Informationssäkerhetspolicyer i svenska SMF : Utmaningar och hinder / Informationssecuritypolicys within Swedish SME:s : Challenges and barriers

Persson, Oscar, Notelid, Nils

January 2023

Information security is an important focus area in our business climate, where cyberattacks pose a growing threat. To address the increasing threat landscape, it is crucial for companies to establish guidelines and regulations on how employees and companies should act to maintain information security. Therefore, many companies are working on implementing an Information Security Management System (ISMS), where information security policies (ISP) are considered the cornerstone. However, research has shown that small and medium-sized enterprises (SMEs) face specific obstacles and challenges when it comes to implementing and complying with an ISP. The purpose of this study is to provide recommendations for Swedish SMEs to achieve better implementation and compliance levels of ISPs. The empirical data for this study is based on data collected through semi-structured interviews with Swedish SMEs. The collected data was then analyzed using thematic analysis. The results of the empirical data indicate that a lack of competence is the primary issue for Swedish SMEs in their information security efforts. The study’s conclusions discuss the recommendations based on the collected empirical data and the reviewed literature. Among the recommendations, the authors emphasize the importance of education to increase information security awareness, as well as the importance of engagement from top management. The authors have chosen to limit the scope of the study to businesses in Sweden. Furthermore, no consideration has been given to industry-specific characteristics since the study’s respondents operate in diverse business sectors. / Informationssäkerhet är ett viktigt fokusområde inom dagens företagsklimat, där cyberattacker utgör ett växande hot. För att möta den ökande hotbilden lyfts värdet av att företag etablerar riktlinjer och bestämmelser över hur anställda och verksamheten ska agera för att bibehålla informationssäkerheten. Många företag jobbar därmed för att etablera ett ledningssystem för informationssäkerhet (LIS), där informationssäkerhetspolicyer (ISP) anses utgöra grundpelaren för ett LIS. Forskning pekar däremot på att små och medelstora företag (SMF) upplever särskilda hinder och utmaningar när det kommer till att implementera och efterleva en ISP. Studiens syfte är således att framföra rekommendationer för hur svenska SMF kan åstadkomma en bättre implementations- och efterlevnadsgrad av informationssäkerhetspolicyer.Studiens empiri bygger på datainsamling som erhållits från semistrukturerade intervjuer med svenska SMF. Insamlade data har sedan analyserats med hjälp av en tematisk analysmetod. Resultatet av empirin indikerar på att kompetensbristen är den primära faktorn som hindrar svenska SMF i sitt informationssäkerhetsarbete. Studiens slutsatser avhandlar rekommendationer utifrån insamlad empiri och granskad litteratur. Bland rekommendationerna ser studiens författare att utbildning i syfte att höja informationssäkerhetsmedvetenheten och engagemang från företagsledningen är av största vikt för att lyckas. Författarna har valt att begränsa studiens omfång till den svenska företagsmarknaden. Vidare har ingen hänsyn tagits till industrispecifika karaktärsdrag, då studiens respondenter verkar inom spridda sektorer.

Information Security Policy (ISP)

Information Security

Small and Medium-sized Enterprises (SME)

Policy compliance

Informationssäkerhetspolicy (ISP)

Informationssäkerhet

Små och medelstora företag (SMF)

Policyefterlevnad

Information Systems