Behovet av en strategisk behörighetsstyrning för att skydda patientens integritet : En kvalitativ beskrivande innehållsanalys av regionernas styrande dokument för elektronisk åtkomst till patientuppgifter / The need for strategic access control to protect patient integrity : A qualitatively descriptive content analysis of the regions' governing documents for electronic access to patient data

Johansson, Angelica

January 2021

Vid upprepade tillfällen har Integritetsskyddsmyndighetens tillsyn funnit brister i vårdgivares efterlevnad av juridiska krav som avser dokumenterad behörighets-styrning och behörighetsgrundande behovs- och riskanalys. Dessutom har tillsyn identifierat fall där hälso- och sjukvårdspersonal haft mer behörigheter än vad arbetsuppgiften kräver, vilket medför att patienter saknar det integritetsskydd de har rätt till. Bristerna kan tyda på en osäkerhet hos vårdgivare avseende hur dessa juridiska krav bör tillämpas i praktiken. Därför är studiens syfte att sammanfatta hur regionerna beskriver tillåten åtkomst till patientuppgifter och behörighetsgrundande behovs- och riskanalys i sina styrande dokument. Studien ska dessutom lyfta fram förslag på hur en behörighetsgrundande behovs- och riskanalys kan genomföras och dokumenteras. Arbetet har bedrivits som en deskriptiv kvalitativ studie med en induktiv ansats, vilken utifrån empiririska data ska besvara studiens frågeställningar. De empiriska data som insamlats avser textuella data i form av styrande dokument som erhållit från 17 av de 21 regionerna genom begäran om allmän handling. För dataanalys av dessa styrande dokument har en konventionell innehållsanalys valt som metod, som på manifest nivå sammanställt innehållet i dessa styrande dokument. Resultatet diskuteras därefter utifrån Integritetsskyddsmyndighetens vägledning samt Da Veiga och Eloffs ramverk för styrning av informationssäkerhet. Resultatet visar både likheter och skillnader i regionernas styrande dokument, exempelvis återfinns beskrivning om tillåten och otillåten åtkomst till patient-uppgifter hos samtliga regioner. Den största likheten avser dock beskrivning av verksamhetschefens ansvar för medarbetarnas behörigheter samt behovs- och riskanalys, där det sista skiljer sig markant från Integritetsskyddsmyndighetens vägledning vilken anger att behovs- och riskanalys ska ske på en strategisk nivå. Resultatet visar dessutom att det inte finns någon generell metod hos regionerna som kan rekommenderas för genomförande och dokumentation av den behörighets-grundande behovs- och riskanalysen. Däremot kan Integritetsskyddsmyndighetens vägledning utgöra ett stöd vid genomförandet av en strategisk behovs- och riskanalys. Slutsatsen är att en behörighetspolicy, tillsammans med en strategisk behovs- och riskanalys, skulle kunna ge stöd vid utformning av en ändamålsenlig och enhetlig behörighetsstruktur. Dessutom kan behörighetspolicyn, tillsammans med resultatet av den strategiska behovs- och riskanalysen, kunna utgöra underlag för krav vid upphandling, utveckling och anpassning av vårdinformationssystem. Genom att kombinera behörighetspolicy och en strategisk analys skulle vårdgivaren kunna uppnå en behovs- och riskbaserad behörighetsstyrning som i slutänden leder till trygghet för patienten utifrån både ett patientsäkerhets- och integritetsperspektiv.

Behörighetsstyrning

Behovs- och riskanalys

Tillåten åtkomst

Integritetsskydd

Informationssäkerhetskultur

Övrig annan medicin och hälsovetenskap

Information Systems

Kommunal IT-säkerhet under en pandemi : Distansarbetets påverkan på informationssäkerhet / Municipal IT security during a pandemic : The impact of telework on information security

