Global ETD Search

151	Social-engineering ett hot mot informationssäkerheten? Palmqvist, Stefan January 2008 (has links) Den här rapporten tar upp ett annorlunda hot mot informationssäkerheten, som inte hårdvara eller mjukvara kan stoppa. Detta hot kallas för social-engineering, och det som gör detta hot farligt är att de anställda och chefer i en organisation, kan hjälpa utövaren av socialengineering utan att de själva vet om det. Det går inte att förhindra att dessa attacker sker, men man kan förhindra de negativa konsekvenserna av en sådan attack. Denna rapport tar upp hur man ska göra för att en organisation ska kunna fortsätta med sin verksamhet, efter en attack av social-engineering. I värsta fall kan en attack av social-engineering innebära att ett företag aldrig återhämtar sig. Detta kan bero på att organisationen har förlorat alla sina kunder, förlorat marknads andelar, eller för att de ansvariga och viktiga personerna i organisationen har blivit dömda för oaktsamhet och sitter i fängelse. Denna rapport ska informera och få er att vara uppmärksamma och medvetna om dessa hot, som ni kanske inte vet finns. Ni ska få kunskap och lära er känna igen de olika förklädnaderna en utövare av social-engineering antar. / This paper discusses a different threat against information security, which can not be prevented by either hardware or software. This Threat is called social engineering and the main issue that makes this threat so dangerous is that the victims, like executives and the employees in an organization are not aware that they actually helps the practician of social engineering. These attacks can not be avoided, but there is a way to prevent negative consequences of such an attack. This paper discusses how an organization can manage to continue with the activity, despite an attack of social engineering. In worse case the scenarios of an attack of social engineering can mean that an organization never fully recovers. The different scenarios of this can be as following. The organization could lose all the clients, they could have lost market share or the responsible important people in the organization could be convicted and sent to jail. This paper will make you aware of these threats that you might even don’t know exists. You will be given the knowledge to be able to recognize de different disguises a practician of social engineering can assume. social engineering information security hacker policy for security work risk social-engineering informationssäkerhet hacker säkerhetspolicy riskanalys Computer Sciences Datavetenskap (datalogi)
152	Framtagning av en informationssäkerhetspolicy Nordström, Roger January 2005 (has links) This report was made for the company HordaGruppen AB to investigate how information security was handled. This report fits in the Master program of Internet Technology at School of Engineering in Jönköping University in Sweden. The question at issue was how you protect your information against different threats. One question was how to make an information security policy and which guidelines you can follow in the Swedish Standard, SS-ISO/IEC 17799:2000. Another question was to investigate the information sources at the company and which threats there are against it. The work begins with a presentation about information security for the chief of information and the chief of quality in the company. The next thing was to do a survey of as thing are at present with a tool from Länsteknikcentrum called “Infosäkpulsen”. After the analysis was made of the survey, two reports were present with action plan for better information security for the company. The most important measures were of administrative kind and consist of a risk analysis of information resources and to make an information security policy with instructions for the users. The risk analysis was made with the tool BITS from Krisberedskapsmyndigheten and the consequence was that base level for IT-security was enough for the company. To fulfil the demand from the analyses so was an information security policy made and after that so create we information security instructions for the different kind of user group. One instruction was for ordinary users and the other was for management users. Besides the part with policy and instructions so recommend the company to initiate incident management and register all kind of changes in their IT-system. For further research it suggests to investigate how different standards can integrate to be only one standard that fulfils the goals in quality, environment and security standard / Rapporten var gjord som examensarbete på HordaGruppen AB och ingår i Breddmagisterprogrammet i Internetteknik på Ingenjörshögskolan i Jönköping. Problemställningen som rapporten handlar om är hur man skyddar företagets information mot olika sorters hot. Frågeställningen var dels hur man tar fram en informationssäkerhetspolicy och vilka riktlinjer det finns i svensk standard för informationssäkerhet. Frågeställningen skulle också ta reda på företagets informationstillgångar och vilka hot det fanns mot dessa. Arbetets inleds med en presentation på