Global ETD Search

181	Dynamic Risk Management in Information Security : A socio-technical approach to mitigate cyber threats in the financial sector / Dynamisk riskhantering inom informationssäkerhet : Ett sociotekniskt tillvägagångssätt för att hantera cyberhot i den finansiella sektorn Lundberg, Johan January 2020 (has links) In the last decade, a new wave of socio-technical cyber threats has emerged that is targeting both the technical and social vulnerabilities of organizations and requires fast and efficient threat mitigations. Yet, it is still common that financial organizations rely on yearly reviewed risk management methodologies that are slow and static to mitigate the ever-changing cyber threats. The purpose of this research is to explore the field of Dynamic Risk Management in Information Security from a socio-technical perspective in order to mitigate both types of threats faster and dynamically to better suit the connected world we live in today. In this study, the Design Science Research methodology was utilized to create a Dynamic Information Security Risk Management model based on functionality requirements collected through interviews with professionals in the financial sector and structured literature studies. Finally, the constructed dynamic model was then evaluated in terms of its functionality and usability. The results of the evaluation showed that the finalized dynamic risk management model has great potential to mitigate both social and technical cyber threats in a dynamic fashion. / Under senaste decenniet har en ny våg av sociotekniska cyberhot uppkommit som är riktade både mot de sociala och tekniska sårbarheterna hos organisationer. Dessa hot kräver snabba och effektiva hotreduceringar, dock är det fortfarande vanligt att finansiella organisationer förlitar sig på årligen granskade riskhanteringsmetoder som både är långsamma och statiska för att mildra de ständigt föränderliga cyberhoten. Syftet med denna forskning är att undersöka området för dynamisk riskhantering inom informationssäkerhet ur ett sociotekniskt perspektiv, med målsättningen att snabbare och dynamiskt kunna mildra bägge typerna av hot för att bättre passa dagens uppkopplade värld. I studien användes Design Science Research för att skapa en dynamisk riskhanteringsmodell med syfte att hantera sociotekniska cyberhot mot informationssäkerheten. Riskhanteringsmodellen är baserad på funktionskrav insamlade genom intervjuer med yrkesverksamma inom finanssektorn, samt strukturerade litteraturstudier. Avslutningsvis utvärderades den konstruerade dynamiska modellen avseende dess funktionalitet och användbarhet. Resultaten av utvärderingen påvisade att den slutgiltiga dynamiska riskhanteringsmodellen har en stor potential att mitigera både sociala och tekniska cyberhot på ett dynamiskt sätt. DISRMM Dynamic Risk Management Adaptive Risk Management Socio-Technical Sociotechnical Social Triggers Technical Triggers Information Security Usability SEO Search Engine Optimization SEAREvasion SEAR Evasion Approach Dynamic Risk Management Socio-technical Threats Risk Management Finance Technical Risk Management Finance Social Risk Management Finance Socio-technical Model Design Science Research. Dynamisk Riskhantering Informationssäkerhet Finans Finansiell Organisation Dynamisk Informationssäkerhet Sociotekniska Cyberhot Riskhantering. Information Systems
182	Informationsklassificering : ett styrdokument för klassificering av informationssystem Larsson, Nicklas, Hallén, Kim January 2010 (has links) <p>Hantering av information blir allt viktigare i dagens informationssamhälle då information är en av de värdefullaste tillgångarna för verksamheter. Syftet med uppsatsen har varit att skapa ett styrdokument för IT-administratörer som hjälper dem vid klassificering av informationssystem. Styrdokumentet har som uppgift att kontrollera att informationssystem lever upp till verksamheternas krav som finns på konfidentialitet, integritet, tillgänglighet och spårbarhet. Styrdokumentets vetenskapliga värde har verifierats genom att utvalda IT-administratörer undersökt och utvärderat styrdokumentet. Resultatet visar att styrdokumentet kan användas som ett hjälpmedel. Det är lättförståeligt, lämpar sig för mindre tekniska personer och kan även i vissa fall effektivisera klassificeringsprocessen. Slutsatsen är att behovet av denna typ av styrdokument för klassificering av informationssystem behövs inom verksamheter.