Cyberhygien hos högskolestudenter - Vilka åtgärder behövs för att upprätthålla en god cyberhygien bland högskolestudenter i Sverige

Vacari, Marina, Eriksson, Cecilia

January 2024

Den digitala interaktionen har blivit en väsentlig del av individers vardag. Ökad användning av digitala tjänster har också lett till en exponentiell ökning av diverse cyberhot. Forskningen visar att den mänskliga faktorn är en av de främsta orsakerna till cyberattacker och att slutanvändaren inom privat datoranvändning utgör målet för över 95 procent av alla cyberattacker. De identifierade orsaker som forskningen visar är främst brist på kunskap, framförallt har det visat sig att den sektor där flest attacker skedde globalt var inom skolor och universitet. Förklaringen ligger i att de varit dåligt förberedda i och med den digitala omställningen till distansundervisning som skedde efter COVID-19 pandemin. Det finns en rad utmaningar som universiteter står inför, då de arbetar med unga vuxna som använder egna enheter för lärande, där beteenden och kunskaper kring cybersäkerhet på individnivå kan variera. Genom en enkätundersökning undersöker studien hur IT-studenter ansvarar för sin egen cyberhygien och vilka eventuella åtgärder behöver implementeras för att öka medvetenhet kring cyberhot och upprätthålla en god cyberhygien i vardagen bland 109 IT-studenter vid Stockholms Universitet. Resultatet av undersökningen visar att en majoritet av studenterna vidtar aktiva åtgärder för att bland annat hantera sekretessinställningar på sina sociala mediekonton, uppdaterar mjukvaror samt att de känner sig säkra på att upptäcka phishingförsök. Men resultaten visar också att det finns ett behov om mer kunskap kring vilka åtgärder studenter kan ta för att upprätthålla en god cyberhygien då en majoritet av respondenterna anser att kunskapen saknas. Undersökningen visar att studenterna tar till sig ny kunskap kring cyberhygien dels genom att de söker upp informationen själva men de uppger också att de föredrar att ta till sig kunskapen genom mer strukturerade former såsom obligatoriska moment i skolan, online utbildningar och seminarier. / Online interaction has become an essential part of individuals' everyday lives. The Increased use of digital services has also led to an exponential growth in various cyber threats. The research shows that the human factor is one of the main causes of cyber attacks and that the end user, due to users' private usage of devices, is the target of over 95 percent of all cyber attacks. The identified causes that the research highlights are mainly: lack of knowledge. Foremost it has been shown that the sector where the most attacks took place globally was within schools and universities. There are a number of challenges that universities face when working with young adults who use their own devices for learning, where cyber security behaviors and knowledge at an individual level can vary. This study examines how IT students are responsible for their own cyber hygiene and what possible measures need to be implemented to increase awareness of cyber threats and maintain good cyber hygiene in everyday life among IT-students at university. The results of the survey show that a majority of students take active measures to manage privacy settings on their social media accounts, update software and show that they feel confident in the ability to detect potential phishing emails. But the results also show that there is a need for more knowledge about what measures students can take to maintain good cyber hygiene, as a majority of respondents believe that the knowledge is lacking. The survey shows that the students would prefer to gather new knowledge about cyber hygiene partly by looking up the information themselves, but they also state that they prefer to receive the knowledge through more structured methods such as mandatory modules, seminar preparations and online modules.

Cyberhygien

cyberattacker

cyberhot

online integritet

säkerhet

informationssäkerhet

Information Systems

Low-code och informationssäkerhet : IT-konsulter och deras arbete med informationssäkerhet i förhållande till MS Power Platform