företaget om informationssäkerhet för Kvalitetschefen och IT-ansvarig. Därefter görs en nulägesanalys över informationssäkerheten med hjälp av verktyget Infosäkpulsen, en enkätundersökning från Länsteknikcentrum i Jönköping AB. Efter att svaren samlats in så sammanställdes en åtgärdsrapport och presenterades för företaget. De åtgärder som ansågs mest aktuella var av det administrativa slaget och bestod i att riskanalysera informationstillgångarna och att ta fram en informationssäkerhetspolicy med anvisningar för användarna. Riskanalysen gjordes med verktyget BITS från Krisberedskapsmyndigheten och resulterade i att basnivå för it säkerhet räckte överlag för företaget. För att uppfylla kraven från analyserna så togs en informationssäkerhetspolicy fram och därefter skapades informationssäkerhetsanvisningar till användare och till drift och förvaltning för att kunna uppfölja policyn. Förutom att följa policyn och anvisningarna så rekommenderas företaget att införa incidenthantering och öka spårbarheten genom att dokumentera vilka ändringar som görs i IT-systemen. Ett uppslag för fortsatt arbete skulle kunna vara att integrera de olika standarderna till en anvisning som uppfyller målen för både kvalitet, miljön och säkerheten. Datasäkerhet Informationssäkerhet IT-policy Riskanalys Svensk Standard SS-ISO/IEC 17799 Policy ITIL LIS Information Systems
153	Informationssäkerhet i arkitekturbeskrivningar : En studie i hur säkerhetsfunktioner kan beskrivas med hjälp av vyer Flod, Linus January 2012 (has links) Information security is an essential part of all information systems; especially in large organizations and companies dealing with classified material. Every large information system has an architecture that includes many parts that together form an Enterprise Architecture. The aim of this thesis is to study how to describe several security functions in an Enterprise Architecture and also how to ensure accountability between requirements and the implementation of the security functions. The description is for stakeholders on a conceptual level rather than a technical level. The study has been carried out by comparing the theoretical framework that has been formed by a study of the literature, and the empirical framework that has been formed by a group discussion and interviews with Information Security Consultants from Combitech AB. The process of the study was to obtain a theoretical background about Enterprise Architectures and then generate prototypes that could be tested in the interviews. The tests gave suggestions regarding how to change the prototypes to find the optimal way to describe security functions on a conceptual level. The final result of this study is to use integrated views for each security function. The integrated view should include: an identifier, a brief description of the security function, the requirements and a picture or use case. For the accountability, the requirements are numbered and displayed in the picture, in this way the stakeholder can see how the requirements are fulfilled. Computer Sciences Datavetenskap (datalogi)
154	Förenklade informationsklassificeringsscheman hos svenska statliga myndigheter / Simplified classification schemes at Swedish state agencies Gustavsson, Fredrik January 2016 (has links) Information is a vital part for most organizations, not least for state agencies as they handle personal data for every citizen, such as medical records, social security numbers and other sensitive information. It is therefore critical to protect the information assets at a sufficient level according to its value. Information security aims to do this by preserving the properties of confidentiality, integrity and availability of the information. This means that accurate and complete information shall be accessible and usable by an authorized entity upon demand. Swedish state agencies are obliged to manage their information security by the implementation of an information security management system (ISMS). The ISMS has to be set up and operated in compliance with the international standards ISO/IEC 27001 and ISO/IEC 27002, but these standards are somewhat vague in describing how to perform certain procedures. One part of the ISMS consists of the process of classifying the information, a process that according to the result from a survey by the Swedish Civil Contingencies Agency (MSB) is troublesome (MSB, 2014), especially for smaller-sized agencies. In this classification process, a classification scheme is used to determine the consequences to the organisation if the confidentiality, integrity or availability of the information is jeopardized. The result of this process determines the level of protection that each piece of information asset will receive at a later stage. It is vital to classify the assets at a suitable level to avoid over or under classification, as the former can lead to unnecessary costs and difficulties in using the assets, and the latter can put the asset at risk of unauthorized access. The interest from the academic world have however been low regarding research focused on the 27000 series of