Axelsson, Louise, Rosvall, Erik

January 2021

Efter pandemins intåg i världen år 2020 har de flesta människor tvingats ändra sina levnadsvanor, både vad gäller privatliv som arbetsliv. I Sverige har anställda, där tjänsten tillåter, tvingats utföra sina arbetsuppgifter på distans och detta har oftast skett i det egna hemmet. Detta öppnar upp för en hel del frågor. Hur skall man kunna bibehålla en god informationssäkerhet när tjänster som hanterar känsliga och sekretessbelagda uppgifter flyttas till den anställdes hem? Denna studie kommer att undersöka en specifik forskningsfråga: Vilka konsekvenser har det ökade digitala distansarbetet resulterat i, vad gäller kommunal IT-säkerhet? En kvalitativ datainsamlingsmetod har använts. Vi har tagit del av tidigare studier och rapporter i ämnet och utfört intervjuer med respondenter som innehar en kommunal tjänst inom IT. Undersökningen fokuserar framför allt på de digitala verktyg som används, vilka strategier som finns, rådande hot gentemot data- och informationssäkerheten samt hantering av tidigare och framtida attacker.   Resultatet visar på att de flesta kommunerna vi intervjuade, använder sig av liknande verktyg för att kommunicera vid distansarbete och även för att säkerställa en säker uppkoppling. Trots givna strategier och riktlinjer från diverse myndigheter, använder kommunerna dessa främst som inspiration till egna policydokument. Under intervjuerna framkom det att de kommuner som utsatts för dataintrång har tagit lärdom och därefter vidtagit diverse åtgärder för att det inte skall upprepas. En slutsats som kan dras av studien är att risken för dataintrång gentemot kommunerna inte har ökat under pandemin.  Däremot har man kunnat konstatera att det är den anställdes brist på utbildning i IT-säkerhet som kan ses som det största hotet vad gäller distansarbete. För att minimera riskerna att känsliga och sekretessbelagda uppgifter läcker ut och hamnar i orätta händer, krävs ökad kunskap och tydliga direktiv vad som skall följas vid distansarbete. / After the pandemic entered the world in 2020, most people have been forced to change their lifestyles, both in terms of private life and work life. In Sweden, employees, where the service allows, have been forced to perform their tasks remotely and this has usually taken place in their own home. This opens up a lot of questions. How can good information security be maintained when services that handle sensitive and classified information are moved to the employee's home? This study will examine a specific research question: What consequences has the increased digital teleworking resulted in, in terms of municipal IT security? A qualitative data collection method has been used. We have taken part in previous studies and reports on the subject and conducted interviews with respondents who hold a municipal position in IT. The survey focuses primarily on the digital tools used, what strategies are available, current threats to data and information security and the management of past and future attacks. The results show that most of the municipalities we interviewed use similar tools to communicate during telework and also to ensure a secure connection. Despite given strategies and guidelines from various authorities, the municipalities use these primarily as inspiration for their own policy documents. During the interviews, it emerged that the municipalities that have been subjected to data breaches have learned lessons and subsequently taken various measures to ensure that it is not repeated. One conclusion that can be drawn from the study is that the risk of data breaches against the municipalities has not increased during the pandemic. On the other hand, it has been established that it is the employee's lack of training in IT security that can be seen as the biggest threat in terms of teleworking. In order to minimize the risks of sensitive and classified information being leaked and falling into the wrong hands, increased knowledge and clear directives are required as to what must be followed in teleworking.

Covid-19

telework

information security

data protection

municipal activities

hacking.

Covid-19

distansarbete

informationssäkerhet

IT-säkerhet

kommunal verksamhet

dataintrång.

Computer and Information Sciences

Data- och informationsvetenskap

Logistikföretag i försörjningskedjan : Rekommendationer till logistikföretag i hanteringen av informationssäkerhet

