semistrukturerade intervjuer utförts hos ISO 27001-certifierade företag med vidare analys för att besvara studiens frågeställning. Resultaten visar att företagen enhetligt har ett stort fokus på kunskapsaspekten av arbetet med informationssäkerhetsmedvetenhet samt att beteende är något som sällan är problematiskt men följes upp med åtgärder beroende på incidenten. Slutsatserna som presenteras är rekommendationer som när applicerbara ökar informationssäkerhetsmedvetenheten hos företag. Studien har främst undersökt kunskap, attityd och beteende hos ISO 27001-certifierade företag i Sverige vilket gör att kulturella och dylika faktorer möjligtvis saknas, vilket kan påverka hur applicerbara rekommendationer är för företag utanför Sverige. / Many companies today have a big responsibility to keep their information secure. As there are employees working with information, there is also a need for improvement of the employee’s information security awareness. This can be done through implementation of a management system for information security of the ISO 27001 standard. There are multiple ways to improve the information security awareness and some of these are through improving the knowledge, attitude, and behavior of the employee. This study has investigated how companies that have an ISO 27001 certification improve their employee’s knowledge, attitude, and behavior. The study identified this improvement through a qualitative method using semi-structured interviews, where the respondents are employees at companies that are ISO 27001 certified, the interviewees answers were then analyzed to answer the study’s question at issue. The results show that the companies uniformly focus on the knowledge aspect of information security awareness and that behavior is rarely an issue but that in the case of an incident is investigated. The conclusion presents recommendations as to how companies can improve their employee’s knowledge, attitude, and behavior to information security. The study mainly studied the knowledge, attitude, and behavior of Swedish companies that are ISO 27001 certified, which makes cultural and similar factors are missing which might affect how applicable the recommendations are for companies outside Sweden. KAB Knowledge Attitude Behavior Information Security Awareness ISO 27001 Information Security. KAB Kunskap Attityd Beteende Informationssäkerhetsmedvetenhet ISO 27001 Informationssäkerhet. Information Systems
4	Hinder och möjligheter med införandet av ISO 27001 : En undersökning på en medelstor organisation Vejseli, Arlind, Hedberg, Stefan January 2016 (has links) Internetanvändande har de senaste 20 åren växt på en global nivå från 2 % till 40 %. Detta har ökat den allmänna hotbilden mot organisationer och deras sårbarhet till förlust av viktig information. Idag har flera organisationers värde större omfattning som består av information. International Organization for Standardization (ISO) samt International Electrotechnical Commision (IEC) bildar ett system som används för global standardisering inom informationssäkerhet. ISO 27001 är ett hjälpmedel för att skapa ett strukturerat och effektivt arbetssätt för organisationer att öka den allmänna säkerheten samt kontrollen inom organisationen. Syftet med studien är att beskriva hur personalens förutsättningar påverkas vid en implementering av ISO 27001-standarden i en medelstor organisation. För att ta reda på hur personalens förutsättningar påverkas vid en ISO 27001-certifiering utfördes en kvalitativ datainsamling, i form av intervjuer, på en medelstor organisation som nyligen har infört ISO 27001. Fyra intervjuer utfördes med personer som arbetar med IT-säkerhet på undersökningsföretaget. Studien beskrev att anställdas förutsättningar påverkades, genom att de var tvungna att arbeta efter en ny arbetsstruktur i samband med införandet av ISO 27001. Anställda var positiva till att ISO-certifieras, eftersom att det ansågs vara en del av säkerhetsarbetet. Det fanns också en osäkerhet kring hur det dagliga arbetet samt rutinerna skulle påverkas av ISO 27001. ISO 27001 IT-säkerhet ledningssystem certifiering organisationskultur Information Systems