Zavaro, John

January 2024

Att använda low-code för applikationsutveckling har blivit allt vanligare, men säkerhetsförutsättningarna när low-code används är däremot inte helt kartlagda. Denna studie fokuserar på ett av de största företagen inom mjukvaruutveckling, Microsoft. Microsoft tillhandahåller tjänsten MS Power Platform som innehåller verktyg för low-code utveckling och samverkar med Microsofts andra tjänster. En stor del av informationssäkerheten hanteras av Microsoft på grund av att MS Power Platform använder low-code och integrerar molntjänster. Syftet med denna studie var att ta reda på vilka utmaningar it-konsulter möter i sitt arbete när de använder MS Power Platform när det gäller informationssäkerhet. Kvalitativa, semistrukturerade intervjuer har genomförts med it-konsulter som arbetat med MS Power Platform. Empirin har analyserats med hjälp av CIA-Triaden där förhållandet till informationssäkerhet kontrollerades genom CIA-Triadens tre delar: konfidentialitet, integritet och tillgänglighet. Resultatet från denna studie visade att Microsofts tjänster för roller och grupper har en stark inverkan på informationssäkerheten. Detta gäller särskilt hur verksamheterna som it-konsulterna arbetar med har implementerat roller och grupper i sin identity access management. Studien visade också att kommunikation kring informationssäkerhet inte är en kontinuerlig del av it-konsulternas arbete. Implementation av ytterligare säkerhetsfunktioner utöver de inkluderade i Microsofts tjänster var heller inte vanligt.

Informationssäkerhet

Low-code

MS Power Platform

Målteknologi

CIA-Triaden.

Information Systems

Förändringar i informationssäkerhetspolicys under pandemin : En kvalitativ studie av svenska Telecom-bolag / Changes in information security policys during the pandemic : A qualitative study of Swedish telecom companies

Åkerblom, Kristoffer

January 2023

Pandemin skakade om världen och svenska företag var inte ett undantag. Företag i Sverige och runt om i världen tvingades att göra förändringar i allt från arbetsprocesser till digitala verktyg. Men med nya processer och verktyg kommer nya regler, eller? Forskning visar på stora brister att skydda informationstillgångar under pandemin, något som i sin tur ledde till en ökning i lyckade cyberattacker. Detta arbete syftar på att skapa en förståelse för hur förändringar hanterades i ett informationssäkerhetsperspektiv genom att undersöka vilka förändringar svenska Telecom-bolag gjorde i sin informationssäkerhetspolicy. Med en kvalitativ forskningsmetod och en induktiv ansats intervjuades sju anställda med olika roller på olika företag. Arbetets resultat pekar på att svenska Telecom-bolag ligger i framkant i sitt informationssäkerhetsarbete. Genom välfungerande arbetsrutiner och- processer, där informationssäkerhetsarbete är inbakad i det dagliga arbetet, redan innan pandemins start, kunde nya lösningar smidigt implementeras. Dessutom kunde processerna till största del bibehållas vilket ledde till en arbetsdag likt den på kontoret. Eftersom stora delar av företagen kunde fortsätta som vanligt syntes inte den ökning av lyckade cyberattacker som lyfts i forskningen. / <p>Stavningsvarierad titel:</p><p>Förändringar i informationssäkerhetspolicys under pandemin</p><p>Changes in information security policies during the pandemic</p>

Pandemi

Covid-19

cyberattacker

informationssäkerhet

informationssäkerhetspolicys

Information Systems, Social aspects

Mognadsmodell för informationssäkerhet : En standardiserad process för att mäta informationssäkerhetsmognad inom kommuner och regioner

Kroon, Felix, Pettersson, Simon

January 2024

This study explores the development of a maturity model for information security within re- gions and municipalities. The study adopts an exploratory approach to address the limited re- search on the specific challenges and issues that municipalities and regional organizations face in relation to information security. By combining exploratory research questions with an abductive approach, the study aims not only to identify problems and challenges but also to deepen the understanding of these ques- tions in a nuanced way. The methodology involves a qualitative research design, using Diva and Google Scholar as primary sources for literature review. Keywords such as "Information Security," "Maturity Model," and "ISO 27000" were used to collect relevant literature. The data collection involved in-depth interviews with consultants at an IT service provider to gain insights into the challenges faced when evaluating information security practices in re- gions and municipalities. The iterative process of model development and evaluation was guided by Peffer's et al. (2007) framework, ensuring model utility and effectiveness. The results contribute to an overall understanding of information security maturity in the public sector, providing valuable insights for IT service providers and others active in the industry.

