Säkerhetsmedvetenhet i hemmet

Lytvynenko, Vyacheslav

January 2012

Arbetet undersöker och kartlägger säkerhetsmedvetenhet gällande IT-användning samt säkerhetsnivån hos hemanvändare. Undersökningen grundas i påståendet att en legitim användare ofta utgör en säkerhetsrisk för systemet genom brist på kunskap. Anledningen till att fokus läggs på hemanvändaren är syftet att få fram data kring användarens säkerhetsmedvetenhet i en miljö där denne inte blir påverkad av utomstående faktorer såsom säkerhetsregler som ofta förekommer på arbetsplatser. Datainsamlingen sker genom enkätundersökning samt experiment. Arbetet använder sig också av av en litteraturstudie som syftar till att tillhandahålla bakgrund, fördjupa kunskapen inom ämnet samt sätta arbetet i ett större sammanhang. Studien pekar också på ett samband och en påverkan som informationssäkerheten hemma kan ha på informationssäkerheten på en arbetsplats. Resultaten visar på en säkerhetsnivå som är i olika grader bristande beroende på område. I många fall visar det även att denna brist härstammar från låg säkerhetsmedvetenhet.

IT

Säkerhet

Informationssäkerhet

Användare

Säkerhetsmedvetenhet

Computer Sciences

Datavetenskap (datalogi)

Revidering av informationssäkerhetspolicy : - En kvalitativ studie av svenska kommuner

Berg, Erik

January 2011

Svenska kommuner står inför den komplexa och omfattande uppgiften att skapa grundläggande informationssäkerhet för förvaltningsverksamhet. Denna uppgift förutsätter ett ledningssystem för informationssäkerhet, en betydande del av ledningssystemet är att upplåta en informationssäkerhetspolicy. Policydokumentet bör enligt tidigare forskning hållas levande genom revidering för att säkra kvaliteten inom informationssäkerhetsarbetet. Syftet med denna studie är att studera hur svenska kommuner bedriver arbetet med att hålla informationssäkerhetspolicyn levande, dvs. revidera denna. Studien genomförs med en kvalitativ datainsamlingsmetod där tre personer med en ledande befattning inom informationssäkerhetsarbete i utvalda kommuner intervjuas. Undersökningen beskriver hur kommunerna i studien bedriver arbetet med att revidera informationssäkerhetspolicyn. Slutsatsen är att svenska kommuner reviderar informationssäkerhetspolicyn, men inte på ett sådant sätt att policyn kan betraktas som ett levande styrdokument.

Informationssäkerhet

informationssäkerhetspolicy

revidering

Information Systems

Distribuerade belastningsattacker : Klassificering och utvärdering

Brolin, Erik

January 2006

Användandet av Internet ökar varje år och företag blir i takt med detta mer och mer beroende av att kunna erbjuda sina kunder tjänster här. Ett hot mot dessa tjänster är den distribuerade belastningsattacken. En belastningsattacks mål är att göra en server på Internet otillgänglig för vanliga användare genom att antingen överbelasta den med stora mängder data för att skada serverns bandbredd eller att göra ett stort antal uppkopplingsförfrågningar för att skada serverns kapacitet att behandla meddelanden. Vid en distribuerad belastningsattack använder en angripare sig av många datorer på Internet vilka inte är dennes egna för att göra sin attack mycket starkare. Målet med detta projekt har varit att klassificera och utvärdera skyddsmetoder mot detta med avseende på faktorerna kostnad samt effektivitet. Resultatet visar att den mest kostnadseffektiva skyddsmetoden är klassbaserad köbildning.

Distribuerade belastningsattacker

DDoS

Informationssäkerhet

Nätverkssäkerhet

Skyddsmetoder

Computer Sciences

Datavetenskap (datalogi)

Beskrivning av informationsflöde och identifiering av riskområden : En fallstudie på Strålfors Svenska AB