</p> / <p>Information management is increasingly important in today’s information society as information is one of the most valuable assets for businesses. The purpose of this paper was to create a steering document for IT administrators and to help them when classifying information systems. The steering document is responsible for verifying that information systems meet businesses requirements of confidentiality, integrity, availability, and traceability. The scientific value of the steering document has been verified by selected IT administrators, who have investigated and evaluated it. The results show that the steering document may be used as a guideline for information system classification. It is easily understandable, suitable for less technical people, and may in some cases make the classification process even more efficient. The conclusion is that this type of steering document for information system classification is needed within businesses.</p> Availability CIA-triad confidentiality information information classification information management information security integrity CIA-triangeln information informationshantering informationsklassificering informationssäkerhet integritet konfidentialitet tillgänglighet Computer science Datavetenskap
183	Ett lapptäcke av säkerhetsskydd över Sverige : Utmaningar för civila verksamheter vid applicering av säkerhetsskyddsanalys för stärkt nationell säkerhet / A Quilt of Security Protection over Sweden : Challenges for Civilian Organisations when Applying Security Protection Analysis for Strengthened National Security Sjöström, Elin January 2019 (has links) Informationssäkerhet är idag någonting som blivit allt viktigare med den ökade mängd information som bearbetas och den ökade risken för antagonistiska händelser. Att bygga upp ett omfattande säkerhetsskydd genom att genomföra en grundläggande säkerhetsskyddsanalys är därför av vikt för de verksamheter som kan påverka Sveriges säkerhet. Denna studie har undersökt detta genom att besvara två frågeställningar: 1.Vilka utmaningar finns det vid applicering av säkerhetsskyddsanalys för civila verksamheter inom Sverige? och 2. Hur bör dessa verksamheter applicera säkerhetsskyddsanalys för att handskas med de identifierade utmaningarna? För att besvara dessa frågor har en kvalitativ fallstudie genomförts där empiri har samlats in genom en dokumentstudie, semistrukturerade intervjuer, och en observation. Empirin har sedan analyserats genom hermeneutisk analys och analys inspirerad från grundad teori. Studiens resultat har sedan tagits fram i tre steg. Först genom en kartläggning av säkerhetsskyddsanalysen där analysen delades in i sex huvudsakliga steg: verksamhetsanalys, identifiering av skyddsvärde, konsekvensanalys, säkerhetshotbedömning, sårbarhetsanalys, och identifiering och värdering av säkerhetsåtgärder. Sedan genom att ta fram 24 utmaningar som delades in i fyra huvudsakliga områden: nationella utmaningar, verksamhetsutmaningar, ledningsutmaningar, och medarbetarutmaningar. Slutligen genom att sammanföra kartläggningen av säkerhetsskyddsanalysen och de identifierade utmaningarna till ett gemensamt ramverk för applicering av säkerhetsskyddsanalys. Den utförda studiens kunskapsbidrag är ett stöd och en förståelse av säkerhetsskyddsanalysens utförande för civila verksamheter för att minska bristerna i deras säkerhetsskydd. / In the present day, Information security has become an increasingly important matter due to the growing amount of information being processed as well as the increasing risk for antagonistic events. To build an extensive security protection through executing a fundamental security protection analysis is therefore of great importance for the organisations which are involved with the security of Sweden. This study has investigated the matter through answering two research questions: 1. Which challenges arise when applying security protection analysis for civil organisations in Sweden? and 2. How should these organisations apply security protection analysis to be able to deal with the identified challenges? A qualitative case study was completed to answer these questions with empirical data collected through a document study, semi-structured interviews, and observation. The empirical data were analysed by means of hermeneutic analysis and analysis informed by grounded theory. The result of the study has therefore been produced in three steps. First, through a mapping of the securty protection analysis where the analysis was divided into six main steps: activity analysis, identification of protection value, consequence analysis, security threat assessment, vulnerability analysis, and identification and valuation of security actions. Then, through producing 24 challenges, which were divided into four main areas: national challenges, organisation challenges, governance challenges, and coworker challenges. Finally, through combining the mapping of the security protection analysis and the identified challenges to a joint framework for application of security protection analysis. The konwledge contribution of the performed study is a support and an understanding of the execution of the security protection analysis for civil organisations to reduce the deficiencies in their security protection. Security protection Security protection analysis Security protection legislation Information security Security of Sweden Säkerhetsskydd Säkerhetsskyddsanalys Säkerhetsskyddslagstiftning Informationssäkerhet Sveriges säkerhet Information Systems, Social aspects