Ahlbäck, Joel, Jalking, Jesper

January 2021

Informationssäkerhet är en viktig aspekt i företagande. Informationssäkerhet har länge betraktats som ett IT-initiativ men har på senare år breddats till en affärsangelägenhet vilket ökat intresset hos företagsledningar. Litteraturen inom informationssäkerhet fokuserar på hur företag upprätthåller säkra system som motstånd för cyberattacker och oönskad tillgång till information. Forskning identifierar nya säkerhetshot som uppkommit efter framsteg inom internetteknik men lite är känt om hur dessa hot kan hanteras. Forskare efterfrågar undersökning om hur samarbete i försörjningskedjor utgör risker mot säker informationshantering. Logistikföretag förser kunder med logistiktjänster som lagerhantering, transport, orderläggning och packning. Logistikföretag är en central nod i försörjningskedjor. De deltar ofta i flera försörjningskedjor i olika branscher. Den omfattande sammankopplingen av företag utgör en säkerhetsrisk. Det gör också att logistikföretag kan ses som måltavlor för cyberattacker. Studiens syfte har med den anledningen varit att skapa en förståelse för vilka utmaningar logistikföretag står inför vid hantering av informationssäkerhet i försörjningskedjan. Studiens forskningsfråga har besvarats genom att intervjua representanter från logistikföretag. Den empiriska data har tematiserats och analyserats. Studiens resultat visar att hanteringen av informationssäkerhet varierar mellan företagen. Studiens slutsatser presenterar rekommendationer. Rekommendationerna beskriver hur logistikföretag kan hantera informationssäkerhet i försörjningskedjan. / Information security is an important aspect when running a business. Before, information security has been separated to the business area of IT. But lately this issue has broadened and become an important part of business-activity. This has resulted in a growing interest among business leaders. Literature within the subject information security mainly focuses on how organizations maintain safe systems and protect themselves from cyber-attacks and information infringements. Existing literature identifies new security threats that have emerged after advances in internet technology, but little is known about how these threats can be managed. Researchers request research on how cooperation in supply chains poses risks to secure information management. Logistics companies provide customers with logistics services such as warehouse management, transport, order processing and packaging. Logistics companies are a central node in supply chains. They often participate in several supply chains in different industries. The extensive interconnection of companies poses a security risk. It also means that logistics companies can be seen as targets for cyber-attacks. The purpose of the study has therefore been to create an understanding of the challenges logistics companies face in managing information security in the supply chain.   The research question has been answered by interviewing representatives from logistics organizations. The empirical data has undergone a thematic analysis. The results of the study show that the management of information security varies between companies. The study’s conclusions present recommendations. The recommendations describe how logistics companies can manage information security in the supply chain.

Informationsecurity

Supply chain management

Logistics companies

Informationssäkerhet

Supply chain management

Logistikföretag

Computer Systems

Datorsystem

Övrig annan teknik

Embedded Systems

Inbäddad systemteknik

Den praktiska hanteringen av informationsrisker : En kvalitativ fallstudie av hur ett svenskt tillverkningsföretag hanterar informationsrisker. / Information Security Risk Management in Practice : A qualitative case study of how a Swedish manufacturing firm manages information risks.