Informationssäkerhet

mognadsmodell

Informationssäkerhetsmognad

Engineering and Technology

Teknik och teknologier

Information Systems

Sveriges cybersäkerhet i ljuset av Nato : En kvalitativ studie som explorativt utforskar innebörden av det svenska Nato-medlemskapet på den nationella cybersäkerheten

Lexert, Isak, Bergquist Dahn, Jakob

January 2024

I en digitaliserad värld där cybersäkerhet är av yttersta vikt står Sverige inför ett monumentalt skifte gällande sin säkerhet. När konflikter inleds med störningsoperationer och statligt finansierade hacker-grupper blir allt vanligare behöver Sverige, skärpa sig ytterligare. Inte minst inför ett medlemskap i Nato. Det svenska Nato-medlemskapet kommer innebära stora förändringar för Sveriges säkerhet, men vad innebär det egentligen för den nationella cybersäkereten? Och hur arbetar offentlig verksamhet för att uppnå ett önskvärt resultat? Denna studie syftar till att undersöka Nato-medlemskapets innebörd för den svenska cybersäkerheten genom kvalitativa semistrukturerade intervjuer samt artikelsökning. Studiens metod gör det möjligt att explorativt undersöka vad ett Nato-medlemskap kan innebära och hur offentliga verksamheter arbetar med cybersäkerheten kopplat till Nato.  Arbetets resultat och diskussion producerade två primära slutsatser. För det första delar man i Sverige på begreppen cyberförsvar och cybersäkerhet där det första syftar på Försvarsmaktens cyberresurser och det sistnämnda på den generella motståndskraften mot cyberhot, alltså det civila försvaret. Med stöd av intervjuer och artikelsökning kunde slutsatsen dras att samarbete med Nato inte kräver någon större anpassning för cyberförsvaret eftersom de redan är bekanta med alliansarbetet genom historiska och nuvarande samarbeten. Däremot den civila delen av försvaret, cybersäkerheten, saknar erfarenhet och har ett anpassningsarbete framför sig. För det andra kunde arbetet fatta slutsatsen att det är väldigt få offentliga verksamheter som arbetar aktivt gällande cybersäkerhet kopplat till Nato-medlemskapet. Man arbetar på politisk nivå med att ta fram en ny cybersäkerhetsstrategi och andra direktiv och regelverk, men på en lägre nivå väntar man på ytterligare information och direktiv ovanifrån. / <p></p><p></p>

Sverige

Nato

Säkerhetspolitik

Totalförsvar

Cybersäkerhet

Cyberförsvar

Informationssäkerhet

Information Systems

Informationssäkerhetspolicyer i svenska SMF : Utmaningar och hinder / Informationssecuritypolicys within Swedish SME:s : Challenges and barriers