184	Konsekvenser vid införandet av ett affärssystem : En jämförelseanalys av nutida och framtida läge Olofsson, Simon, Åkerlund, Agnes January 2018 (has links) The study aims at identifying the impacts accruing from the implementation of an ERP-system on a large production company that previously managed information in several unintegrated systems. This is investigated from the perspectives and frameworks of Lean Administration, information security and information- and data quality. The study has been conducted at SCA Östrands marketing department, SCA is currently investing 7,8 billion Swedish kronor in the Östrand pulp mill and will be leading the world market. SCA aims to produce 1 million tons of pulp per year with the new mill. As production increases, more data and information will be handled, and support processes must be improved and developed. Process flows were mapped with the process mapping method BPMN and analyzed at a current state and a future state. In the current state, several unintegrated systems are used, in the future, many parts have been integrated and automated. Three main processes were identified and analyzed according to the earlier mentioned frameworks. The analysis shows that the information security is improved according to the CIA-triad, Information- and data quality is improved, and the working method is Leaner after the implementation. In order to calculate efficiency, Data Envelopment Analysis, DEA method has been used with the CCR and ARI models. The results of DEA-CCR and DEA-ARI shows that process flow of the current state is between 48,3% and 57,1% effective compared to the future state, which is 100% effective in the models. / Studien syftar till att identifiera vilka konsekvenser en implementation av ett affärssystem har på ett stort produktionsföretag som tidigare arbetat med informationshantering i flera ointegrerade systemstöd. Detta undersöks ur perspektiven och ramverken för Lean Administration, informationssäkerhet samt informations- och datakvalitet. Undersökningen har genomförts på SCA Östrands marknadsavdelning, SCA investerar just nu 7,8 miljarder kronor i massafabriken Östrand och kommer att bli ledade på världsmarknaden. SCA har som mål att producera 1 miljon ton massa per år med den nybyggda fabriken. Då produktionen ökar kommer mer data och information hanteras och stödprocesserna måste förbättras och utvecklas. Processflöden har kartlagts med processkartläggningsmetoden BPMN och analyserats i ett nutida samt ett framtida optimalt läge. I det nutida läget används flera ointegrerade systemstöd och i det framtida läget har många delar blivit integrerade och automatiserade. Tre huvudprocesser har identifierats och dessa processflödena analyseras utifrån de tre ramverken. Analysen visar att informationssäkerheten förbättras enligt CIA-triaden, Informations- och datakvaliteten förbättras och arbetssättet är mer Lean efter implementationen. För att beräkna ett relativt effektivitetsmått har metoden Data Envelopment Analysis, DEA, använts med modellerna CCR och ARI. Resultatet av DEA-CCR och DEA-ARI visar att det nutida läget är mellan 48,3% och 57,1% effektivt jämfört med det framtida läget som anses vara 100% effektivt i modellerna. ERP-system BPMN Lean Administration Information security Information- and data quality DEA. Affärssystem BPMN Lean Administration Informationssäkerhet Informations- och datakvalitet DEA. Övrig annan teknik
185	Småföretags arbetssätt med informationssäkerhet : En kvalitativ studie av utvalda företag / Small business way of working with information security : A qualitative study of selected companies Emilsson, Daniel January 2019 (has links) Företag lagrar konstant mer information i systemen. I kombination med att mängden hot mot användandet av IT inom företagens verksamheter årligen ökar, höjs kraven på arbetet rörande informationssäkerhet. Risken att företag drabbas av IT-relaterade hot är lika sannolik oavsett storlek. En avgörande skillnad mellan företag är budgetstorlek och resurstillgångar. Företag med 10-49 anställda benämns som småföretag enligt den definition EU‐kommissionen satt upp för företag inom Europeiska Unionen. Småföretag har sannolikt avsatt mindre pengar i budgeten för informationssäkerhetsarbete än stora företag. Småföretagens informationssäkerhetsarbete studeras inte lika frekvent som stora företags, trots att småföretag ihop med medelstora och mikroföretag utgör 99 % av den totala mängden i Europa. Kombinationen av skral budget och stor andel företag utgör en intressant grund i att klargöra hur småföretag arbetar med att uppnå informationssäkerhet. Studien är kvalitativ och saknar befintlig initial teori om informationssäkerhet. Studien analyserar insamlad empiri i form av kvalitativa