Standardisering av informationssäkerhet : Hur påverkar ett ledningssystem organisationen? En fallstudie hos ett svenskt SME

Brännlund, Jenny

January 2020

Vi befinner oss idag i informationseran och i denna tidsålder ökar både tillgängligheten och riskerna med teknologin och den data den hanterar. Organisationer av alla typer och branscher står inför samma utmaning, att skydda deras verksamhetskritiska data från illvilliga aktörer. Genom att införa ett standardiserat arbetssätt för informationssäkerhet kan många risker minimeras för organisationer av alla storlekar. Denna studie ämnar beskriva hur en certifiering mot en internationell standard för informationssäkerhet leder till förändring av organisationen och ledningssystemet hos ett svenskt SMF (små och medelstora företag) inom IT-sektorn. Studien genomförs med en enskild fallstudie med en kvalitativ metodologi, datainsamling och analys. Teori för informationssäkerhet, risker, kontroller och standardisering står som grund för undersökningen och empirin ställd mot den i analysen. Studiens slutsatser är att det sker en viss förändring av organisationen vid införandet av en standard och ett ledningssystem. Det införlivas ett säkerhetstänk i alla processer och rutiner i verksamheten. Studien framför även vikten av att ett ledningssystem för informationssäkerhet är anpassat efter och införlivat i organisationen. Efterlevnaden av systemet är centralt eftersom om det inte efterlevs så är investeringen bortkastad och förändringen oväsentlig. Övergripande syn på fallstudieobjektets inställning till standardiserad informationssäkerhet är positiv.

informationssäkerhet

IT-säkerhet

ledningssystem

ISO/IEC 27001

standardisering

certifiering

Information Systems

Covid-19s inverkan på arbetsförhållanden, flexibilitet och IT-säkerhet vid distansarbete

Normann, André, Klang, Viktor

January 2021

Denna studie omfattar en serie intervjuer på företaget X, samt ett eget distansarbete på det biotekniska företaget Cytiva, med syftet att undersöka Covid-19s inverkan på arbetsförhållanden, IT-säkerhet och flexibilitet vid distansarbete. De tre delarna studien omfattar, har analyserats med hjälp av Herzbergs tvåfaktorsteori för arbetsförhållanden, CERT-SE rekommendationer för arbetsgivare och CIA-triaden för IT-säkerhet, och Maslows behovshierarki för flexibilitet. Resultatet påvisar att företaget X har drivit distansarbetet genom arbetsförhållanden och flexibilitet till en hög standard, och parallellt lyckats bibehålla stark  IT-säkerhet, men resultaten anmärker brister som kan uppkomma vid distansarbete.

Covid-19

Informationssäkerhet

distansarbete

flexibilitet

arbetsförhållanden

Information Systems

IT-säkerhetshotet phishing : Svenska små och medelstora företags utbildningsinsatser inom problemområdet / Phishing, a cybersecurity threat : Swedish SMEs education efforts within the problem area

Metso, Joanna, Gunnarsson, Rasmus

January 2021

Informationssäkerhetsutbildning om phishing krävs för att kunna bekämpa det hot som phishing utgör, då människan alltid är den svagaste länken inom en organisation. Även om förslag och krav kopplade till hur informationssäkerhetsutbildning bör genomföras finns beskrivet i litteratur, standarder och ramverk är det svårt för SMF:er att anpassa och implementera dessa rent praktiskt. Syftet med denna studie är därför att undersöka svenska SMF:ers implementation av utbildningsinsatser för att bemöta phishing-hotet. Empirin har samlats in genom semistrukturerade intervjuer samt tematisk analys. Resultaten från studien visade att utbildningsinsatserna främst är grundade på egna erfarenheter och exempel från tidigare phishing-attacker som drabbat andra organisationer. Ett par organisationer har inte utvecklat sina utbildningsinsatser själva, utan använder verktyg och andra organisationers erfarenheter som hjälpmedel. Resultaten visade också att åsikterna om den valda utbildningsinsatsen inte alltid var lika mellan ledningen och användare. Slutsatsen av studien är att SMF:er kan implementera utbildning kring det hot som phishing utgör utan att förlita sig på specifika ramverk eller standarder, men att organisationen måste vara noga med att anpassa den efter sin egen organisations storlek. För att dra mer långtgående slutsatser än de som beskrivs i rapporten hade det varit av vikt att kunna förlita sig på ett större antal organisationer än de 4 organisationer och 10 intervjudeltagare som deltog i studien. Dessutom behövs mer forskning inom området gällande smishing och vishing. / Information security training about phishing is required to be able to combat the threat that phishing determine, as humans are always the weakest link within an organization. Although proposals and requirements linked to how information security training should be implemented in the literature, standards, and frameworks, it is difficult for SMEs to adapt and implement these in practice. The purpose of this study is therefore to investigate Swedish SMEs' implementation of forms of education to address the phishing threat. The empirical data has been collected through semi-structured interviews and thematic analysis. The results from the study showed that the forms of education are mainly based on own experiences and examples from previous phishing attacks that have affected other organizations. A couple of organizations have not developed their forms of education themselves, instead they use tools and other companies experiences as aids. The results also showed that the opinions about the chosen form of education were not always the same between management and users. The conclusion of the study is that SMEs can implement education around the threat that phishing constitutes without specific frameworks or standards to rely on, but if the organization want to use it, they must be careful to adapt the education to their own organization's size. In order to draw more far-reaching conclusions than those described in the report, it would have been important to be able to rely on a larger number of organizations than the 4 organizations and the 10 interviewees that participated in the study. In addition, more research is needed in the field of smishing and vishing.