Persson, Oscar, Notelid, Nils

January 2023

Information security is an important focus area in our business climate, where cyberattacks pose a growing threat. To address the increasing threat landscape, it is crucial for companies to establish guidelines and regulations on how employees and companies should act to maintain information security. Therefore, many companies are working on implementing an Information Security Management System (ISMS), where information security policies (ISP) are considered the cornerstone. However, research has shown that small and medium-sized enterprises (SMEs) face specific obstacles and challenges when it comes to implementing and complying with an ISP. The purpose of this study is to provide recommendations for Swedish SMEs to achieve better implementation and compliance levels of ISPs. The empirical data for this study is based on data collected through semi-structured interviews with Swedish SMEs. The collected data was then analyzed using thematic analysis. The results of the empirical data indicate that a lack of competence is the primary issue for Swedish SMEs in their information security efforts. The study’s conclusions discuss the recommendations based on the collected empirical data and the reviewed literature. Among the recommendations, the authors emphasize the importance of education to increase information security awareness, as well as the importance of engagement from top management. The authors have chosen to limit the scope of the study to businesses in Sweden. Furthermore, no consideration has been given to industry-specific characteristics since the study’s respondents operate in diverse business sectors. / Informationssäkerhet är ett viktigt fokusområde inom dagens företagsklimat, där cyberattacker utgör ett växande hot. För att möta den ökande hotbilden lyfts värdet av att företag etablerar riktlinjer och bestämmelser över hur anställda och verksamheten ska agera för att bibehålla informationssäkerheten. Många företag jobbar därmed för att etablera ett ledningssystem för informationssäkerhet (LIS), där informationssäkerhetspolicyer (ISP) anses utgöra grundpelaren för ett LIS. Forskning pekar däremot på att små och medelstora företag (SMF) upplever särskilda hinder och utmaningar när det kommer till att implementera och efterleva en ISP. Studiens syfte är således att framföra rekommendationer för hur svenska SMF kan åstadkomma en bättre implementations- och efterlevnadsgrad av informationssäkerhetspolicyer.Studiens empiri bygger på datainsamling som erhållits från semistrukturerade intervjuer med svenska SMF. Insamlade data har sedan analyserats med hjälp av en tematisk analysmetod. Resultatet av empirin indikerar på att kompetensbristen är den primära faktorn som hindrar svenska SMF i sitt informationssäkerhetsarbete. Studiens slutsatser avhandlar rekommendationer utifrån insamlad empiri och granskad litteratur. Bland rekommendationerna ser studiens författare att utbildning i syfte att höja informationssäkerhetsmedvetenheten och engagemang från företagsledningen är av största vikt för att lyckas. Författarna har valt att begränsa studiens omfång till den svenska företagsmarknaden. Vidare har ingen hänsyn tagits till industrispecifika karaktärsdrag, då studiens respondenter verkar inom spridda sektorer.

Information Security Policy (ISP)

Information Security

Small and Medium-sized Enterprises (SME)

Policy compliance

Informationssäkerhetspolicy (ISP)

Informationssäkerhet

Små och medelstora företag (SMF)

Policyefterlevnad

Information Systems

Fördelar med ISO 27001. En studie utifrån Blooms reviderade taxonomi av två sjukhus arbete med informationssäkerhet

Brodin, Patric, Le Guellaff, Laure

January 2013