intervjuer med respondenter från småföretag ihop med litteratur för att uppnå resultat och dra slutsatser för att besvara rapportens frågeställningar. Resultatet visar att småföretagens syn på informationssäkerhet främst är teknikorienterat. Flertalet tekniska åtgärder appliceras för att skydda småföretagen mot hot. Resultatet visar också att ett systematiskt arbete med informationssäkerhet ofta saknas och att den administrativa säkerheten med policys, regelverk och rutiner många gånger är obefintlig. / Companies constantly store more information in their systems. In combination with the fact that the amount of threats to the use of IT within the companies' businesses annually increases, the demands on the work concerning information security are increased. The risk that companies suffer from IT-related threats is just as big regardless of size. A crucial difference between companies is budget size and resources. Companies with 10-49 employees are referred to as small businesses according to the definition the EU Commission set up for companies in the European Union. Small businesses have probably allocated less money in the budget for information security work than large companies. Small business information security work is not being studied as frequently as large companies, although small businesses together with medium and micro enterprises make up 99% of the total amount of companies in Europe. The combination of a small budget and the largest share of the companies is an interesting basis for investigating how small businesses relate to information security. The study is qualitative and lacks an existing initial theory of information security. The study analyzes collected empirical data in the form of qualitative interviews with respondents from small companies together with literature to achieve results and draw conclusions to answer the report's questions. The result shows that the small companies' view of information security is primarily technology-oriented. Most technical measures are applied to protect small businesses against threats. The result also shows that systematic work on information security is often lacking and that the administrative security with policies, regulations, and routines is often non-existent Information security small business IT administrative security technical security Informationssäkerhet småföretag IT administrativ säkerhet teknisk säkerhet Information Systems
186	Efterlevnad av den enskildes rättigheter enligt Dataskyddsförordningen GDPR : En fallstudie om hur en organisation har påverkats av den enskildes rättigheter, samt vilka åtgärder som vidtas för efterlevnad / Complience regarding the rights of the individual according to the GDPR : A casestudy about how an organization have been affected by the rights of the individual, and what measures are taken for compliance Nilsson, Robin January 2019 (has links) Dataskyddsförordningen (GDPR) blev den 25e maj 2018 obligatorisk att följa för alla organisationer inom Europa som samlar in och behandlar personuppgifter. Dataskyddsförordningen ersatte Personuppgiftslagen som tidigare varit den lag som inom Sverige reglerat hur organisationer får behandla personuppgifter. En central del av Dataskyddsförordningen är den enskildes rättigheter som består av 8 punkter och redogör för vilka rättigheter som en enskild har när en organisation behandlar personuppgifter. Mycket av det som tidigare gällde i personuppgiftslagen har utökats genom den enskildes rättigheter och därmed har organisationer som behandlar personuppgifter fått förändra sin verksamhet för att möta de nya kraven. Syftet med arbetet är att reda ut på vilka sätt som den enskildes rättigheter har påverkat en organisation för att kunna efterleva de nya kraven. Genom en litteraturstudie identifierades forskning som publicerades innan Dataskyddsförordningen blev obligatorisk som analyserar och redogör för hur organisationer bör påverkas av Dataskyddsförordnigen. Med hjälp av en kvalitativ metod beståendes av intervjuer genomfördes en fallstudie för att ta reda på vilken faktiskt påverkan som den enskildes rättigheter inneburit i form av vilka anpassningar som organisationen behövt göra för att anses vara i fas med lagkraven. Resultatet analyserades och jämfördes med den forskning som identifierats för att kunna dra slutsatser kring den faktiska påverkan som rättigheterna inneburit. Resultatet visar på vilka sätt som den enskildes rättigheter har påverkat organisationen i form av nya administrativa processer, rutiner och teknisk funktionalitet för att kunna möta de krav som den enskildes rättigheter kräver. / The General Data Protection Regulation (GDPR) became mandatory on 25 May 2018 for all organizations within Europe who collect and process personal data. The General Data Protection Regulation replaced the Personal Data Act, which previously was the law that regulated in Sweden how organizations may