standards, compared to the more mature ISO/IEC 9000 and ISO/IEC 14000 series. This thesis project aims to investigate how the classification scheme has been simplified and to identify enabling factors from the development and use of simplified classification schemes. The research questions for this thesis project are: In which ways have a number of Swedish state agencies simplified their information classification schemes? Which factors have influenced the development and use of a simplified classification scheme? A mixed method, an embedded case study, was used, including both a review of existing information security policies for the state agencies to gather information about current information classification models and schemes, as well as interviews with the chiefs of information security for the state agencies regarding the development and usage of a simplified information classification scheme. In total, 120 documents from 81 agencies were reviewed and 7 interviews were completed. The results from the study shows that the state agencies that have simplified their classification scheme do so by focusing on one aspect: confidentiality. The agencies motivate this by a number of reasons: The aspects integrity and availability are regarded complex and difficult for the end user to relate to and classify. In order to simplify for the end user these aspects are handled by the IT department and the IT environment The integrity and availability aspects are more or less built into the IT environment and thus handled automatically as long as the end user correctly classifies the information asset according to the confidentiality aspect and handles the information according to the handling guidelines The study also shows the need for a national, common set of handling guidelines and consequence levels for the classification scheme as this would simplify and improve the security in communication between the state agencies information security information classification classification scheme Swedish state agencies informationssäkerhet informationsklassificering klassificeringsschema svenska statliga myndigheter Computer Sciences Datavetenskap (datalogi)
155	Mobil Informationssäkerhet : Surveyundersökning med fokus på medvetenheten angåenderiskerna inom mobil IT-säkerhet Olsson, Niclas, Olsson, Anders January 2014 (has links) Informationssäkerhet samt IT-säkerhet är ett ständigt aktuellt ämne. I och med att utvecklingenhela tiden går framåt, så uppstår det ständigt nya hål i säkerheten hos ny programvara. Dettaberor delvis på att det självklart är själva programmet som kommer ut först, inte den skadligaprogramvaran. Syftet med den här uppsatsen är att på ett kvantitativt sätt analysera data somsamlas in via enkätsvar, för att få en överblick i hur IT-säkerhetsmedvetna de tillfrågade är närdet gäller mobila enheter. Även vanliga hot mot mobila enheter presenteras, för att få en inblick ivad det finns att skydda sig emot, samt för att öka läsarens medvetenhet angående de olikahoten. Resultatet utav studien visar på att det finns ett behov av att öka medvetenheten gällandeIT-säkerhet för mobila enheter. För att virusskydd för mobila enheter ska få ett störregenomslag, krävs att de stora aktörerna inom IT-säkerhet tar sitt ansvar, och faktisktmarknadsför detta. Enkätsvaren gav en bra bas för att besvara vår frågeställning, och visade påmånga intressanta och relevanta samband. Mobil IT-säkerhet medvetenhet mobil informationssäkerhet medvetenhet smartphone surfplatta hot mot mobila enheter. Information Systems
156	Integritet och säkerhet inom den digitaliserade sjukvården. : Med perspektiv utifrån patientdatalagen / Integrity and security of digital information handling in the health care industry Strömklint, Theo, Wilhelmsson, Mia January 2012 (has links) The digitization of patient data and medical records used by the healthcare-industry in Sweden is rapidly developing. However; developing and changing things in this field is not an easy task because of the circumstances surrounding it. Digital systems intended to process, and hold, sensitive personal data, such as medical journals, must be developed with laws, confidentiality, integrity and availability in mind to secure that none of this data gets compromised. A complicating factor in regards to this is the fast rate of development within IT in contrast to the much slower bureaucratic process of the justice system. This means that laws and regulations oftentimes aren’t up to date with the newest available technology. With the purpose of establishing set regulations on how patient data should be properly handled the Swedish government enacted the Patient Data Act (sv. Patientdatalagen, SFS 2008:355) on the 1:st of July 2008. This act doesn’t only touch on safeguarding patient data but also deals with: A possibility for healthcare-providers to take part of other provider’s journals (a system for distribution and sharing of patient data). The patients given right to at any time deny access of their data to any given healthcare-provider and/or specific personnel. The possibility for patients to take part of follow-up