Krav på företag och organisationer att införa och certifiera ledningssystem enligt SS-ISO/IEC 27001:2006 ökar. Myndigheter och kunder vill försäkra sig om att deras leverantörer och samarbetspartner har en säker hantering av information. För att kunna beskriva och jämföra skillnaderna mellan organisationernas sätt att arbeta med informationssäkerhet på en generell nivå utifrån standarden SS-ISO/IEC 27001:2006 åtgärdsmål, analyseras i denna uppsats fördelarna med att ha ett certifierad ledningssystem för informationssäkerhet. Studien identifierar, analyserar och klarlägger de informationssäkerhetsmässiga skillnader som ett sjukhus som är certifierat enligt SS-ISO/IEC 27001:2006 uppnår, i jämförelse med ett sjukhus som inte är certifierat enligt denna standard. Studien utgår ifrån begreppet informationssäkerhet och genomförs med hjälp av Design Science metoden där en artefakt skapats utifrån Blooms reviderade taxonomi och med hjälp av semi-strukturerade intervjuer som är en kvalitativ metod. I arbetet används en klassificeringsmetod och det empiriska materialet dvs. intervjuresultatet analyseras med hjälp av Blooms reviderade taxonomi. Resultatet visar att båda sjukhusen nyttjar standarden och att deras informationssäkerhetspolicy blir tilldelad av respektive Landsting. Onekligen är ändå att Hallands sjukhus Varberg som är certifierad enligt standarden SS-ISO/IEC 27001:2006, har en högre beredskap och aktivitetsnivå för denna typ av frågor rörande informationssäkerhetsarbete. Det visas bland annat genom att Halland Varberg sjukhus genomgående uppfyller fler åtgärdsmål, har fler definierade procedurer för sitt arbetssätt samt en utökad förståelse för uppsatta krav. De etiska och samhälleliga konsekvenserna för studiens slutsatser är bland annat att kommentarer kring intervjusvaren inte kan kopplas till en enskild individ utan till själva organisationen. Det visar i studien att det finns sårbarheter inom båda organisationerna, som driftavbrott i journalsystem som kan leda till konsekvenser för samhället. Genom att belysa beskrivningen om arbetet med fördelar av en certifiering enligt SS-ISO/IEC 27001:2006 utifrån ett informationssäkerhetsperspektiv och att det finns aktuella krav från Socialstyrelsen att alla vårdgivare ska ha ett ledningssystem som ska innehålla en dokumenterad informationssäkerhetspolicy, kan uppsatsen bidra till att besvara frågan om det är värt att certifiera sig. Bland de fördelar som framkom genom studien var exempelvis minskade antal incidenter, bättre total överblick och bättre förebyggande arbete. / Requirements for companies and organizations to implement and certify management systems in accordance with SS-ISO/IEC 27001: 2006 increase. Authorities and customers need to ensure that their suppliers and partners have a safe managing of the information. In order to describe and compare differences between the organizations way of working with information on a broad level of the standard SS-ISO/IEC 27001:2006 control objectives, analyzed this study the advantages of having a certified information security management system. The study identifies, analyzes and clarifies the information security-related differences in a hospital that is certified according to SS-ISO/IEC 27001: 2006, in comparison with a hospital that is not certified according to this standard. The study is based on the concept of information security and is carrying through by using Design Science method, in which an artifact is created from Bloom's revised taxonomy. Semi-structured interview is using to collect data. The work also used as a classification method and empirical material i.e. interview results analyzed by using Bloom's revised taxonomy. The results of the study show that both hospitals are working towards the standard and that their information security policy is assigned by the respective County Councils. The ethical and social implications of the study’s conclusions are that, among other things, that the comments about the interview responses cannot be attached to a single individual but to the organization. The study shows that there are vulnerabilities in both organizations, such as downtime of the medical journal system, which can result in consequences for society. Although there are current requirements from the Swedish National Board of Health and Welfare (Socialstyrelsen) to all caregivers: they shall have a management system which should include a documented information security policy, the study help to answer the question whether it is worthwhile to certify themselves. And by highlighting the description about work with a certification according to SS-ISO/IEC 27001: 2006 benefits from an information security perspective, organization can acquire a systematic information security work.

