Informationsklassificering : ett styrdokument för klassificering av informationssystem

Larsson, Nicklas, Hallén, Kim

January 2010

Hantering av information blir allt viktigare i dagens informationssamhälle då information är en av de värdefullaste tillgångarna för verksamheter. Syftet med uppsatsen har varit att skapa ett styrdokument för IT-administratörer som hjälper dem vid klassificering av informationssystem. Styrdokumentet har som uppgift att kontrollera att informationssystem lever upp till verksamheternas krav som finns på konfidentialitet, integritet, tillgänglighet och spårbarhet. Styrdokumentets vetenskapliga värde har verifierats genom att utvalda IT-administratörer undersökt och utvärderat styrdokumentet. Resultatet visar att styrdokumentet kan användas som ett hjälpmedel. Det är lättförståeligt, lämpar sig för mindre tekniska personer och kan även i vissa fall effektivisera klassificeringsprocessen. Slutsatsen är att behovet av denna typ av styrdokument för klassificering av informationssystem behövs inom verksamheter. / Information management is increasingly important in today’s information society as information is one of the most valuable assets for businesses. The purpose of this paper was to create a steering document for IT administrators and to help them when classifying information systems. The steering document is responsible for verifying that information systems meet businesses requirements of confidentiality, integrity, availability, and traceability. The scientific value of the steering document has been verified by selected IT administrators, who have investigated and evaluated it. The results show that the steering document may be used as a guideline for information system classification. It is easily understandable, suitable for less technical people, and may in some cases make the classification process even more efficient. The conclusion is that this type of steering document for information system classification is needed within businesses.

Availability

CIA-triad

confidentiality

information

information classification

information management

information security

integrity

CIA-triangeln

information

informationshantering

informationsklassificering

informationssäkerhet

integritet

konfidentialitet

tillgänglighet

Computer Sciences

Datavetenskap (datalogi)

Varför finns det inte ensamordnare för informationssäkerhet inom Regeringskansliet? : Detta trots att flera utredningar under 20 år och flera inträffade incidenter har pekat på behovet!

Ek, Magnus

January 2018

För att försöka förklara den rubricerade frågan har jag använt teori om säkerhetisering av hotbilder. Metoden har varit en kvalitativ jämförande fallstudie. Jag har undersökt tre fall - två inom informationssäkerhet och ett inom krishantering.Vad krävs för att en säkerhetspolitisk fråga (hotbild) ska bryta igenom ’glastaket’ och hamna på den högsta politiska nivån (i detta fall inom Regeringskansliet)? Sårbarhets- och säkerhetsutredningen föreslog 2001 samordningsfunktioner inom Regeringskansliet för både informationssäkerhet och krishantering. Regeringen valde dock att delegera ansvaret för bägge funktionerna till myndighetsnivån när Krisberedskapsmyndigheten bildades 2002. Ett antal ytterligare utredningar inom informationssäkerhet har sedan föreslagit detta på nytt, utan något resultat. Den ”Oxenstiernska”byråkratimodellen med självständiga myndigheter är svår att ändra! Den enda avgörande skillnaden mellan fallen är tsunamin 2004, där resultatet blev en krishanteringsfunktion inom Regeringskansliet. En möjlig slutsats av detta är att det kommer att krävas en ’cyber-tsunami’ för att motsvarande ska ske inom informationssäkerhet! Alternativt att samhällsdebatten förändras på ett avgörande sätt och tunga aktörer börjar kräva en sådan funktion.