Renning, Jacob, Gustafsson, Alexander

January 2020

Bakgrund: Informationssäkerhet är någonting som företag inom alla branscher bör ägna sig åt eftersom samtliga organisationer är utsatta för informationsrisker. Avsikten med informationssäkerhet är att skydda information så att den finns tillgänglig vid behov, är tillförlitlig och för att säkerställa att endast behöriga har åtkomst (Informationssäkerhet, 2015). Bristande informationshantering kan exempelvis resultera i dataförluster och läckt kunddata vilket i sin tur kan leda till försämrat kundförtroende och stora intäktsförluster. Företags utsatthet för informationsrisker påverkas både av interna och externa faktorer. Utbrottet av Covid-19 är ett exempel på en extern faktor (Humla, 2020). Enligt en rapport är svensk tillverkningsindustris hantering av informationsrisker kraftigt eftersatt i förhållande till övriga sektorers hantering av informationsrisker (Radar Ecosystems Specialists, 2017). Syfte: Denna uppsats undersöker hur ett företag inom svensk tillverkningsindustri arbetar med informationssäkerhet (eng. information security risk management, ISRM). Vidare applicerar vi en teoretisk lins i form av prospektteorin för att förklara informationssäkerhetsarbetet. Vi undersöker även om beslutfattare inom IT-säkerhet uppvisar tendens till övermod och huruvida detta kan påverka företagets arbete med informationssäkerhet. Metod: Uppsatsen är en kvalitativ fallstudie och det empiriska materialet har inhämtats genom semistrukturerade intervjuer med beslutfattare och utvecklare som arbetar medinformationssäkerhet. Fallföretaget är ett anonymiserat svenskt tillverkningsföretag som tillhandahåller produkter och tjänster inom säkerhetsbranschen. Resultat: Enligt vår studie utgår beslutfattare från tidigare erfarenheter av informationssäkerhet när hanteringsstrategier utformas. Det framkommer även att beslutfattarens resonemang och riskhantering förändras i takt med personens erfarenhet. Vi kan även konstatera att beslutfattarens agerande kan förklaras utifrån prospektteorin och att hanteringen påverkas av kognitiva aspekter såsom övermod. / Background: Every organization needs to manage its information security risks (ISRM) as all industries are exposed to information risks. The purpose of ISRM is to protect information so that it is accessible when needed, reliable and to ensure only authorized access (Informationssäkerhet, 2015). Lack of ISRM may result in data loss or personal data leaks, which in turn may lead to a decrease of consumer confidence and reduced revenue streams. Enterprises exposure to information risks are affected by both internal and external factors. The outbreak of Covid-19 is an example of an external factor (Humla, 2020). According to a report, the Swedish manufacturing industry's management of information risks is severely neglected in relation to other sectors ́ handling of information risks (Radar Ecosystems Specialists, 2017). Purpose: This thesis explores how a Swedish manufacturing company manages its information security risks. This is explored by applying a theoretical framework of Prospect Theory to explain decision makers ́ reasoning behind its current ISRM practices. We are also exploring whether decision makers within IT-security have a tendency towards Overconfidence bias and whether it may affect the company's ISRM. Method: The thesis is a qualitative case study and the empirical data has been obtained through semi structured interviews with decision-makers and developers working with information security. The case company is an anonymous Swedish manufacturing company that provides products and services in the security industry. Results: According to our thesis, decision makers rely on previous information security experiences when designing management strategies. It also appears that the decision maker's reasoning and risk management change as the person's experience. We can also note that the decision maker's behavior can be explained on the basis of Prospect Theory and that the ISRM is influenced by cognitive aspects such as overconfidence.

Information Security Risk Management

ISRM

Manufacturing industry

Prospect Theory

Overconfidence Bias

Informationssäkerhet

ISRM

Tillverkningsindustri

Prospektteori

Övermod bias

Information Systems, Social aspects

Autentisiering av användare i datoriserade miljöer hos SMF - biometri kontra tokens : En jämförelse av två sätt att implementera autentisering av användare / Authentication of users in computerized environments at SME - biometrics versus tokens : A comparison of two ways to implement authentication of users

Hedberg, David

January 2020

Allt eftersom mer och mer information sparas på datorer så ökar även trycket på att denna information sparas säkert, och att endast behöriga personer kommer åt den.Syftet med arbetet var att se vilka skillnader som finns mellan biometri och tokens, och vilka skillnader som små till medelstora företag borde ta i beaktande när de väljer en autentiseringsmetod. Det förväntade resultatet var då en beskrivning, i form av ett ramverk, över vilka för- och nackdelar som finns med de två metoderna, och således vilken metod som ett enskilt företag som använder ramverket borde använda sig utav.Arbetet genomfördes via en litteraturstudie, i vilket tre databaser användes för att samla information. IEEEXplore, ACM Digital Library, och ScienceDirect var de tre databaser som användes för arbetet. I dessa identifierades ett antal artiklar, som delades upp i kodade kategorier utefter innehåll. Detta i syfte att utföra en tematisk kodad analys.Totalt identifierades 28 artiklar i de olika databaserna. I dessa artiklar identifierades kostnad, säkerhet, integritet, och användarvänlighet som några av de mesta omtalade ämnena. 7 utav de 28 artiklarna pratade om kostnad, 20 av artiklarna nämnde säkerhet, 5 nämnde integritet, och 9 pratade om användarvänlighet. Det fanns även ett antal mindre teman i tvåfaktorsautentisering, skalbarhet, typer av biometri, typer av tokens, och framtida teknologi inom biometri.Efter genomförd analys formulerades ett ramverk i vilket ett smått till medelstort företag kan se vilken metod av autentisering som passar deras företag bäst. / As technology evolves, corporations and enterprises are forced to evolve alongside it. Storing company information and data on servers and computers have become common practice.Initially, the goal with the work presented was to compare biometric authentication and token authentication in relation so SMEs. In the current landscape there is no comprehensive study in these two methods of authentication in relation to SMEs. A framework was developed for system administrators to use when choosing one of these methods of authentication. The framework is a summarization of the works analytical part.A literature study was conducted to reach the goal. Three databases were used as sources of information. These three were namely IEEEXplore, ACM Digital Library, and ScienceDirect. From these sources, literature was identified on which the study was then based. Thematic coding was used to analyze the collected data.After the process of collecting and including/excluding was complete, a total of 28 articles remained. From these articles a total of 10 themes were identified from the thematic coding. These themes were cost, integrity, usability, security pros, security cons, two-factor authentication, scalability, biometric types, token types, and future biometric technology. Four of these were more prevalent, namely cost, integrity, usability, and security.After the analysis was finished the themes that emerged as important were integrity and usability. Because of this, the framework is heavily influenced by these themes and they are particularly important for system administrators to consider.