Informationssäkerhet

SMF

Phishing

Smishing

Vishing

Medvetenhet

ISO 27001

Computer and Information Sciences

Data- och informationsvetenskap

En inblick över organisationers informationssäkerhet : En kvalitativ studie inom Gävleborg

Pourhosseini, Altay, Habtemariam, Alem Joel

January 2020

Syftet med studien var att få en inblick i informationssäkerhet hos organisationer inom Gävleborg och kunna jämföra hur privata och offentliga sektorn arbetar. En kvalitativ studie utfördes för att samla in data från organisationer i Gävleborg. Fem respondenter deltog i semistrukturerade intervjuer. Intervjuerna var på distans och genomfördes med hjälp av videokonferens-tjänster via nätet. Alla organisationer i studien följer ett antal lagar, regler och direktiv vid hantering av information. Det finns en skillnad i vad den privata sektorn behöver följa gentemot den offentliga sektorn. För att upprätthålla informationssäkerheten deltar alla medarbetare inom organisationerna i någon form av utbildning. Informationsklassificeringen sker på olika sätt inom organisationerna

Informationssäkerhet

Datasäkerhet

IT-säkerhet

CIA

Digitala tjänster

Medvetenhet

Säkerhetsrisker

Computer Systems

Datorsystem

Är gymnasieskolans digitala säkerhet tillräcklig? : Risk- och sårbarhetsanalys, ur ett informationssäkert perspektiv / Is the Swedish highschooldigital security adequate? : Risk and Vulnerability assesment

Rahimi, Farhad, Isufi, Mevlyde

January 2020

This work presents a study of how information security has been implemented in the municipal high school. The study covers applications' resistance to intrusion, hardware security, students & the IT department's overall competence, also requirements for confidentiality in relation to municipal and state guidelines. The study includes field visits that have been carried out at two municipal high schools with technical vulnerabilities in focus. Based on this study, a risk and vulnerability analysis and an action plan for identified risks are presented.

Cybersecurity

Highschool

Phishing

Pentesting

Vulnerability

Cloud

Informationssäkerhet

Gymnasieskola

Sårbarhet

Molnet

Engineering and Technology

Teknik och teknologier

Internet of Things i 5G : En systematisk litteraturstudie av säkerhetsrisker för privatpersoner med Internet of Things-enheter i 5G-nätverk / Internet of Things in 5G : A systematic literature review of security risks for individuals with Internet of Things-devices in 5G networks