5	An investigation of ISO/IEC 27001 adoption in South Africa Coetzer, Christo January 2015 (has links) The research objective of this study is to investigate the low adoption of the ISO/IEC 27001 standard in South African organisations. This study does not differentiate between the ISO/IEC 27001:2005 and ISO/IEC 27001:2013 versions, as the focus is on adoption of the ISO/IEC 27001 standard. A survey-based research design was selected as the data collection method. The research instruments used in this study include a web-based questionnaire and in-person interviews with the participants. Based on the findings of this research, the organisations that participated in this study have an understanding of the ISO/IEC 27001 standard; however, fewer than a quarter of these have fully adopted the ISO/IEC 27001 standard. Furthermore, the main business objectives for organisations that have adopted the ISO/IEC 27001 standard were to ensure legal and regulatory compliance, and to fulfil client requirements. An Information Security Management System management guide based on the ISO/IEC 27001 Plan-Do-Check-Act model is developed to help organisations interested in the standard move towards ISO/IEC 27001 compliance. ISO 27001 Standard Computer security Data protection
6	Integrace ISMS/ISO 27001/ISO 27002 do společnosti RWE / Integration of ISMS/ISO 27001/ISO 27002 to RWE company Peroutka, Tomáš January 2011 (has links) The main theme of this diploma thesis is Information Security Management System (ISMS) which is based on security standard ISO 27001 and ISO 27002. This thesis is one part of the project of integration ISMS to company RWE. First goal is analysis of actual documentation of RWE. Second goal is proposal of ideal structure of ISMS documentation. Third goal is assignment the parts of RWE documentation to ideal structure of ISMS documentation. Analysis of actual documentation used knowledge about RWE documentation to create overview table with all documents and their relations. Ideal structure of ISMS documentation was based on selected parts of ISO 27001 and multicriterial analysis. Third goal of this thesis was reached by assignment parts of RWE documentation to selected parts of ISO 27001 from the second goal. Contribution of this diploma thesis is the ideal structure of ISMS documentation and form of old RWE documentation assignment, because these goals are usual steps of PDCA cycle of ISMS but they are described briefly and sparsely in security standards and works related to ISMS.
7	IT-säkerhetshotet phishing : Svenska små och medelstora företags utbildningsinsatser inom problemområdet / Phishing, a cybersecurity threat : Swedish SMEs education efforts within the problem area Metso, Joanna, Gunnarsson, Rasmus January 2021 (has links) Informationssäkerhetsutbildning om phishing krävs för att kunna bekämpa det hot som phishing utgör, då människan alltid är den svagaste länken inom en organisation. Även om förslag och krav kopplade till hur informationssäkerhetsutbildning bör genomföras finns beskrivet i litteratur, standarder och ramverk är det svårt för SMF:er att anpassa och implementera dessa rent praktiskt. Syftet med denna studie är därför att undersöka svenska SMF:ers implementation av utbildningsinsatser för att bemöta phishing-hotet. Empirin har samlats in genom semistrukturerade intervjuer samt tematisk analys. Resultaten från studien visade att utbildningsinsatserna främst är grundade på egna erfarenheter och exempel från tidigare phishing-attacker som drabbat andra organisationer. Ett par organisationer har inte utvecklat sina utbildningsinsatser själva, utan använder verktyg och andra organisationers erfarenheter som hjälpmedel. Resultaten visade också att åsikterna om den valda utbildningsinsatsen inte alltid var lika mellan ledningen och användare. Slutsatsen av studien är att SMF:er kan implementera utbildning kring det hot som phishing utgör utan att förlita sig på specifika ramverk eller standarder, men att organisationen måste vara noga med att anpassa den efter sin egen organisations storlek. För att dra mer långtgående slutsatser än de som beskrivs i rapporten hade det varit av vikt att kunna förlita sig på ett större antal organisationer än de 4 organisationer och 10 intervjudeltagare som deltog i studien. Dessutom behövs mer forskning inom området gällande smishing och vishing. / Information security training about phishing is required to be able to combat the threat that phishing determine, as humans are always the weakest link within an organization. Although proposals and requirements linked to how information security training should be implemented in the literature, standards, and frameworks, it is difficult for SMEs to adapt and implement these in practice. The purpose of this study is therefore to investigate Swedish SMEs' implementation of forms of education to address the phishing threat. The empirical data has been collected through semi-structured interviews and thematic analysis. The results from the study showed that the forms of education are mainly based on own experiences and examples from previous phishing attacks that have affected other organizations. A couple of organizations have not developed their forms of education themselves, instead they use tools and other companies experiences as aids. The results also showed