Biometric authentication

token-based authentication

authentication

authentication SME

information security

biometrisk autentisering

token-baserad autentisering

autentisering

autentisering SMF

informationssäkerhet

Information Systems

Ransomware-attacker mot svenska sjukhus : En kvalitativ studie kring informationssäkerhetsarbetet inom svensk sjukvård

Kjellberg Karlsson, Elin, Hellström Ryckert, Astrid

January 2022

De senaste åren har visat på en ökning av så kallade ransomware-attacker riktade mot sjukvården. Sjukvården är en samhällssektor som besitter en samhällskritisk verksamhet och hanterar känsliga data vilket gör den extra utsatt mot dessa typer av attacker. Under covid-19 pandemin var läget inom sjukvården pressat och detta har setts utnyttjas av angripare som utfört ransomware-attacker riktade mot sjukhus i hopp om att dra nytta av det pressade läget och få en lösensumma utbetald. Effekterna av en sådan attack mot sjukvården kan innebära stora konsekvenser och dessa konsekvenser bör tas i beaktning då skyddsarbetet mot ransomware-attacker utformas vid sjukhusen. För att bilda en förståelse hur svenska sjukhus ser på dessa konsekvenser vid utformningen av säkerhetsarbetet undersöker denna studie ämnet genom en intervjustudie med en teoretisk grund i den informationssäkerhetsmässigt beprövade teorin Protection Motivation Theory (PMT). Sammantaget visade studien på att olika konsekvenser tas olika mycket hänsyn till vid utformningen av säkerhetsarbetet. Konsekvenser för patientsäkerhet är de konsekvenser som studien visade tas störst hänsyn till vid utformningen av säkerhetsarbetet. / Recent years have seen an increase in so-called ransomware attacks targeting healthcare. Healthcare is a sector of society that possesses a socially crucial business and handles sensitive data which makes it particularly vulnerable to these types of attacks. During the covid-19 pandemic, the healthcare sector was under pressure, and this have seen to be exploited by attackers who carried out ransomware attacks targeting hospitals in the hope of taking advantage of the pressured situation and getting the ransom paid. The effects of such an attack against healthcare can have major consequences and should be considered when designing protection against ransomware attacks at hospitals. To form an understanding of whether these consequences have been included in the design of the protection work at hospitals in Sweden, this study examines the subject through an interview study with a theoretical basis in the information security-proven theory Protection Motivation Theory (PMT). Overall, the study showed that different consequences are considered to varying degrees when designing the safety work. Consequences for patient safety are the consequences that the study showed are most considered when designing the safety work.