Resell, Joakim

January 2020

De senaste åren har Internet of Things-enheter fått en explosionsartad tillväxt och möjligheterna är oändliga för hur tillverkare kan öka vår livskvalitet genom internetuppkopplade objekt. Således har Internet of Things-enheter i olika former hittat sin plats i många personers hem och liv. Ännu större blir utvecklingsmöjligheterna då 5G-nätverket kommer implementeras i vårt samhälle inom snar framtid. 5G förväntas bidra med, i jämförelse med 4G, väldigt snabba dataöverföringshastigheter och nya teknologier. Syftet med Internet of Things-enheter är att på något sätt öka användares livskvalitet, men då de även är enkla måltavlor för angrepp riskerar dem att snarare försämra den för privatpersoner. Faktum är att antalet malware-angrepp ständigt ökar,och då särskilt mot Internet of Things-enheter. Då 5G bidrar med nya teknologier som låter enheter ha en direkt sammankopplad kommunikation och uppkoppling till internet lyfter det frågan huruvida det har en påverkan på privatpersoners informationssäkerhet. Detta arbete innefattar en systematisk litteraturstudie kring säkerhetsrisker för privatpersoner med Internet of Things-enheter i 5G-nätverk. Studiens resultat tyder på att Internet of Things-enheter i 5G-nätverk tillsammans bildar en farlig miljö för privatpersoner ur ett informationssäkerhetsperspektiv. Studiens resultat bidrar med en översikt bestående av sex säkerhetsrisker med Internet of Things-enheter i 5G-nätverk, sjutton sårbarheter som säkerhetsriskerna innefattar, dess konsekvenser samt huruvida säkerhetsriskerna och sårbarheterna innebär riskfaktorer gentemot privatpersoners konfidentialitet, integritet eller tillgänglighet. / In recent years, Internet of Things-devices have experienced explosive growth, and the possibilities are endless for how manufacturers can increase our quality of life through Internet-connected objects. Thus, Internet of Things devices in various forms have found their place in the homes and lives of many people. Even greater will the the development opportunities be as the 5G network will be implemented in our society in the near future. 5G is expected to contribute, in comparison with 4G, very fast data transferspeeds and new technologies. The purpose of Internet of Things-devices is to somehow increase the quality of life of users, but as they are also simple targets for attacks, they risk rather deteriorating it for individuals. In fact, the number of malware attacks is constantly increasing, especially against Internet of Things-devices. As 5G contributes new technologies that allow devices to have a direct interconnected communication and connection to the Internet, it raises the question of whether it has an impact on individuals' information security.This study includes a systematic literature review on security risks for individuals with Internet of Things-devices in 5G networks. The study's findings suggest that Internet ofThings-devices in 5G networks together create a dangerous environment for individuals from an information security perspective. The study's findings provide an overview of six security risks with Internet of Things-devices in 5G networks, seventeen vulnerabilities that include security risks, their consequences and whether the security risks and vulnerabilities involve risk factors against individuals' confidentiality, integrityor accessibility.

5G

Internet of Things

risks

information security

5G

Internet of Things

risker

informationssäkerhet

Information Systems

Kommunal informationssäkerhet : En undersökning av informationssäkerhet inom kommunal IT-styrning / How municipalities work with information security focusing on the use of security standards

Eklund, Jonathan, Renner, Robin

January 2020

This study examined how municipalities work with information security focusing on the use of security standards. Data was collected from three different municipalities differentiating in population, for the purpose of determining whether financial resources was a factor to successful information security within the organization. The study was based on a theoretical framework that consisted of ISO 27000, The General Data Protection Regulation, as well as the NIS directive. To examine the municipalities information security and whether security standards were used data was collected via interviews. In these interviews the informants were asked questions created in a semi-structured way to provide them with context while still being able to answer freely. This data was later to be analysed and categorised into themes where it could be interpreted. These themes within information security, consisted of continuity, risk assessment, policies, regulations, security standards, budget, and resources. Through analysis, the answers were compared as well as put into the context of what had been discovered in prior research within the field. It later points towards certain improvements in some respects as well as no further improvements in other areas. The study could affirm prior results from earlier research, and that municipalities still had essential deficiencies in their information security such as not working systematically with information security at an acceptable level. However, there were some improvements compared to prior research among municipalities and there were clear indications that there had been put a larger focus on information security. The informants also affirmed that regulations such as the General Data Protection Regulation had affected the municipalities executives’ approach towards information security within the organization. / I studien undersöks kommuners arbete med informationssäkerhet fokuserat på användandet av säkerhetsstandarder. Data samlades in från tre olika kommuner. Urvalet av kommuner baserades på population för att identifiera om ekonomi var en faktor till framgångsrik informationssäkerhet inom organisationen. Studien baserades på ett teoretiskt ramverk bestående av ISO 27000, dataskyddsförordningen tillika NIS-direktivet. För att undersöka informationssäkerheten bland tre kommuner och huruvida säkerhetsstandarder användes gjordes en datainsamling via intervjuer. Intervjuerna var semi-strukturerade så att informanterna fick en tydlig kontext och möjligheten att svara fritt. Insamlade data analyserades och kategoriserades in i teman, så det kunde tolkas. De informationssäkerhetstemana bestod av kontinuitet, riskbedömning, policys, lagar, säkerhetsstandarder, budget och resurser. Svaren analyserades och jämfördes även mot tidigare forskning i ämnet. Vad som kunde utläsas var att utveckling visades i vissa aspekter medan mindre inom andra. Studien kunde bekräfta resultat från tidigare studier, att kommuner fortfarande uppvisade brister i deras arbete informationssäkerhet. Samband mellan kommunerna var brister inom det systematiska arbetet med informationssäkerhet. Förbättringar hade dock gjorts jämfört med tidigare forskning således fanns tydliga indikationer på att informationssäkerhet uppmärksammats. Informanterna påpekade också att lagar som dataskyddsförordning hade påverkat kommunernas syn på informationssäkerhet inom organisationen.