process personal data. A central part of the GDPR is the individual's rights which consist of 8 rights and describe what rights an individual has when an organization processes their personal data. Much of what previously applied in the Personal Data Act has been expanded through the individual's rights and thus organizations that process personal data have had to change their organization to meet the new requirements. The purpose of this thesis is to sort out in what ways the individual's rights have affected an organization in order to comply with the new requirements. By the use of a literature study, research has been identified that was published prior to the GDPR became mandatory which analyzes and describes how organizations should be affected by the data protection ordinance. With the help of a qualitative method, interviews were conducted via a case study to find out what actual impact the individual's rights lead to in the form of which adjustments the organization needed to make in order to be considered in phase with the legal requirements. The result of the interviews was analyzed and compared with the previously identified research to be able to draw conclusions about the actual impact of the new rights. The result shows in what ways the individual's rights have affected the organization in the form of new administrative processes, routines and technical functionality in order to meet the requirements that the individual's rights require. GDPR The General Data Protection Regulation information security the rights of the individual municipality GDPR Dataskyddsförordningen informationssäkerhet den enskildes rättigheter kommun Engineering and Technology Teknik och teknologier
187	Bedömande vid informationssäkerhetsklassificering Marklund, Joakim, Hedström, Tomas January 2019 (has links) Utvecklingen i informationssamhället påverkar i allt större grad Försvarsmaktens verksamhetsprocesser. Det innebär att kraven och förutsättningarna för säkerhetsskydd av IT-system och därmed informationssäkerhetsklassning av handlingar och uppgifter förändras. Denna studie undersöker under vilka förutsättningar som informationssäkerhetsklassificering genomförs i Försvarsmakten idag. Anledningen är att det förekommer inkonsekventa värderingar av uppgifter och handlingar, vilket försvårar samverkan, ger onödiga IT kostnader och säkerhetsrisker. Syftet med denna studie är att utreda vilka problem som medarbetare uppfattar finns inom Försvarsmakten idag, samt att om möjligt identifiera ändamålsenliga utvecklingsåtgärder. För att ta reda på detta har tjugotvå användare svarat på enkäter med öppna frågor, samt fem semistrukturerade intervjuer genomförts med experter inom lagar och förordningar, IT-system, metod och informationssäkerhet. Resultatet visar att de uppfattade problemen ligger i att förstå hur den egna informationen ska värderas i ett större sammanhang och att det är svåröverskådligt hur ens egen uppgift kan kombineras med andras uppgifter. Detta får flera konsekvenser, bl.a. svårigheter att göra ’skada och men’ bedömningar i förhållande till olika informationssäkerhetsklasser. Vidare visar resultatet att Försvarsmaktens metod för informationssäkerhetsklassificering har utvecklingspotential inom gällande lagar och förordningar, samt att orsakerna till de uppfattade problemen kan bemötas med riktade åtgärder. Vi utvecklade därför en teori med utvecklingsåtgärder för att hantera orsakerna till de uppfattade problemen med hänsyn till vad som idag är realiserbart. Syftet med teorin är att stärka förmågan till konsekvent informationssäkerhetsklassificering i komplext kontext, vilket åstadkommes genom förbättrad kommunikation och analytiskt stöd. Väsentliga element i teorin är tillgång till flera perspektiv genom mångfald i nätverk med lokala beslutsstödsgrupper, att andra kan inkluderas i bedömandet med externa representationstekniker och motivering av sekretessbeslut, samt att viktiga analysmoment är tydliggjorda. Uppsatsen bidrar med ett nödvändigt användareperspektiv till dagens högaktuella informationssäkerhetsdiskussion. / The development of the information society is increasingly affecting the Swedish Armed Forces' operational processes. This means that the requirements and conditions for security protection of IT systems and thus information security classification of documents and data are changing. This study investigates the conditions under which information security classification is carried out in the Swedish Armed Forces today. The reason is that there are inconsistent assessments of data and documents, which makes collaboration more difficult, gives unnecessary IT costs, and security risks. The purpose of this study is to investigate which problems employees perceive are within the Swedish Armed Forces today and if possible to identify appropriate development measures. To find this out, twenty-two participants have responded to