Informationssäkerhet

Cybersäkerhet

Hotbild

Säkerhetisering

Policyanalys

Krishantering

Problem kring mobilforensik : En sammanställning om hur mobiltelefoner och forensiska verktyg hanterar kryptering, utvinning och molnlagring

Lisander, Joakim, Lyxell, Niklas

January 2015

Mobiltelefoner innehåller idag en stor mängd information som är av stort forensiskt intresse. Att skydda informationen i sin telefon är en självklarhet för många och utvecklarna av de mobila operativsystemen lägger nu större vikt på säkerhet och skydd av information. Kryptering är idag standard i de flesta mobiltelefoner och det leder till problem vid utvinning. Arbetet tar upp och jämför hur kryptering hanteras av iOS, Android och Windows Phone och vilka tillvägagångssätt som finns vid utvinning av data genom att kringgå skärmlåsen som krävs för att krypteringen ska fungera. Arbetet ger även en inblick på molnlagring i och med att det blir allt vanligare och kan komma att bli mer relevant för forensiker eftersom telefonerna blir allt svårare att utvinna data ifrån. Dessutom ges en liten inblick på forensiska verktyg som finns idag, vilka brister de har och vad som är oklart hos dem.  Frågeställningarna har besvarats genom att en grundläggande litteraturstudie genomförts för att få den bakgrundsfakta som krävs. Därefter gjordes det experiment för att visa på brister i de forensiska verktygen. Avslutningsvis svarade två it-forensiker från polisen på intervjufrågor via mail, det gjordes för att lyfta fram problematiken och visa på hur situationen ser ut i arbetslivet idag.  Arbetets resultat visar på att alla operativsystem ger, beroende på hur användaren har anpassat telefonen, möjlighet till fullt skydd mot utvinning. Och därmed klarar de forensiska verktygen som finns idag inte av att utvinna någon relevant information ifrån de senaste mobiltelefonerna. Som forensiker borde man utnyttja att molnlagring börjat användas mer och mer, då det där kan finns mycket bra information. Slutsatser som kan dras efter arbetet är att det behövs nya metoder för att utvinna data ifrån mobiltelefoner då de metoder som tidigare använts inte är kompatibla med de senaste telefonerna på grund utav de krypteringsfunktioner som används. Det finns metoder som kan fungera, men dessa metoder fungerar bara med rätt förutsättningar, vilket gör att det inte är en lösning som man alltid kan applicera. Forensiker borde även utforska möjligheten att få fram information ifrån molnlagringstjänster ifall data på telefonen är oåtkomlig för alla utom ägaren. Arbetet syftar inte till att ta fram nya metoder för utvinning eller arbetssätt inom det stora området forensik, utan kartlägger problemområdet inom mobilforensik och ger förslag på och diskuterar möjliga lösningar.

Forensik

IT-forensik

Mobil

Mobiltelefon

Mobil-forensik

Utvinning

data

utredning

Iphone

IOS

Android

Windows Phone

kryptering

skärmlås

säkerhet

informationssäkerhet

Other Computer and Information Science

Annan data- och informationsvetenskap

Utvärderingsmetod Säkerhetskultur : Ett första steg i en valideringsprocess

Askwall, Niklas

January 2013

Företag investerar idag väldigt mycket pengar på att säkra sina fysiska och logiska tillgångar med hjälp av tekniska skyddsmekanismer. Dock är all säkerhet på något sätt beroende av den enskilde individens omdöme och kunskap. Hur går det avgöra att organisationen kan lita på individens omdöme och kunskap? Hur går det avgöra om en organisation har en god kultur kring säkerhet? Genom att utvärdera säkerhetskulturen kan organisationer få ett utökat underlag i riskhanteringsarbetet samt en bättre förmåga att hantera det som hotar verksamhetens tillgångar. Den forskning som finns idag på området säkerhetskultur är både oense kring vad som utgör god säkerhetskultur men framför allt hur kulturen ska utvärderas. Denna forskningsansats är således ett försök att ta fram en intuitiv utvärderingsmetod som organisationer kan använda för att utvärdera sin säkerhetskultur. Utvärderingsmetoden liknar en gap-analys där en organisations önskade kultur fastställs och datainsamling sker genom en enkätundersökning. Dataunderlaget sammanställs och används för att skapa ett index för den rådande kulturen i jämförelse med den önskade kulturen. I detta inledande försök testas undersökningens reliabilitet genom Cronbach's alpha och validiteten testas genom en form av konfirmatorisk faktoranalys. Resultatet visar hur ett index som representerar en organisations säkerhetskultur skapas. Det går att påvisa god reliabilitet på utvärderingsmetoden och författaren finner goda argument för nyttan av en sådan metod i det proaktiva säkerhetsarbetet. Dock har omständigheter gjort det mycket svårt att påvisa god validitet i denna inledande undersökning.