Informationssäkerhet

Säkerhetsstandard

Informatik

Kommuner

ISO 27000

Information Systems

Informationssäkerhet vid övergången till hybrida arbetsplatser

Kyräs, Gustav, Olsson Hammargren, Jonathan

January 2022

Det digitala samhället har möjliggjort hybrida arbetsplatser, vilket tillåter anställda att fördela sin tid på olika platser utanför organisationens egna kontor. I takt med denna utveckling tillkommer även fler informationssäkerhetsrisker, vilket gör att informationssäkerhet blir allt mer integrerat i vårt samhälle. I och med detta ämnar studien att utforska vilka informationssäkerhets-relaterade utmaningar kommunala verksamheter har mött vid övergången till hybrida arbetsplatser. Studien utfördes genom en abduktiv fallstudie där empiri samlades in genom kvalitativa datainsamlingsmetoder, som bestod av en dokumentgranskning samt att fem anställda intervjuats inom en kommunal verksamhet. Empirin som samlats in analyserades genom att ställa den nuvarande situationen mot teorier om hur ett informationssäkerhetsarbete ska bedrivas. I diskussionen lyfter vi betydelsen av ledningens delaktighet inom området informationssäkerhet samt bristen på ett systematiskt arbete med informationssäkerhet. Diskussionen behandlar även utmaningar med informationssäkerhetsarbete vid övergången till hybrida arbetsplatser. Studien visar på att informationssäkerhetspolicyer och riktlinjer inte efterföljs vilket indikerar att ledning bör ta större ansvar i informationssäkerhetsarbetet.

Informationssäkerhet

informationssäkerhetspolicy

kommunala verksamheter

hybrida arbetsplatser

Information Systems, Social aspects

Hur kan utmaningar inom riskhantering hanteras med business intelligence : Effektivisera presentation av data och beslutsfattning / How can challenges whitin risk management be dealt with using business intelligence : Improve presentation of data and decision making

Ahlrik, Ellen

January 2022

Detta kapitel ger en kort sammanfattning av hela arbetet. Där problemet och resultatet presenteras för att ge läsaren en grundläggande bild till hela arbetet.  Idag sker en snabb globalisering av IT. I takt med denna snabba globalisering ökar även hotet mot informationssäkerheten. De blir inte bara fler, utan även mer avancerade. En attack mot verksamheters IT-miljö kan vara förödande för verksamheters rykte, ekonomi och processer. Då frågan idag inte lyder om en attack kommer ske mot verksamhetens IT-miljö, utan när och i vilken utsträckning attacken kommer vara i så måste verksamheter vara i framkant med dess informationssäkerhetsarbete. Ett Business intelligence-system är en utmärkt lösning för att verksamheter ska kunna fatta mer pricksäkra beslut, få en ökad förståelse över verksamheten och utföra prediktiva analyser på historisk data. Att en BI-lösning ska kunna användas till riskhanteringen har varit fokuset i denna rapport. För att ta fram detta så har en intervjustudie skett med 6 respondenter från 3 olika verksamheter. Alla som innehar eller har åtkomst till data har ett ansvar för informationssäkerheten för datan. Det som alla respondenter haft gemensamt är att de alla innehar data och har ett ansvar gentemot denna. För att kunna besvara frågeställningen ”hur kan utmaningar inom riskhantering bemötas med Business intelligence?” så har fokuset i intervjuerna varit utmaningar med inriktning beslutsfattning, presentation av data och etablerad förståelse. Utmaningarna som resulterades från denna studie var att respondenterna hade utmaningar (1) resursfördelning, (2) presentation av data, (3) engagemang från kund, (4) bemöta kunders krav och (5) engagemang från verksamheten. Resursfördelning och att bemöta kunders krav går hand i hand, där verksamheter måste balansera resursfördelningen med denna aspekt. Att bemöta kunders krav och engagemang från kund går också hand i hand, där saknad av engagemang eller för mycket engagemang har påverkat verksamhetens prioritering av informationssäkerhet. Sedan går även presentation av data hand i hand med samtliga aspekter där en nulägesvy ökar förståelse, vilket ökar engagemang hos samtliga samt ger en mer pricksäker beslutsfattning som får en beslutsfattargrund. Dessa utmaningar gick att speglas mot de utmaningar från litteratursom var (6)ekonomisk fördelning, (7) beslutsfattning av kontroller, (8)presentation av data och (9)engagemang från ledning. Lösningarna som togs fram till dessa utmaningar var ett beslutsstödsystem mot (6) ekonomisk fördelning och (7) beslutsfattning av kontroller. Dessa kan speglas mot (1) och (4). Mot (8) presentation av data och (9) engagemang från ledning är lösningen en visuell presentation med korrekt och spårbar data. Denna kan speglas mot (2), (3), (4) och (5). Genom att utveckla en dashboard med visuell presentation av korrekt och spårbar data, samt ge beslutsunderlag för fördelning av resurser och balans av samtliga aspekter så kan utmaningarna från samtliga respondenter bemötas med ett BI-system.