questionnaires with open questions, and five semi-structured interviews were conducted with experts in laws and regulations, IT systems, methodology, and information security. The result shows that the perceived problems lie in understanding how one’s information is to be valued in a larger context and that it is difficult to understand how that information can be combined with other people's information. This has several consequences, including difficulties in making "damage and detriment" assessments with different information security classes. Furthermore, the results show that the Swedish Armed Forces' method for information security classification has development potential within existing laws and regulations and that the causes of the perceived problems can be addressed with targeted measures. We, therefore, developed a theory with development measures to manage the causes of the perceived problems concerning what is today realizable. The purpose of the theory is to strengthen the ability for consistent information security classification in a complex context, which is achieved through improved communication and analytical support. Essential elements in this theory are access to several perspectives through diversity in networks with local decision support groups, that others can be included in the assessment with external representation techniques and motivation of confidentiality decisions, and that important analysis steps are made clear. The essay contributes with a necessary ‘user perspective’ to the contemporary and up-to-date information security discussion. användarperspektiv säkerhetsskyddsanalys säkerhetsskyddslagen informationssamhället digitaliseringen bedömande informationssäkerhet informationssäkerhetsklassificering konsekvent klassificering komplext kontext beslutsstödsgrupper 4k kommunikation makt inflytande mångfald Business Administration Företagsekonomi
188	Utvecklingen utav social manipulering : En kartläggande granskning av säkerhetsåtgärder 2008 kontra 2018 / Development of social engineering : A mapping review of security measures in 2008 versus 2018 Johansson, Stina January 2019 (has links) Sociala manipulatörer besitter förmågan att använda social interaktion som medel för att övertyga en individ eller organisation till samtycke för en specifik förfrågan. Syftet är att uppnå ett mål i form av exempelvis ekonomisk vinning, obehörig åtkomst eller serviceavbrott. En social manipuleringsattack föranleds utav bakomliggande processer och innefattar en datorrelaterad enhet för antingen den sociala interaktionen, för övertalningen till samtycke eller för manipulatörens förfrågan. Syftet med arbetet var att kartlägga säkerhetsåtgärder mot sociala manipuleringsattacker och på så vis ge uttryck för en utveckling av området över tid. Resultatet förväntades med andra ord att ge uttryck för en mognad inom området och bidra med ökade insikter i hur attacker på ett tidstroget vis kan tacklas inom administrativ- och teknisk säkerhet. En kartläggande granskning genomfördes utifrån ett urval utifrån de tre databaserna; IEEE Xplore Digital Library, Springer Link och DBLP Computer Science Bibliography. Studier primär- och sekundärkategoriserades utifrån en kodningsprocess i syfte att understödja en narrativ analys. Fyra primärkategorier utav säkerhetsåtgärder uppstod; modellering, sårbarhetsbedömning, datasystem och (in)direkt utbildning. Sökstrategi och bedömningsprocess gav en inkluderad datamängd av totalt 28 studier. Säkerhetsåtgärder mot social manipulering från 2008 representerades av fem studier; en föreslog modellering, tre föreslog datasystem och en föreslog (in)direkt utbildning. Säkerhetsåtgärder från 2018 representerades av 23 studier; fyra föreslog modellering, två föreslog sårbarhetsbedömning; nio föreslog datasystem och åtta föreslog (in)direkt utbildning. Kodningsprocessen gav även upphov till sekundära kategorier – samtliga kategorier återgavs en dynamisk återspegling utav säkerhetsåtgärder mot social manipulering 2008 kontra 2018. Fyra av fem studier från 2008 definierade social manipulering med avsaknad av teoretiska förklaringar till bakomliggande processer för en attack – respektive 13 av 23 studier från 2018. Analysen mynnade ut i insikter om att framtida forskning behöver eftersträva ett holistiskt synsätt för de bakomliggande processer som föranleder en social manipuleringsattack – på så vis kan en ökad säkerhetsmedvetenhet och motståndskraft mot social manipulering uppnås. / Social engineers possess the ability to use social interaction as a means of convincing an individual or organization to consent to a specific request. The purpose is to achieve a goal in the form of, for example, financial gain, unauthorized access or service interruption. A social engineering attack is caused by underlying processes and includes a computer-related device for either the social interaction, for the persuasion to consent or