that the opinions about the chosen form of education were not always the same between management and users. The conclusion of the study is that SMEs can implement education around the threat that phishing constitutes without specific frameworks or standards to rely on, but if the organization want to use it, they must be careful to adapt the education to their own organization's size. In order to draw more far-reaching conclusions than those described in the report, it would have been important to be able to rely on a larger number of organizations than the 4 organizations and the 10 interviewees that participated in the study. In addition, more research is needed in the field of smishing and vishing. Informationssäkerhet SMF Phishing Smishing Vishing Medvetenhet ISO 27001 Computer and Information Sciences Data- och informationsvetenskap
8	Zavedení standardu ISO 27701 do firmy využitím Gap analýzy / Implementation of standard ISO 27701 in the company using Gap analysis Vicen, Šimon January 2020 (has links) This thesis analyses current state of the system for implementation of standard ISO 27701: 2019 extention. This standard extends already established standard ISO 27001. The thesis evaluates set of controls to the requirements of standard ISO 27701: 2019. Theoretical part contains information regarding the information security, describes a set of ISO 27000 standards as well as European and Czech legal acts related to information security. Following analysis of the company is performed with the application of security measures while implementing the extension standard ISO 27701. Contribution of this thesis is evaluation of the analysis which results from implementation of recommended standard to address the increased number of security threats and the protection of security information.
9	Fatores que influenciam a aceita??o de pr?ticas avan?adas de gest?o de seguran?a da informa??o: um estudo com gestores p?blicos estaduais no Brasil Nobre, Anna Cl?udia dos Santos 04 September 2009 (has links) Made available in DSpace on 2014-12-17T13:53:24Z (GMT). No. of bitstreams: 1 AnnaCSN.pdf: 3032779 bytes, checksum: c9b62b38c5e42ff883e6b2946ccff0e1 (MD5) Previous issue date: 2009-09-04 / This study examines the factors that influence public managers in the adoption of advanced practices related to Information Security Management. This research used, as the basis of assertions, Security Standard ISO 27001:2005 and theoretical model based on TAM (Technology Acceptance Model) from Venkatesh and Davis (2000). The method adopted was field research of national scope with participation of eighty public administrators from states of Brazil, all of them managers and planners of state governments. The approach was quantitative and research methods were descriptive statistics, factor analysis and multiple linear regression for data analysis. The survey results showed correlation between the constructs of the TAM model (ease of use, perceptions of value, attitude and intention to use) and agreement with the assertions made in accordance with ISO 27001, showing that these factors influence the managers in adoption of such practices. On the other independent variables of the model (organizational profile, demographic profile and managers behavior) no significant correlation was identified with the assertions of the same standard, witch means the need for expansion researches using such constructs. It is hoped that this study may contribute positively to the progress on discussions about Information Security Management, Adoption of Safety Standards and Technology Acceptance Model / Este estudo analisa os fatores que influenciam os gestores p?blicos na ado??o de pr?ticas van?adas de Gest?o de Seguran?a da Informa??o. A pesquisa utilizou como base assertivas a Norma de Seguran?a ISO 27001:2005 e modelo te?rico baseado no TAM (Technology Acceptance Model) descrito em Venkatesh e Davis (2000). O m?todo adotado foi a esquisa de campo de alcance nacional que contou com a participa??o de oitenta gestores p?blicos dos Estados do Brasil, sendo todos coordenadores na ?rea de gest?o e planejamento dos governos estaduais. A abordagem da pesquisa foi quantitativa e foram utilizados m?todos de estat?stica descritiva, an?lise fatorial e regress?o linear m?ltipla para an?lise dos dados. Os resultados da pesquisa apresentaram correla??o entre os construtos do modelo TAM (facilidade na utiliza??o, percep??o sobre a utilidade, atitude e inten??o de utiliza??o) e a concord?ncia com as assertivas elaboradas de acordo com a norma ISO 27001, demonstrando que estes fatores influenciam os gestores na ado??o de tais pr?ticas. J? as outras vari?veis independentes do modelo (perfil organizacional, perfil demogr?fico e comportamental dos gestores) n?o tiveram correla??o significante com as assertivas da referida norma, demonstrando necessidade de amplia??o de pesquisas com utiliza??o de tais construtos. Espera-se que este estudo possa contribuir de forma positiva ao avan?o nas discuss?es sobre o tema Gest?o de Seguran?a da Informa??o e Ado??o de Normas de Seguran?a, bem como, Modelos de Aceita??o de Tecnologia Gest?o de seguran?a da informa??o Certifica??o ISO 27001 Modelo de aceita??o de tecnologia TAM Information security management ISO 27001 certification Technology Acceptance Model TAM