Business intelligence

beslutsfattarstöd

informationssäkerhet

riskhantering

verksamhetsutveckling

Information Systems

ISO 27001-certifieringars påverkan på informationssäkerhets-medvetenhet i ett SMF : Förändringar till följd av en certifieringsprocess för ett företag inom IT-sektorn / The effect of an ISO 27001 certification on information security awareness in a SME : Changes following a certification process in a company within the IT sector

Lundgren, Viktor, Holm, Ludvig

January 2021

Cyberrelaterad brottslighet drabbar företag i allt större omfattning och en grupp företag som är särskilt drabbade är små- och medelstora företag (SMF). En anledning till denna ökning anses vara svag informationssäkerhet hos företag tillhörande kategorin. En hög informationssäkerhetsmedvetenhet bland anställda på ett företag kan enligt forskning minska cyberrelaterad brottslighet. Vidare saknas nödvändig teori inom området informationssäkerhetsmedvetenhet för att förstå mänskliga intentioner och hur ett önskat beteende uppnås. Ett sätt att komma till rätta med riktlinjer och policy för informationssäkerhet är att upprätta ett ledningssystem med hjälp av ISO 27001-certifiering. Nödvändig forskning saknas kring hur ISO 27001-certifieringsprocessen påverkar informationssäkerhetsmedvetenhet i ett SMF och vilka förändringar som uppkommer till följd av en certifieringsprocess. Studien undersöker därför hur ISO 27001-certifieringar påverkar informationssäkerhetsmedvetenhet och vilka förändringar som uppkommer till följd av en certifieringsprocess. En semistrukturerad intervjustudie har utförts i ett ISO 27001-certifierande svenskt SMF. Baserat på insamlade data och teoretiskt ramverk har fem olika beståndsdelar av informationssäkerhetsmedvetenhet identifierats och resultat har analyserats i relation till dem. Resultaten visar att svenska SMF får en förhöjd informationssäkerhetsmedvetenhet till följd av en ISO 27001-certifiering. Vidare visar resultaten att svenska SMF får tydligare processer och riktlinjer för säkerhetsrelaterat arbete till följd av en ISO 27001-certifieringsprocess. / Cyber-related crime is affecting companies to an increasing extent and a group of companies that are particularly affected are Small and Medium-sized Enterprises (SME). One reason for this increase is weak information security in companies falling into the category. According to research, a high level of information security awareness among employees at a company can reduce successful cyber-related crime. Furthermore, necessary theory in the field of information security awareness is missing. One way to deal with guidelines and policies for information security is to establish an information security management system using ISO 27001 certification. Necessary research is lacking on how the ISO 27001 certification process affects information security awareness in an SME and what changes arise following the certification process. This study examines how an ISO 27001-certification affects information security awareness and which changes occur following the certification process. A semi-structured interview has been conducted in an ISO 27001-certifiying Swedish SME. Based on gathered data and our theoretical framework, five different components of information security awareness have been identified and results have been analyzed in relation to them. The results indicate that swedish SME gets a heightened level of information security awareness following an ISO 27001-certification. Furthermore, the results show that Swedish SMEs get more distinct processes and guidelines for security-related work following an ISO 27001-certification process.

Informationssäkerhet

Informationssäkerhetsmedvetenhet

SMF

ISO

IEC

27001

Information Systems