for the social engineer's request. The purpose of the thesis was to map security measures against social engineering attacks and thus express the development of the area over time. In other words, the result was expected to express a maturity in the area and contribute with increased insights into how attacks in a timely manner can be tackled in administrative and technical security. A survey was conducted based on a selection based on the three databases; IEEE Xplore Digital Library, Springer Link and DBLP Computer Science Bibliography. Studies were primary and secondary categorized based on a coding process in order to support a narrative analysis. Four primary categories of security measures occurred; modelling, vulnerability assessment, computer systems and (in)direct education. Search strategy and assessment process provided an included data set of a total of 28 studies. Security measures against social manipulation from 2008 were represented by five studies; one proposed modeling, three suggested computer systems and one suggested (in)direct education. Security measures from 2018 were represented by 23 studies; four proposed modeling, two suggested vulnerability assessment; nine proposed computer systems and eight suggested (in)direct education. The coding process also gave rise to secondary categories - all categories were given a dynamic reflection of security measures against social manipulation 2008 versus 2018. Four out of five studies from 2008 defined social manipulation with the absence of theoretical explanations for underlying processes for an attack - and 13 of 23 studies from 2018. The analysis resulted in insights that future research needs to strive for a holistic approach to the underlying processes that cause a social manipulation attack - in this way increased security awareness and resistance to social engineering can be achieved. Social engineering social engineering attack social engineering technique security measure information security Social manipulering social manipuleringsattack social manipuleringsteknik säkerhetsåtgärd informationssäkerhet Computer and Information Sciences Data- och informationsvetenskap
189	Kom ihåg att glömma bort : Fallstudie av organisationers förändringsarbete ur ett informationssäkerhetsperspektiv Ledenstam, David, Jonasson, Gustav January 2018 (has links) Changes is always a relevant factor in organisations. The 25th of May 2018 the General Data Protection Regulation (GDPR) becomes enforceable as EU law, which will be a cause for change for a lot of organisation’s way of handling data, possibly endangering the information’s security. This essay aims to study three organizations and how they have prepared for GDPR. They will be analyzed from a change-management- and information security perspective, to conclude how the organisations conceive the magnitude of the change, and to see how they have implemented solutions for keeping the data safe after the 25th of May. The study’s result show that three participating organizations in the study all have implemented solutions that fulfill the, for the study, selected intersections of the McCumber Cube-model for Information Security, albeit in different ways. The three organization's attitude towards the changemanagement in preparation of GDPR doesn’t reflect the view of the researchers, who after analyzing GDPR sees it as a bigger project. The conclusion is that even though all participants have made their own interpretation of GDPR, an answer to the question of which kind of interpretation is closest to the actual truth, won’t be answered until a precedent is set. / Förändring är alltid en relevant aspekt för organisationer. Den 25 maj 2018 träder den nya dataskyddsförordningen, GDPR, i kraft och kommer innebära att alla organisationer behöver genomgå viss förändring för att motsvara de krav GDPR ställer. Förändringens magnitud och påverkan på organisationerna kan mätas med hjälp av en modell som skapats av Anderson & Anderson. Lagen genomförs för att EU ska få en gemensam lagstiftning och för att stärka den personliga integriteten. För att nå dessa mål kommer det ställas krav på organisationernas informationssäkerhet. Ett mätinstrument för att se hur väl företag sköter sin informationssäkerhet är McCumber-kuben. Genom intervjuer med representanter från tre organisationer framkommer information om hur dessa har hanterat förändringsarbetet inför GDPR och hur de hanterar informationssäkerheten utifrån McCumberkuben. Med analys om hur GDPR tolkas så anses lagen kräva en stor förändring hos organisationerna. Någonting som inte framkommer vid intervjuerna. Organisationerna anser sig uppfylla kraven angående informationssäkerhet och det kan mycket väl vara så att de gör detta. Dock är utfallet av GDPR fortfarande ovisst. Då alla organisationer gjort tolkningar av den lag som kommit och dessa tolkningar behöver inte vara likadana. Prejudicerande domar kommer krävas innan det går att säkerställa huruvida organisationerna uppfyller kraven som GDPR ställer. GDPR McCumber information security change management organizations legislation GDPR McCumber informationssäkerhet förändringsarbete organisationer lagar Information Systems, Social aspects