Säkerhet

Säkerhetskultur

Proaktivt säkerhetsarbete

Fysisk och organisatorisk säkerhet

Informationssäkerhet

Sekretess.

Business Administration

Företagsekonomi

Computer Sciences

Datavetenskap (datalogi)

Elektroteknik och elektronik

Säkerhetsmedvetenhet hos hemanvändare / Security Awareness of Home Users

Lagerstrand, Philip

January 2015

IT utgör en stor del av majoriteten av folks vardagliga liv. Smartphones och surfplattor har om möjligt ytterligare ökat vår användning av tekniska enheter och prylar på en daglig basis. Arbetet tas med hem i en större grad med hjälp av laptops, VPN och molnmöjligheter. Mail kan tas emot i princip var och närsomhelst på dygnet. Men hur bra är säkerheten? På arbetsplatsen hanteras mycket av IT-säkerheten och ansvaret för den ofta av erfarna och dedikerade anställda, men hur ser det ut hemma där användaren själv har ansvaret för sin IT-säkerhet? I denna studie analyseras och identifieras risker och problem vid hantering av olika aktiviteter relaterade till IT-säkerhet i hemmet. Motivationsteorin TMT och en konceptuell modell av aktiviteter relaterade till IT-säkerhet användes för att ta fram frågorna till intervjuerna och för att analysera svaren. Information har samlats in genom intervjuer med personer i olika åldrar och med varierande erfarenhetsbakgrund. Risker har identifierats relaterat till brister i hemanvändares motivation att utföra aktiviteterna lösenordshantering och säkerhetskopiering samt bristande värderingar för aktiviteten utbildning.

IT security

IT

Security awareness

Information security

Home user

User

TMT

IT-säkerhet

IT

Säkerhetsmedvetenhet

Informationssäkerhet

Hemanvändare

Användare

TMT

Computer Sciences

Datavetenskap (datalogi)

Myndigheters outsourcing av personuppgiftsbehandling i molntjänster : Särskilt om legalitetsprincipen och personlig integritet

Pettersson, Robin

January 2018

This thesis examines the legal means by which the Swedish government authorities can outsource personal data to be processed on digital clouds by private cloud providers as of May 25th, 2018. The objective of the thesis is to identify and examine to which extent legal obstacles and restrictions to such procedures occurs in the personal data protection regulation. Cloud computing is an information technology business model which could provide government au-thorities with higher administrative efficiency and lower administrative costs. The essential charac-teristics of cloud computing require that the cloud providers are entrusted with a portion of control of the IT-environment and data security, depending on the types of clouds and services provided. The thesis analyses particularly two questions. The first question is to which extent the legal require-ment to provide personal data with an appropriate level of security constrains government authori-ties to submit control of the IT-environment to private contractors. The second question targeted in the thesis is whether government authorities can disclose personal data that is subjected to official secrecy to the cloud providers.

Molntjänster

Digitala moln

Personuppgifter

GDPR

Dataskydd

Legalitetsprincipen

Personlig integritet

Personuppgiftsansvarig

Säkerhetsnivå

Informationssäkerhet

Sekretess

Överlämnande

Law (excluding Law and Society)

Som ett öppet vykort? : En fallstudie av hantering och bevarande av e-post ur ett informationssäkerhet- och informationskulturperspektiv / Like an Open Postcard? : A Case Study of the Management and Preservation of E-mail from an Information Security and Information Culture Perspective