information regarding access to their data and see, among other things, who’s accessed their files, at what time and which changes were made. In addition to the Patient Data Act the Swedish National Board of Health and Welfare and the Data Inspection Board inaugurated regulations regarding the handling of information and journal keeping of the healthcare-industry (SOSFS 2008:14). This legislative act concerns business organizational issues regarding healthcare-providers responsibilities involving handling of sensitive data. The legislation also sets requirements for routines when following up on logs, methods for authentication etc. In addition to enacted laws and applied technical solutions there is the aspect, and importance, of education of healthcare-personnel. A key component to secure information handling is a security conscious, well-educated staff. This thesis describes the complexity and existing issues between the development of IT and currently enacted laws and regulations regarding healthcare and electronic journal keeping. It also discusses approaches to these issues and the target objective of future technical and administrative implementations. In addition to the presentation of contemporary circumstances in the area the report also deals with proposed solutions to the aforementioned issues. It highlights the areas that are considered critical, and currently non-prioritized, with regards to patient integrity. Information security information handling Health care Patient integrity Informationssäkerhet Informationshantering Hälso- och sjukvård Patientintegritet Law Juridik Engineering and Technology Teknik och teknologier
157	Detaljhandelns förberedelser inför GDPR : En fallstudie om vilka förändringar företagen behöver utföra samt deras arbete kring GDPR Adolfsson, Sandra, Lundholm, Paula January 2017 (has links) Det rådande EU-direktivet som behandlar dataskydd från år 1995 är idag inte lika aktuellt som när det infördes. Det är därför i hög tid att en uppdatering kommer. I maj 2018 införs den nya dataskyddsförordningen, GDPR, som är EU:s senaste förordning. Den kommer ersätta Sveriges personuppgiftslag, PuL, som idag styr över hur personuppgifter behandlas. GDPR kommer innebära strängare lagar kring informationshantering och fler rättigheter till privatpersoner. Ett exempel är att privatpersoner kommer kunna be om att få alla data kopplad till personen raderade. Många företag erbjuder medlemskap till privatpersoner och lagrar därför kunduppgifter digitalt, vilket betyder att de påverkas av GDPR i stor grad då de måste omforma sina IT-system för att leva upp till de nya kraven. Denna studie handlar om fyra företag och förändringarna de står inför samt hur de arbetar med de nya kraven som GDPR innebär för dem. En kravmodell skapas med en sammanställning av de nya kraven och resultatet visar sedan vilka företag som börjat arbeta med de kraven. Resultatet visar även hur långt de kommit i sitt arbete med dataskyddsförordningen och kan förhoppningsvis vägleda andra företag i hur de bör arbeta med dataskyddsförordningen samt vilka förändringar de bör genomföra för att leva upp till de nya kraven. GDPR General Data Protection Regulation CRM GDPR dataskyddsförordningen informationssäkerhet CRM Information Systems, Social aspects
158	Mäta informationssäkerhetskultur : Är enkät ett lämpligt verktyg för att mäta informationssäkerhetskultur? Wennström, Pär January 2018 (has links) No description available. Informationssäkerhet Informationssäkerhetskultur mäta informationssäkerhetskultur mäta säkerhetskultur it-säkerhet Information Systems, Social aspects
159	Phishing inom organisationer : En studie om hur skydd mot phishing kopplat till mänskliga faktorer kan stärkas / Phishing within organizations : A study on how defenses against phishing linked to human factors can be strengthened Grönlund, Nicole January 2020 (has links) Med hjälp av informationsteknologi (IT) kan företag hålla sig konkurrenskraftiga, samtidigt som det öppnar upp för säkerhetshot som informationsstöld. Phishing är ett exempel på säkerhetshot, vilket innefattar att angripare tillämpar digitala enheter för att konstruera manipulativa meddelanden i syftet att få tillgång till konfidentiell information genom individer (Xiong, Proctor, Yang & Lin, 2019). Många företag investerar i teknologiska lösningar för att skydda mot säkerhetshot, varpå mänskliga faktorer ofta ignoreras (Ghafir et al., 2018). Denna studie har därmed undersökt hur skydd mot phishing kopplat till mänskliga faktorer kan stärkas, det vill säga säkerhetsmedvetenhet, säkerhetsutbildningar, säkerhetspolicies, informationssäkerhetskultur, ledning samt säkerhetsbeteende. Med hjälp av kvalitativa metodansatser har respondenter från ett samarbetsföretag intervjuats, för att besvara hur skydd mot phishing kopplat till mänskliga faktorer kan stärkas genom två delfrågor: ”Vilka brister finns avseende skydd mot phishing kopplat till mänskliga faktorer inom organisationer”? samt ”Vilka åtgärder kan organisationer ta för att förbereda anställda mot phishing-angrepp”?Studiens resultat visar att det kan förekomma brister avseende