ransomware

ransomware attacks

IT-security

information security

Protection Motivation Theory

PMT

ransomware

ransomware-attack

IT-säkerhet

informationssäkerhet

Protection Motivation Theory

PMT

Information Systems

The Need for Accreditation Speed

Lindskog, Viktor

January 2022

Security requirements on information systems needs a way to be verified for fulfilment. Accreditation is a tool to measure the level of compliance of the security requirements. Unfortunately, the accreditation process also comes with challenges. To be able to complete the whole accreditation process the practitioners need to have a rigorous time plan and a generous budget, something that are not always available. The aim of this research is to identify challenges with time and costs in the accreditation process. Thereafter, building upon the identified challenges, aspects that could address time and costs are then proposed as a new model for accreditation. The theory presents the importance of accreditations and known challenges of today. The theory also justifies the need of reducing these challenges. This research collaborated with a company that has experience in accreditation. The company was used to gather empirical data to widen the view of accreditation in a qualitative way. The chosen method for this research was Design Science Research. The method was performed in two iterations and the demonstration- and evaluation-step was performed with an expert-panel consisted of employees from the collaborated company. The conclusion of the research is that the identified challenges can be assessed in a qualitative way to be handled with the new accreditation model developed in this research. The new accreditation model is based on a meticulous analysis on the identified challenges and the different steps in the risk management framework from National Institute of Standards and Technology.

Accreditation

Information Security

Compliance

Challenges

Review

Risk Management

Ackreditering

Informationssäkerhet

Kravefterlevnad

Utmaningar

Recension

Riskhantering

Other Computer and Information Science

Annan data- och informationsvetenskap

Säkerhetsmedvetenhet och integration av IoT : En kvantitativ studie på konsumenters säkerhetsmedvetenhet och syn på integration av IoT / Security awareness and integration of IoT : A quantitative study of consumers safety awareness and views on the integration of IoT

Lindström, Oskar, Magnusson, August

January 2021

Internetuppkopplade apparater blir allt vanligare att se i våra hem. Samlingsordet för dessa enheter är Internet of Things (IOT). Med införande av IoT i våra hem skapas fler accesspunkter till internet, vilket även skapar en större attackyta. I kombinationmed den ständigt växande cyberkriminalliteten och införandet av IoT i våra hem ökar risken för att utsättas för en attack. Tidigare forskning inom området gällande konsumenters informationssäkerhetsmedvetenhet visar att konsumenterna har låg medvetenhet och bristande kunskaper för de hot som tillkommer vid integrationen av en IoT-enhet ihemmet. Det finns även tidigare forskning som undersökt vilka faktorer som påverkar individernas inställning till att anta ny teknologi. Mycket av den tidigare forskningen inom området har fokuserat på de tekniska aspekterna och fokuset har inte varit på konsumenternas informationssäkerhetsmedvetenhet och deras inställning till den ökande integrationen av IoT. Den här studien syftade till att undersöka svenska konsumenters informationssäkerhetsmedvetenhet och deras inställning till den ökande integrationen av IoT. Studien avsåg att undersöka hur medvetna konsumenterna är för de informationssäkerhetsrisker som tillkommer vid integreringen av IoT i hemmet i kombination med att undersöka deras syn på den ökade integrationen av IoT ivardagen. Studien har fokuserat på två olika enheter. Dessa enheter genererar data via ljudupptagning samt videoinspelning. En kvantitativ metod med en enkätundersökning tillämpades för att se ifall den låga kunskapen hos respondenter fanns, men även för att lättare nå ut till fler respondenter. För att förstå konsumenternas beteende utformades enkätfrågorna utifrån den allmänt tillämpade beteendemodellen Theory of planned behavior (TPB). Studien fann att majoriteten av respondenterna hade en låg medvetenhet för de risker som tillkommer med integreringen av IoT-enheter, samt låga kunskap för de säkerhetsåtgärder som går att implementera. Trots den låga medvetenheten för riskerna visade det sig att respondenterna hade en mycket positiv inställning till den ökade integrationen av IoT och att de funderar på att införskaffa fler IoT-enheter. / Internet-connected devices are becoming more common to see in our homes. The collective word for these devices is Internet of Things (IoT). With the introduction of IoT in our homes, more access points to the internet are created, which also creates alarger attack area. Combined with the ever-growing cybercrime and the introduction of IoT in our homes, the risk of being attacked increases. Previous research in the field of consumer information security awareness shows that consumers have low awareness, and lack of knowledge about the threats posed by the integration of an IoT device in the home. Previous research has examined the factors that influence individuals attitudes towards adopting new technology. Much of the previous research in the field has focused on the technical aspects and the focus has not been on consumers information security awareness and their attitude to the increasing integration of IoT. This study aimed to examine Swedish consumers' information security awareness and their attitude towards the increasing integration of IoT. The study aimed to examine how aware consumers are of the information security risks that arise from the integration of IoT in the home in combination with examining their stand on the increased integration of IoT in their everyday life. The study has focused on two specific IoT-devices. These devices generate data via audio recording and video recording. A quantitative method with a survey was applied to examine how aware the consumers where of the information security risks, but also to be able to include more respondents in the study. To understand consumer behavior, the questionnaires were designed based on the generally applied behavioral model Theory of plannedbehavior (TPB).The study found that the majority of respondents had a low awareness of the risks involved with the integration of IoT devices, as well as low knowledge of the security measures that can be implemented. Despite the low awareness of the risks, it turnedout that the respondents had a very positive attitude towards the increased integrationof IoT, and that they also are considering acquiring more IoT devices.