Silander, Jenny

January 2019

This thesis is based on a case study of two Swedish municipalities. I have studied which strategies archivists and registrars use for managing and preserving e-mail within these organizations. The study constitutes a comparison between a municipality that has introduced a e-archive and one that has not done so. I also explore how the way in which e-mail is managed has changed over time in the municipalities since The General Data Protection Regulation (GDPR) was introduced in Sweden and throughout the EU in 2018. The study was conducted through qualitative methods. Semi-structured interviews with archivists and registrars from the two municipalities were completed. The empirical material from the interviews has been analysed using qualitative content analysis. This means that notes and transcriptions of the interviews was sorted and categorized and then transformed into the results of the study. The thesis theoretical framework consists of information culture and I have analysed in which way the information culture has changed in the organizations since the GDPR came into force. In addition, I also analysed my results from an information security perspective, since this is up-to-date with the GDPR and is an important aspect to consider in relation to of e-government and records management in the society today. The results show that there are a lot of challenges in the municipalities studied concerning management and preservation of e-mail, especially regarding how the people working in the organization tackle the e-mail. There is a great need that increased education about records management reaches out more in the organizations.The conclusion of this challenges is that information culture also has changed noticeably since the GDPR was introduced. The result of this has in many cases meant that many employees have gained a greater awareness that they need to start reviewing their e-mail inboxes, but they do not know how or in what way it should be done. To solve these problems, it is therefore essential that the education initiatives between archivists and registrars and the employees, that had begun to be implemented in the municipality’s, continues to be expanded. In conclusion and in summary, I would like to emphasize that it is important to consider information culture in organizations today. It is important both to be able to develop the organization's records management and also in a wider social context, in order to satisfy a good structure of public documents and our democratic right to take part of these. In addition to this, in my study, I have come to the conclusion that it is essential to consider the information security both within the public organizations and from a wider societal context, especially linked to management and preservation of e-mail. So far, the topic of managing and preserving e-mail linked to strategies used by organizations and how people influence these has been a rather unexplored area in the field of archival science. This study aims to create new knowledge about an area that is both current and important from a wider societal perspective as well as from an archival science perspective. This is a two years master's thesis in Archival Science.

E-mail

Information security

Information culture

E-government

Archivists

Registrars

E-post

informationssäkerhet

informationskultur

e-förvaltning

arkivarier

registratorer

dataskyddsförordningen

Other Humanities not elsewhere specified

Övrig annan humaniora

IT-säkerhet : Användarbeteenden, orsaker och åtgärder / IT security : User behavior, causes and actions

Andersson, Sanna, Schiöld, Ellinor

January 2021

Organisationer står idag inför flera olika hot mot deras IT-säkerhet där ett av de vanligaste hoten är skadliga användarbeteenden som främst orsakas av interna användare. Det kan vara svårt att veta för organisationer vad för användarbeteenden som kan utgöra ett hot samt vilka orsaker som kan bidrar till dessa beteenden. Det är i dagens samhälle viktigt för organisationer att förbereda sig samt vara medvetna om de hot en användare utgör för att kunna vidta de rätta åtgärderna om det skulle uppstå. Syftet med denna studie är att undersöka vilka orsaker till användarnas beteenden som utgör ett hot för en organisations IT-säkerhet och vilka åtgärder som har vidtagits. En kvalitativ metod i form av fem olika intervjuer har valts där en intervjuguide låg som grund till intervjufrågorna. En individuell intervju hölls med en användare av Högskolan i Borås samt en gruppintervju med IT-avdelningen från Högskolan i Borås. Studien resulterade i att 10 användarbeteenden, 25 orsaker och 22 vidtagna åtgärder framkom samt att det finns relationer mellan dem. Det kan vara svårt för organisationer att vara helt förberedda på hot men det är enligt vår studie möjligt att identifiera användarbeteenden, orsaker samt åtgärder. Med utbildning kan organisationer göra sina användare mer säkerhetsmedvetna och därmed minska riskerna för de skador användarbeteenden kan utgöra. / Organizations today are facing several different threats to their IT security where one of the most common threats is malicious user behaviors that are mainly caused by internal users. It can be difficult for organizations to know what user behaviors can pose a threat and what causes can contribute to these behaviors. In today's society, it is important for organizations to prepare and be aware of the threats a user poses in order to be able to take the right measures if they should arise. The language of this study is written in swedish and the purpose of this study is to investigate what causes in users' behavior constitute a threat to an organization's IT security and what measures have been taken. A qualitative method in the form of five different interviews has been chosen where an interview guide was the basis for the interview questions. An individual interview was held with a user of the University of Borås and a group interview with the IT department from the University of Borås. The study resulted in 10 user behaviors, 25 causes and 22 measures taken and that there are connections and relationships between them. It can be difficult for organizations to be fully prepared for threats, but according to our study it is possible to identify user behaviors, causes and measures. With education, organizations can make their users more security-conscious and thus reduce the risks of the damage that user behavior can cause.