Information Security

Hospital

Information

Standards

ISO/IEC 27001

Policy

Taxonomy

Certification

Informationssäkerhet

Sjukhus

Information

Standard

SS-ISO/IEC 27001:2006

Policy

Taxonomi

Certifiering

Computer Sciences

Datavetenskap (datalogi)

Fördelar med ISO 27001. En studie utifrån Blooms reviderade taxonomi av två sjukhus arbete med informationssäkerhet

Brodin, Patric, Le Guellaff, Laure

January 2013

Krav på företag och organisationer att införa och certifiera ledningssystem enligt SS-ISO/IEC 27001:2006 ökar. Myndigheter och kunder vill försäkra sig om att deras leverantörer och samarbetspartner har en säker hantering av information. För att kunna beskriva och jämföra skillnaderna mellan organisationernas sätt att arbeta med informationssäkerhet på en generell nivå utifrån standarden SS-ISO/IEC 27001:2006 åtgärdsmål, analyseras i denna uppsats fördelarna med att ha ett certifierad ledningssystem för informationssäkerhet. Studien identifierar, analyserar och klarlägger de informationssäkerhetsmässiga skillnader som ett sjukhus som är certifierat enligt SS-ISO/IEC 27001:2006 uppnår, i jämförelse med ett sjukhus som inte är certifierat enligt denna standard. Studien utgår ifrån begreppet informationssäkerhet och genomförs med hjälp av Design Science metoden där en artefakt skapats utifrån Blooms reviderade taxonomi och med hjälp av semi-strukturerade intervjuer som är en kvalitativ metod. I arbetet används en klassificeringsmetod och det empiriska materialet dvs. intervjuresultatet analyseras med hjälp av Blooms reviderade taxonomi. Resultatet visar att båda sjukhusen nyttjar standarden och att deras informationssäkerhetspolicy blir tilldelad av respektive Landsting. Onekligen är ändå att Hallands sjukhus Varberg som är certifierad enligt standarden SS-ISO/IEC 27001:2006, har en högre beredskap och aktivitetsnivå för denna typ av frågor rörande informationssäkerhetsarbete. Det visas bland annat genom att Halland Varberg sjukhus genomgående uppfyller fler åtgärdsmål, har fler definierade procedurer för sitt arbetssätt samt en utökad förståelse för uppsatta krav. De etiska och samhälleliga konsekvenserna för studiens slutsatser är bland annat att kommentarer kring intervjusvaren inte kan kopplas till en enskild individ utan till själva organisationen. Det visar i studien att det finns sårbarheter inom båda organisationerna, som driftavbrott i journalsystem som kan leda till konsekvenser för samhället. Genom att belysa beskrivningen om arbetet med fördelar av en certifiering enligt SS-ISO/IEC 27001:2006 utifrån ett informationssäkerhetsperspektiv och att det finns aktuella krav från Socialstyrelsen att alla vårdgivare ska ha ett ledningssystem som ska innehålla en dokumenterad informationssäkerhetspolicy, kan uppsatsen bidra till att besvara frågan om det är värt att certifiera sig. Bland de fördelar som framkom genom studien var exempelvis minskade antal incidenter, bättre total överblick och bättre förebyggande arbete. / Requirements for companies and organizations to implement and certify management systems in accordance with SS-ISO/IEC 27001: 2006 increase. Authorities and customers need to ensure that their suppliers and partners have a safe managing of the information. In order to describe and compare differences between the organizations way of working with information on a broad level of the standard SS-ISO/IEC 27001:2006 control objectives, analyzed this study the advantages of having a certified information security management system. The study identifies, analyzes and clarifies the information security-related differences in a hospital that is certified according to SS-ISO/IEC 27001: 2006, in comparison with a hospital that is not certified according to this standard. The study is based on the concept of information security and is carrying through by using Design Science method, in which an artifact is created from Bloom's revised taxonomy. Semi-structured interview is using to collect data. The work also used as a classification method and empirical material i.e. interview results analyzed by using Bloom's revised taxonomy. The results of the study show that both hospitals are working towards the standard and that their information security policy is assigned by the respective County Councils. The ethical and social implications of the study’s conclusions are that, among other things, that the comments about the interview responses cannot be attached to a single individual but to the organization. The study shows that there are vulnerabilities in both organizations, such as downtime of the medical journal system, which can result in consequences for society. Although there are current requirements from the Swedish National Board of Health and Welfare (Socialstyrelsen) to all caregivers: they shall have a management system which should include a documented information security policy, the study help to answer the question whether it is worthwhile to certify themselves. And by highlighting the description about work with a certification according to SS-ISO/IEC 27001: 2006 benefits from an information security perspective, organization can acquire a systematic information security work.

Information Security

Hospital

Information

Standards

ISO/IEC 27001

Policy

Taxonomy

Certification

Informationssäkerhet

Sjukhus

Information

Standard

SS-ISO/IEC 27001:2006

Policy

Taxonomi

Certifiering

Computer Sciences

Datavetenskap (datalogi)

Fördelar med ISO 27001. En studie utifrån Blooms reviderade taxonomi av två sjukhus arbete med informationssäkerhet