Information security

information security awareness

Internet of Things

IoT

IoT integration

Informationssäkerhet

informationssäkerhetsmedvetenhet

Internet of Things

IoT

IoT integration

Computer Systems

Datorsystem

Communication Systems

Kommunikationssystem

Information Systems

Styrning av informationssäkerhet vid hemarbete : En fallstudie om styrning av informationssäkerhet i förhållande till hemarbete / Governance of information security in a work from home context : A case study on information security governance relative to working from home

Palmgren, Patrik, Schylström, Per

January 2021

Under Covid-19-pandemin har organisationer med hjälp av digitaliseringen genomgått en omställning från kontorsarbete till hemarbete i en större utsträckning än tidigare. Förflyttningen av personal till hemmet och nya kommunikationskanaler har lett till en ökad hotbild gentemot organisationer och dess medarbetare som arbetar med känslig information. Höga krav ställs därför på en god informationssäkerhetsnivå inom organisationer, vilket kräver ett systematiskt styrningsarbete av informationssäkerhet. En nyckelfaktor i efterlevnaden av organisationers regler för informationssäkerhet är tydlig kommunikation och utbildning i syfte att öka medvetenheten och förmågan hos medarbetarna i organisationen. Genom en kvalitativ ansats beskriver denna fallstudie hur olika medarbetare som arbetar hemifrån kan uppleva informationssäkerhet och hur en organisation kan arbeta med styrning av informationssäkerhet i samband med att medarbetarna arbetar hemifrån. Studien presenterar också likheter och skillnader som finns mellan dessa två perspektiv. Vi har genomfört åtta intervjuer med olika personer från en fallorganisation som har flyttat större delen av sin arbetsstyrka från arbetsplatsen till hemmet.  Studiens resultat är att efterlevnaden av informationssäkerhet är beroende av en organisations kultur och personalens säkerhetsmedvetande. Motivationsfaktorer för att följa regler för informationssäkerhet har i fallet följt delarna i Protection Motivation Theory och Fogg Behavior Model. Vi ser också att borttagandet av sociala kontakter och påminnelser försvårar för medarbetare att arbeta på ett informationssäkert sätt och för organisationen att påverka sina medarbetare. Vidare är också avsaknaden av kontroll vid utbildning och kommunikation en faktor som är organisationen inte har åtkomst till, detta är ett problem då det försvårar för en organisation att bygga en bild över medarbetarnas kompetens. Insatser för att öka medvetenheten om informationssäkerhet bör ske löpande och det ska vara enkelt för medarbetaren att göra rätt och hitta väsentlig information. / During the Covid-19 pandemic, organisations have shifted from office work to work at home to a greater extent than before with the help of digitalisation. The shift of staff to the home and new communication channels have led to an increased threat to organisations and their employees working with sensitive information. High standards of information security are required within organisations, which calls for great governance efforts regarding information security. Clear communication and training to increase the awareness and capability of employees in the organisation is a key factor in ensuring compliance with the organisation's information security rules. Through a qualitative approach, this case study describes how different employees working from home experience information security efforts and how an organisation can work on information security governance. The study also presents similarities and differences that exist between these two perspectives. We conducted eight interviews with different people from different parts of an organisation that has moved most of its workforce from the workplace to their home.  The findings of the study are that compliance with information security is dependent on an organisation's culture and the security awareness and ability of its staff. Motivational factors for information security compliance in the case followed the elements of Protection Motivation Theory and Fogg's Behavior Model. We also see that the removal of social contacts and reminders makes it more difficult for employees to work in an information-secure manner and for the organization to influence its employees. Furthermore, the lack of control in training and communication is also a factor that is not accessible to the organisation, this is a problem as it makes it difficult for an organisation to build a picture of the competence of its employees. Efforts to raise awareness of information security should be ongoing and it should be easy for employees to do the right thing and find essential information.