skydd mot phishing kopplat till mänskliga faktorer som ökar risken med att anställda faller för phishing-angrepp, exempelvis att det saknas information i säkerhetsutbildningar för att förbereda anställda mot phishing-angrepp, att anställda inte tar del av säkerhetspolicyn kontinuerligt, avsaknad av uppföljningsutbildningar samt att kunskap från säkerhetsutbildningar och säkerhetspolicyn glömts bort vilket öppnar upp för riskfyllda säkerhetsbeteenden. Åtgärder mot brister som identifierats i studien innefattar bland annat att anställda bör få genomgå specifik säkerhetsutbildning om phishing som exemplifierar olika typer av phishing-angrepp, en ökad kunskapsdelning bland ledning och anställda i form av att anställda rapporterar in phishing-mejl som ledningen kan informera övriga anställda om, belysa allvaret med phishing genom information om konsekvenser vilket kan leda till en attitydförändring avseende säkerhet, regelbundna uppföljningsutbildningar samt motivering och övervakning att anställda tar del och efterföljer säkerhetspolicies. Phishing inom organisationer Social engineering Säkerhetsutbildning Säkerhetspolicies Informationssäkerhetskultur Säkerhetsmedvetenhet Ledning Säkerhetsbeteende Media and Communication Technology Medieteknik
160	Internet of Things : Exploring and Securing a Future Concept Bude, Cristian, Kervefors Bergstrand, Andreas January 2015 (has links) Internet of Things (IoT) is a concept that encompasses various objects and methods of communication to exchange information. Today IoT is more a descriptive term of a vision that everything should be connected to the internet. IoT will be fundamental in the future because the concept opens up opportunities for new services and new innovations. All objects will be connected and able to communicate with each other, while they operate in unprotected environments. This later aspect leads to major security challenges. Today, IoT is in great need of standardization and clear architectures that describe how this technology should be implemented and how IoT devices interact with each other in a secure manner. The security challenges are rooted in the technology and how information is acquired and manipulated by this technology. This thesis provides an introduction to what the IoT is and how it can be used as well as some of the threats that IoT may face in regards to information security. In addition, the thesis provides the reader with some suggestions about how to potentially solve the fundamental need for authentication and secure communications. The solutions presented are based on both contemporary solutions and technologies that are under development for the future. Contemporary solutions are based on security protocols such as IPSec and DTLS. These protocols are being used in an environment that extends across the Internet and into a 6LoWPAN network. The proposed authentication solution has been developed based on a public key infrastructure and trust models for certificate management. As future work, the thesis presents several research areas where this thesis can be used as a basis. These specialization areas include further analysis of vulnerabilities and an implementation of the proposed solutions. / Internet of Things (IoT) är ett koncept som omfattar olika objekt och kommunikationsmetoder för utbyte av information. Idag är IoT mer en beskrivande term av den framtidsvision som finns att allting ska vara uppkopplat på internet. IoT kommer vara fundamentalt i framtiden eftersom konceptet öppnar upp möjligheter för nya tjänster samt nya innovationer. Då alla objekt ska vara uppkopplade och kunna kommunicera med varandra samtidigt som de skall kunna operera i oskyddade miljöer, bidrar detta till stora säkerhetsutmaningar. Dagens IoT är i stort behov av standardisering och klara strukturer för hur tekniken ska implementeras samt samverka med varandra på ett säkert sätt. Utmaningarna ligger i att säkra tekniken samt informationen som tekinken bidrar med. Denna rapport ger en introduktion till vad IoT är och hur det kan användas samt vilka hot som IoT kan möta i avseende till informationssäkerhet. Utöver detta så förser rapporten läsaren med förslag om hur man eventuellt kan lösa de fundamentala behoven av autentisering och säker kommunikation. Lösningarna som läggs fram är baserade på både nutida lösningar och teknik som är under utveckling inför framtiden. Nutida lösningar är baserade på säkerhetsprotokoll som IPsec och DTLS som används i en miljö som sträcker över internet och in i ett 6LoWPAN nätverk. Den autentiseringslösning som tagits fram grundar sig på PKI och förtroendemodeller för certifikathantering. För framtida arbete presenteras flertalet vidare fördjupningsområden där denna rapport kan användas som grund. Dessa fördjupningsområden inkluderar vidare analys av sårbarheter och implementation av de lösningar som tagits fram. Internet of Things IoT information security identification authentication secure communication Internet of Things IoT informationssäkerhet identifiering autentisering säker kommunikation Communication Systems Kommunikationssystem

Search results