Brodin, Patric, Le Guellaff, Laure

January 2013

Krav på företag och organisationer att införa och certifiera ledningssystem enligt SS-ISO/IEC 27001:2006 ökar. Myndigheter och kunder vill försäkra sig om att deras leverantörer och samarbetspartner har en säker hantering av information. För att kunna beskriva och jämföra skillnaderna mellan organisationernas sätt att arbeta med informationssäkerhet på en generell nivå utifrån standarden SS-ISO/IEC 27001:2006 åtgärdsmål, analyseras i denna uppsats fördelarna med att ha ett certifierad ledningssystem för informationssäkerhet. Studien identifierar, analyserar och klarlägger de informationssäkerhetsmässiga skillnader som ett sjukhus som är certifierat enligt SS-ISO/IEC 27001:2006 uppnår, i jämförelse med ett sjukhus som inte är certifierat enligt denna standard. Studien utgår ifrån begreppet informationssäkerhet och genomförs med hjälp av Design Science metoden där en artefakt skapats utifrån Blooms reviderade taxonomi och med hjälp av semi-strukturerade intervjuer som är en kvalitativ metod. I arbetet används en klassificeringsmetod och det empiriska materialet dvs. intervjuresultatet analyseras med hjälp av Blooms reviderade taxonomi. Resultatet visar att båda sjukhusen nyttjar standarden och att deras informationssäkerhetspolicy blir tilldelad av respektive Landsting. Onekligen är ändå att Hallands sjukhus Varberg som är certifierad enligt standarden SS-ISO/IEC 27001:2006, har en högre beredskap och aktivitetsnivå för denna typ av frågor rörande informationssäkerhetsarbete. Det visas bland annat genom att Halland Varberg sjukhus genomgående uppfyller fler åtgärdsmål, har fler definierade procedurer för sitt arbetssätt samt en utökad förståelse för uppsatta krav. De etiska och samhälleliga konsekvenserna för studiens slutsatser är bland annat att kommentarer kring intervjusvaren inte kan kopplas till en enskild individ utan till själva organisationen. Det visar i studien att det finns sårbarheter inom båda organisationerna, som driftavbrott i journalsystem som kan leda till konsekvenser för samhället. Genom att belysa beskrivningen om arbetet med fördelar av en certifiering enligt SS-ISO/IEC 27001:2006 utifrån ett informationssäkerhetsperspektiv och att det finns aktuella krav från Socialstyrelsen att alla vårdgivare ska ha ett ledningssystem som ska innehålla en dokumenterad informationssäkerhetspolicy, kan uppsatsen bidra till att besvara frågan om det är värt att certifiera sig. Bland de fördelar som framkom genom studien var exempelvis minskade antal incidenter, bättre total överblick och bättre förebyggande arbete. / Requirements for companies and organizations to implement and certify management systems in accordance with SS-ISO/IEC 27001: 2006 increase. Authorities and customers need to ensure that their suppliers and partners have a safe managing of the information. In order to describe and compare differences between the organizations way of working with information on a broad level of the standard SS-ISO/IEC 27001:2006 control objectives, analyzed this study the advantages of having a certified information security management system. The study identifies, analyzes and clarifies the information security-related differences in a hospital that is certified according to SS-ISO/IEC 27001: 2006, in comparison with a hospital that is not certified according to this standard. The study is based on the concept of information security and is carrying through by using Design Science method, in which an artifact is created from Bloom&apos;s revised taxonomy. Semi-structured interview is using to collect data. The work also used as a classification method and empirical material i.e. interview results analyzed by using Bloom&apos;s revised taxonomy. The results of the study show that both hospitals are working towards the standard and that their information security policy is assigned by the respective County Councils. The ethical and social implications of the study’s conclusions are that, among other things, that the comments about the interview responses cannot be attached to a single individual but to the organization. The study shows that there are vulnerabilities in both organizations, such as downtime of the medical journal system, which can result in consequences for society. Although there are current requirements from the Swedish National Board of Health and Welfare (Socialstyrelsen) to all caregivers: they shall have a management system which should include a documented information security policy, the study help to answer the question whether it is worthwhile to certify themselves. And by highlighting the description about work with a certification according to SS-ISO/IEC 27001: 2006 benefits from an information security perspective, organization can acquire a systematic information security work.

Information Security

Hospital

Information

Standards

ISO/IEC 27001

Policy

Taxonomy

Certification

Informationssäkerhet

Sjukhus

Information

Standard

SS-ISO/IEC 27001:2006

Policy

Taxonomi

Certifiering

Computer Sciences

Datavetenskap (datalogi)

Fördelar med ISO 27001. En studie utifrån Blooms reviderade taxonomi av två sjukhus arbete med informationssäkerhet