information security

information security governance

compliance

work from home

informationssäkerhet

informationssäkerhetsstyrning

efterlevnad

hemarbete

Information Systems, Social aspects

Hjärndatorgränssnitt för hemanvändare : En riskanalys / Brain-computer interface for home users : A risk analysis

Bergheden, Arvid

January 2021

Hjärndatorgränssnitt är enheter som fångar upp hjärnsignaler via elektroder på huvudet och översätter dem till datamängder och instruktioner mot externa enheter och applikationer. Gränssnitten har främst använts inom den medicinska domänen för att hjälpa personer med neurofysiologiska åkommor, men har även på senare tid börjat användas av ickemedicinska skäl av privatpersoner. I takt med att gränssnitten ökar i popularitet och når en bredare massa kommer det att innebära ett större informationsflöde av användardata som i sin tur kan bära på väldigt känslig information. Information såsom hälsodata och autentiseringsmetoder är några av flera informationstillgångar som ligger i farozonen enligt flera artiklar och kan råka ut för ett eller flera hot. För få en tydligare bild av de olika hoten samt dess konsekvens och sannolikhet har det genomförts en riskanalys gällande hemanvändares informationssäkerhet. För att få fram sårbarheter, hot och åtgärder som förekommer i riskanalysen har det utförts en tematisk analys. Genom den tematiska analysen visade det sig att det fanns flera hot mot hemanvändarnas konfidentialitet där användares PIN-koder, autentiseringsmetoder och hälsodata låg i farozonen. För att få en bättre förståelse kring hur gränssnitten fungerar samt hur stor sannolikhet det är för olika hot har det även genomförts en intervju med en lektor i kognitiv neurovetenskap, följande tillsammans med artiklarna från den tematiska analysen utgjorde därmed grunden för riskanalysen. Genom riskanalysen visade det sig att hoten mot hemanvändarnas möjlighet att använda gränsssnitten hade en ännu större sannolikhet att inträffa än hot mot användares konfidentialitet. / Brain- Computer Interfaces are devices that capture brain signals via electrodes on the head and then translates them into data sets and instructions to external devices and applications. The interfaces have mainly been used in the medical domain to help people with neurophysiological disorders but have also recently begun to be used for non-medical reasons by private persons. As the interfaces increase in popularity and reach a wider mass, it will mean a greater flow of information of user data that in turn can carry very sensitive information. Information such as health data and authentication methods are some of several information assets that are at risk according to multiple articles and may face one or more threats. To get a clearer picture of the various threats, their consequences and probabilities, a risk analysis has been carried out. In order to identify vulnerabilities, threats and measures that appear in the risk analysis, a thematic analysis has been performed. The thematic coding showed that there were several threats to the home user’s confidentiality where user’s PIN-codes and health data were at risk. In order to gain a better understanding of how the interfaces work and how likely it is for various threats to succeed, an interview was conducted with a senior lectrurer in cognitive neuroscience, the following together with the articles from the thematic analysis thus formed the basis for the risk analysis. The risk analysis showed that threats to home users' ability to use the interfaces were even more likely to occur than threats to user confidentiality.

Brain-computer interface

EEG-signals

information security

risk analysis

Hjärndatorgränssnitt

EEG-signaler

informationssäkerhet

riskanalys

Information Systems, Social aspects