IT-security

information security

insider threats

human factors

user behavior

causes

actions

IT-säkerhet

informationssäkerhet

insiderhot

mänskliga faktorer

användarbeteende

orsaker

åtgärder

Computer and Information Sciences

Data- och informationsvetenskap

Behovet av en strategisk behörighetsstyrning för att skydda patientens integritet : En kvalitativ beskrivande innehållsanalys av regionernas styrande dokument för elektronisk åtkomst till patientuppgifter / The need for strategic access control to protect patient integrity : A qualitatively descriptive content analysis of the regions' governing documents for electronic access to patient data

Johansson, Angelica

January 2021

Vid upprepade tillfällen har Integritetsskyddsmyndighetens tillsyn funnit brister i vårdgivares efterlevnad av juridiska krav som avser dokumenterad behörighets-styrning och behörighetsgrundande behovs- och riskanalys. Dessutom har tillsyn identifierat fall där hälso- och sjukvårdspersonal haft mer behörigheter än vad arbetsuppgiften kräver, vilket medför att patienter saknar det integritetsskydd de har rätt till. Bristerna kan tyda på en osäkerhet hos vårdgivare avseende hur dessa juridiska krav bör tillämpas i praktiken. Därför är studiens syfte att sammanfatta hur regionerna beskriver tillåten åtkomst till patientuppgifter och behörighetsgrundande behovs- och riskanalys i sina styrande dokument. Studien ska dessutom lyfta fram förslag på hur en behörighetsgrundande behovs- och riskanalys kan genomföras och dokumenteras. Arbetet har bedrivits som en deskriptiv kvalitativ studie med en induktiv ansats, vilken utifrån empiririska data ska besvara studiens frågeställningar. De empiriska data som insamlats avser textuella data i form av styrande dokument som erhållit från 17 av de 21 regionerna genom begäran om allmän handling. För dataanalys av dessa styrande dokument har en konventionell innehållsanalys valt som metod, som på manifest nivå sammanställt innehållet i dessa styrande dokument. Resultatet diskuteras därefter utifrån Integritetsskyddsmyndighetens vägledning samt Da Veiga och Eloffs ramverk för styrning av informationssäkerhet. Resultatet visar både likheter och skillnader i regionernas styrande dokument, exempelvis återfinns beskrivning om tillåten och otillåten åtkomst till patient-uppgifter hos samtliga regioner. Den största likheten avser dock beskrivning av verksamhetschefens ansvar för medarbetarnas behörigheter samt behovs- och riskanalys, där det sista skiljer sig markant från Integritetsskyddsmyndighetens vägledning vilken anger att behovs- och riskanalys ska ske på en strategisk nivå. Resultatet visar dessutom att det inte finns någon generell metod hos regionerna som kan rekommenderas för genomförande och dokumentation av den behörighets-grundande behovs- och riskanalysen. Däremot kan Integritetsskyddsmyndighetens vägledning utgöra ett stöd vid genomförandet av en strategisk behovs- och riskanalys. Slutsatsen är att en behörighetspolicy, tillsammans med en strategisk behovs- och riskanalys, skulle kunna ge stöd vid utformning av en ändamålsenlig och enhetlig behörighetsstruktur. Dessutom kan behörighetspolicyn, tillsammans med resultatet av den strategiska behovs- och riskanalysen, kunna utgöra underlag för krav vid upphandling, utveckling och anpassning av vårdinformationssystem. Genom att kombinera behörighetspolicy och en strategisk analys skulle vårdgivaren kunna uppnå en behovs- och riskbaserad behörighetsstyrning som i slutänden leder till trygghet för patienten utifrån både ett patientsäkerhets- och integritetsperspektiv.