10	Effekterna av en ISO/IEC 27001-certifiering : Upplevda förändringar bland små svenska organisationer / The effects of ISO/IEC 27001 certification : Perceived changes among small Swedish organizations Ljunggren, Viktor, Freid, Emil January 2020 (has links) Samhället idag är mer uppkopplat och hanterar större mängder information än tidigare. Informationen hanteras i större omfattning av IT-system där kraven på säker hantering av information blir allt större. För att hantera informationssäkerhet kan organisationer implementera ett ledningssystem för informationssäkerhet (LIS). Det tar både tid och resurser att designa och implementera ett LIS. För att denna investering ska vara lönsam bör den också ge ett mervärde för organisationer. För att standardisera och specificera uppbyggnaden av LIS har ISO/IEC 27001 (standard för LIS) utvecklats och implementerats av organisationer världen över. Syftet med denna studie är att identifiera vilka förändringar som en ISO/IEC 27001-certifiering leder till hos små organisationer i Sverige. En intervjustudie har utförts med en semistrukturerad intervju som datainsamlingsmetod. Utifrån den insamlade empirin har sex kategorier identifierats och beskrivs tematiskt utifrån varje informant. Studien visar att organisationer får en bättre process och kontroll över informationssäkerhet och en stärkt informationssäkerhetskultur. Utöver detta uppges informationssäkerhet ha förbättrats bland organisationer genom olika säkerhetsåtgärder. Dessutom har kommunikationen med kunder förenklats, när informationssäkerhet diskuteras. Studien undersöker ISO/IEC 27001-certifierings påverkan hos flera organisationer, för att få en diversitet på den insamlade empirin. Detta genomfördes med en informant per organisation, med överblick över både organisationen och certifieringen. Studien undersöker organisationer som redan är certifierade, då organisationen ska ha implementerat ISO/IEC 27001-standarden. Varken certifieringsprocessen, säkerhetsåtgärder, implementationen av eller tillämpningen av ledningssystemet har undersökts i denna studie. / Society today is more connected and handles more information than ever before. The information is handled to a greater extent by IT systems, where the requirements for secure information management have increased. To manage this increase in information flow, organization can implement an information security management system (ISMS). It takes both time and resources to design and implement an ISMS. For this investment to be profitable, it should also provide additional value for companies. In order to standardize and specify the structure of ISMS, ISO/IEC 27001 (Standard for ISMS) has been developed and implemented by companies all over the world. The purpose of this study is to identify the changes that an ISO/IEC 27001-certification leads to for small organisations in Sweden. An interview study has been conducted and semi-structured interviews has been used for data collection. Based on the collected empirical evidence, six categories have been identified and described thematically for each informant. The study shows that organisations get a better process and control over information security and a strengthened information security culture. In addition, information security is said to have improved among organisations through various security measures. In addition communications with customers have been simplified, whenever information security is discussed. The study examines the impact of ISO/IEC 27001-certification on four organisations, in order to ensure diversity of the empirical evidence collected. This was done with one informant per organisation, with an overview of both the organisation and the certification. The study examines organisations that are already certified, since the organisation need to have implemented the ISO/IEC 27001 standard. Neither the certification process, the security measures, the implementation nor the application of the management system have been investigated in this study. ISO 27001 ISO/IEC 27001 ISMS information management system certification ISO 27001 ISO/IEC 27001 SS-ISO/IEC 27001 LIS certifiering Information Systems

Search results