190	Smarta Kort : En del av en intelligent IT-lösning i hälso- och sjukvården? Isaksson, Johanna, Sanne, Therése January 2006 (has links) Background: IT-security is included in the concept of information security, which considers all the security of handling information within an organisation. Good IT-security is about finding the right level of measurement, however, it is hard to implemement new IT-solutions in an organisation, particularly within the health care field, where sensitive information are handled daily. Lately the Swedish government, together with county- and city council, understand the importance of IT and health care. Carelink, an organisation of interest, is working actively for the presumption of benefit by using IT within the health care field. During spring 2006 the Swedish government introduced a national IT-strategy. SITHS, Säker IT inom Hälso- och sjukvården, is a project running by Carelink and is based upon using Smart Cards as an identification. Smart Cards can be used as accesscards for logging on to a computersystem in an organsiation in order to secure an indentity. Purpose: The purpose with this thesis is to investigate the assumptions for how Smart Cards, as a part of a total security solution, can increase the ITsecurity within the Healt Care field. Method: The study was initiated with literature and suitable references to informationssecurity, Smart Cards and Healthcareinformatic. Our empirical study was carried out at Ryhov Hospital in Jönköping, one of Sweden’s newest hospitals. Both qualitative and quantitative studies were conducted, because we chose to do interviews and surveys. The interviews were conducted in order to get a deeper understanding for the organisation and the survey was made in order to investigate the attitudes among the nurses and doctors about the security of computer use. Result: Smart Cards can, according to our studie, increase the IT-security within the Health Care field by creating a safer identification with the use of ITsupport. Smart Cards can also make the process of logging on and off to a computer system easier, which leads to better logging and mobilisation. The study also demonstrates that users are not afraid of the changes a smart card will represent within their organization. / Bakgrund: IT-säkerhet ingår i begreppet informationssäkerhet som avser all säkerhet vid hantering av information inom en organisation. God IT-säkerhet handlar om att hitta rätt nivå med tillhörande åtgärder och nya IT lösningar, men detta är inte enkelt att införa i organisationer och speciellt inte i vården som dagligen hanterar känslig information. Under senare år har regeringen tillsammans med landsting och kommuner fått upp ögonen för vilken nytta IT kan utgöra inom vården. Intresseorganisationen Carelink arbetar aktivt för att skapa förutsättningar att använda IT inom vården, och under våren 2006 har även regeringen presenterat en Nationell IT-strategi. Projektet SITHS, Säker IT inom Hälso- och Sjukvården, drivs av Carelink och bygger på att använda smarta kort som säker identifikation. Korten kan bland annat användas som passerkort och vid inloggning till ett datasystem för att säkerhetsställa en identitet. Syfte: Syftet med denna uppsats är att undersöka förutsättningarna för hur smarta kort, som en del av en total säkerhetslösning, kan förbättra IT-säkerheten inom hälso- och sjukvården. Metod: Studien påbörjades med en genomgång av lämplig litteratur om informationssäkerhet, smarta kort samt vårdinformatik. Den empiriska studien utfördes sedan på Länssjukhuset Ryhov i Jönköping, som är ett av Sveriges nyaste sjukhus. Här genomfördes både kvalitativa och kvantitativa studier, då vi valde att göra ett antal intervjuer samt en enkätundersökning bland vårdgivarna. Intervjuerna gjordes för att få en djupare förståelse för organisationen, och enkätundersökningen för att undersöka attityderna till dagens datoranvändning samt hur säkerheten kring datoriseringen upplevs bland de anställda. Resultat: Enligt studien kan smarta kort förbättra IT-säkerheten inom hälso- och sjukvården genom att skapa en säker identifiering vid användning av ITstöd. Smarta kort kan även bidra till en förenklad in- och utloggningsprocess i ett datorsystem, vilket i sin tur leder till bättre spårbarhet samt ökad mobilitet bland användarna. Undersökningen visar att majoriteten av användarna inte är emot den förändring ett smart kort kan bidra till, utan snarare tvärt om. Smart Cards Information security IT-security IT-strategy Smarta kort Aktiva kort Informationssäkerhet Nationell IT-strategi Information Systems

Search results