Behörighetsstyrning

Behovs- och riskanalys

Tillåten åtkomst

Integritetsskydd

Informationssäkerhetskultur

Övrig annan medicin och hälsovetenskap

Information Systems

Kommunal IT-säkerhet under en pandemi : Distansarbetets påverkan på informationssäkerhet / Municipal IT security during a pandemic : The impact of telework on information security

Axelsson, Louise, Rosvall, Erik

January 2021

Efter pandemins intåg i världen år 2020 har de flesta människor tvingats ändra sina levnadsvanor, både vad gäller privatliv som arbetsliv. I Sverige har anställda, där tjänsten tillåter, tvingats utföra sina arbetsuppgifter på distans och detta har oftast skett i det egna hemmet. Detta öppnar upp för en hel del frågor. Hur skall man kunna bibehålla en god informationssäkerhet när tjänster som hanterar känsliga och sekretessbelagda uppgifter flyttas till den anställdes hem? Denna studie kommer att undersöka en specifik forskningsfråga: Vilka konsekvenser har det ökade digitala distansarbetet resulterat i, vad gäller kommunal IT-säkerhet? En kvalitativ datainsamlingsmetod har använts. Vi har tagit del av tidigare studier och rapporter i ämnet och utfört intervjuer med respondenter som innehar en kommunal tjänst inom IT. Undersökningen fokuserar framför allt på de digitala verktyg som används, vilka strategier som finns, rådande hot gentemot data- och informationssäkerheten samt hantering av tidigare och framtida attacker.   Resultatet visar på att de flesta kommunerna vi intervjuade, använder sig av liknande verktyg för att kommunicera vid distansarbete och även för att säkerställa en säker uppkoppling. Trots givna strategier och riktlinjer från diverse myndigheter, använder kommunerna dessa främst som inspiration till egna policydokument. Under intervjuerna framkom det att de kommuner som utsatts för dataintrång har tagit lärdom och därefter vidtagit diverse åtgärder för att det inte skall upprepas. En slutsats som kan dras av studien är att risken för dataintrång gentemot kommunerna inte har ökat under pandemin.  Däremot har man kunnat konstatera att det är den anställdes brist på utbildning i IT-säkerhet som kan ses som det största hotet vad gäller distansarbete. För att minimera riskerna att känsliga och sekretessbelagda uppgifter läcker ut och hamnar i orätta händer, krävs ökad kunskap och tydliga direktiv vad som skall följas vid distansarbete. / After the pandemic entered the world in 2020, most people have been forced to change their lifestyles, both in terms of private life and work life. In Sweden, employees, where the service allows, have been forced to perform their tasks remotely and this has usually taken place in their own home. This opens up a lot of questions. How can good information security be maintained when services that handle sensitive and classified information are moved to the employee's home? This study will examine a specific research question: What consequences has the increased digital teleworking resulted in, in terms of municipal IT security? A qualitative data collection method has been used. We have taken part in previous studies and reports on the subject and conducted interviews with respondents who hold a municipal position in IT. The survey focuses primarily on the digital tools used, what strategies are available, current threats to data and information security and the management of past and future attacks. The results show that most of the municipalities we interviewed use similar tools to communicate during telework and also to ensure a secure connection. Despite given strategies and guidelines from various authorities, the municipalities use these primarily as inspiration for their own policy documents. During the interviews, it emerged that the municipalities that have been subjected to data breaches have learned lessons and subsequently taken various measures to ensure that it is not repeated. One conclusion that can be drawn from the study is that the risk of data breaches against the municipalities has not increased during the pandemic. On the other hand, it has been established that it is the employee's lack of training in IT security that can be seen as the biggest threat in terms of teleworking. In order to minimize the risks of sensitive and classified information being leaked and falling into the wrong hands, increased knowledge and clear directives are required as to what must be followed in teleworking.

Covid-19

telework

information security

data protection

municipal activities

hacking.

Covid-19

distansarbete

informationssäkerhet

IT-säkerhet

kommunal verksamhet

dataintrång.

Computer and Information Sciences

Data- och informationsvetenskap