Brodin, Patric, Le Guellaff, Laure

January 2013

Krav på företag och organisationer att införa och certifiera ledningssystem enligt SS-ISO/IEC 27001:2006 ökar. Myndigheter och kunder vill försäkra sig om att deras leverantörer och samarbetspartner har en säker hantering av information. För att kunna beskriva och jämföra skillnaderna mellan organisationernas sätt att arbeta med informationssäkerhet på en generell nivå utifrån standarden SS-ISO/IEC 27001:2006 åtgärdsmål, analyseras i denna uppsats fördelarna med att ha ett certifierad ledningssystem för informationssäkerhet. Studien identifierar, analyserar och klarlägger de informationssäkerhetsmässiga skillnader som ett sjukhus som är certifierat enligt SS-ISO/IEC 27001:2006 uppnår, i jämförelse med ett sjukhus som inte är certifierat enligt denna standard. Studien utgår ifrån begreppet informationssäkerhet och genomförs med hjälp av Design Science metoden där en artefakt skapats utifrån Blooms reviderade taxonomi och med hjälp av semi-strukturerade intervjuer som är en kvalitativ metod. I arbetet används en klassificeringsmetod och det empiriska materialet dvs. intervjuresultatet analyseras med hjälp av Blooms reviderade taxonomi. Resultatet visar att båda sjukhusen nyttjar standarden och att deras informationssäkerhetspolicy blir tilldelad av respektive Landsting. Onekligen är ändå att Hallands sjukhus Varberg som är certifierad enligt standarden SS-ISO/IEC 27001:2006, har en högre beredskap och aktivitetsnivå för denna typ av frågor rörande informationssäkerhetsarbete. Det visas bland annat genom att Halland Varberg sjukhus genomgående uppfyller fler åtgärdsmål, har fler definierade procedurer för sitt arbetssätt samt en utökad förståelse för uppsatta krav. De etiska och samhälleliga konsekvenserna för studiens slutsatser är bland annat att kommentarer kring intervjusvaren inte kan kopplas till en enskild individ utan till själva organisationen. Det visar i studien att det finns sårbarheter inom båda organisationerna, som driftavbrott i journalsystem som kan leda till konsekvenser för samhället. Genom att belysa beskrivningen om arbetet med fördelar av en certifiering enligt SS-ISO/IEC 27001:2006 utifrån ett informationssäkerhetsperspektiv och att det finns aktuella krav från Socialstyrelsen att alla vårdgivare ska ha ett ledningssystem som ska innehålla en dokumenterad informationssäkerhetspolicy, kan uppsatsen bidra till att besvara frågan om det är värt att certifiera sig. Bland de fördelar som framkom genom studien var exempelvis minskade antal incidenter, bättre total överblick och bättre förebyggande arbete. / Requirements for companies and organizations to implement and certify management systems in accordance with SS-ISO/IEC 27001: 2006 increase. Authorities and customers need to ensure that their suppliers and partners have a safe managing of the information. In order to describe and compare differences between the organizations way of working with information on a broad level of the standard SS-ISO/IEC 27001:2006 control objectives, analyzed this study the advantages of having a certified information security management system. The study identifies, analyzes and clarifies the information security-related differences in a hospital that is certified according to SS-ISO/IEC 27001: 2006, in comparison with a hospital that is not certified according to this standard. The study is based on the concept of information security and is carrying through by using Design Science method, in which an artifact is created from Bloom's revised taxonomy. Semi-structured interview is using to collect data. The work also used as a classification method and empirical material i.e. interview results analyzed by using Bloom's revised taxonomy. The results of the study show that both hospitals are working towards the standard and that their information security policy is assigned by the respective County Councils. The ethical and social implications of the study’s conclusions are that, among other things, that the comments about the interview responses cannot be attached to a single individual but to the organization. The study shows that there are vulnerabilities in both organizations, such as downtime of the medical journal system, which can result in consequences for society. Although there are current requirements from the Swedish National Board of Health and Welfare (Socialstyrelsen) to all caregivers: they shall have a management system which should include a documented information security policy, the study help to answer the question whether it is worthwhile to certify themselves. And by highlighting the description about work with a certification according to SS-ISO/IEC 27001: 2006 benefits from an information security perspective, organization can acquire a systematic information security work.

Information Security

Hospital

Information

Standards

ISO/IEC 27001

Policy

Taxonomy

Certification

Informationssäkerhet

Sjukhus

Information

Standard

SS-ISO/IEC 27001:2006

Policy

Taxonomi

Certifiering

Computer Sciences

Datavetenskap (datalogi)