Gustafsson, Jenny

January 2006

Rapporten beskriver tre olika synvinklar utifrån vilka ett antal risker identifieras ur fyra val-da processer. Ämnet för rapporten är således riskidentifiering av sättet att arbeta inom pro-cesserna inköp, planering, repro och produktion. De valda synvinklarna är framtagna ge-nom intervjuer och besök på företaget och fungerar likt teoretisk ram i rapporten. Syn-vinklarna ger mig en möjlighet att titta på processerna med ämnena informationsflöde, kompetens och informationssäkerhet i bakhuvudet. Avsikten är att genom att jämföra hur arbetet verkligen bedrivs på valt företag med teorier i böcker, kunna hitta verkliga risker med att fortsätta arbetet på det sätt vilket det bedrivs idag. Rapporten är strukturerad utifrån de synvinklar vilka beskrivs med teoretisk grund och den fallstudie jag genomfört genom att titta närmare på de fyra valda processerna. Dessa fyra processer har varsin avgörande roll i framtagningen av slutprodukt till kund och är valda för att kunna ge en bild av flödet på avdelningen, men begränsat så att inte avdelningens alla processer är beskrivna. En beskrivning av alla processer skulle bli för tidskrävande och det går inte att fastställa om nya typer av risker skulle identifieras om jag genomfört en granskning av ytterligare processer. Datainsamlingen har skett med hjälp av intervjuer med processägare och annan personal på Strålfors Svenska AB i Ljungby. Jag har tagit del av interna dokument i from av processkar-tor, beskrivningar av administrativa verktyg och administrativa dokument. Källorna för rapportens litterära del är studier inom informationssäkerhet, kompetens och informations-flöde. De litterära studier är valda utifrån den insamlade informationen ifrån intervjuer och är presenterade såsom synvinklar. Ett flertal risker identifierades utifrån empirin, vilka lyfts upp och beskrivas likt generella problem, då det inte är trolig att dessa risker är uteslutande unika för just Strålfors Svenska AB i Ljungby. Slutsatsen är att personal inom valda processer har bristande samarbete mel-lan huvudprocesserna vilket gör att kompetensutveckling blir lidande. Problemen med sy-stemanpassning, manuellt arbete, policyn för informationssäkerhet och arbetsordern i pap-persform är alla effekter av att gamla arbetssätt inte ännu har ersatts av nya effektivare ar-betssätt. Tillsist har Informationssäkerhetspolicyn inte utformats på ett tillfredsställande sätt så att personal efterleva den och på så sätt säkrar kontrollen av information. / The report is written from the point of three different perspectives. Out of these perspec-tives I identify a number of risks based on the information I gather from four chosen busi-ness processes, witch are purchase, prepress/repro, planning, and production. The aim of the report is to identify the risks that are connected to the way the personnel are working within the four chosen processes today. By identifying the risks they later can be minimized and taken to consideration of the company. After changing and working with eliminating risks the processes will be armed for future threats and demands, mainly internal since fo-cus is placed on the four specific business processes. The information for this report is collected through interviews with process owners, gath-ering of internal documents in forms of descriptions and process overviews. The question at issue in the report is supported by theory that mainly is picked from course literature that is connected with the three visual angles. The conclusions are that Strålfors Svenska AB has a number of identified risks within the business processes. Furthermore, there are also risks identified between the processes. The collaboration between processes are not optimized and constitute a risk in it self. The main conclusion is that the personnel have not quit the old way of working and therefore have not adapted to more effective ways to handle information and optimized the everyday work. The general problems that I can ob-serve from the risks are the inconclusive way the collaboration work between the selected business processes. Furthermore, the old way of keeping the work journal in paper form is a problem since the information regarding orders will continue to increase and the amount of information will be to difficult to handle in the old way.

Process

risk

informationsflöde

informationssäkerhet

Information Systems

Standardiserad informationssäkerhet inom systemutveckling : En pragmatisk metod för uppehållande av en hög standard med ramverket ISO 27000 / Standardised Information Security in System Development : A Pragmatic Method for Maintaining a Good Standard with the ISO 27000 Framework

Eriksson, Carl-Henrik

January 2016

In today’s online world it is important to protect your organization’s valuable information and assets. Information can be stolen or destroyed in many different ways, and it needs to be dealt with not only on a technical level, but also on a management level. However, the current methods are not very intuitive and require a lot of familiarity with information security management. This report explores how planning of information security within an organization can instead be accomplished in a simple and pragmatic manner, without discouraging the user with too much information and making it too complicated. This is done by examining the requirements and controls from the ISO 27000 framework, and with those in regard creating a method that’s more useful, intuitive, and easy to follow.

ISO 27000

informationssäkerhet

säkerhet

skyddsplan

Computer Engineering

Datorteknik

Molntjänster för utvecklings- och testverksamhet i krisberedskapsmyndigheter / Cloud computing for development-and testingoperation in an emergency management authority

Camacho Andersson, Jonatan

January 2015

Molntjänster har blivit ett intressant fenomen i IT-världen. Molntjänster har skapat möjligheter för företag och individer att effektivisera sin verksamhet för en minimal avgift istället för att driftsätta egna servrar. Detta blir möjligt genom att erbjuda flera olika tjänster på varierande distributionsmodeller. Till följd av detta fenomen förekommer serviceförfrågningar av molntjänster kontinuerligt bland svenska privata företag och myndigheter. De privata företagen har ingen skyldighet att följa lagar som begränsar dem från att använda molntjänster, i motsats till krisberedskapsmyndigheterna och deras utvecklings- och testverksamhet. Detta examensarbete kommer fokusera på att analysera de möjligheter som finns för svenska krisberedskapsmyndigheters och deras utvecklings- och testverksamheter att använda molntjänster Examensarbetet genomfördes som en kvalitativ studie med hjälp av intervjuer och litteraturstudier som datainsamlingsmetoder. Intervjuerna genomfördes på anställda i en krisberedskapsmyndighet för att ge en bild av hur dessa anställda med varierande befattningar tolkar molntjänster samt dess för- och nackdelar. Litteraturstudien användes för att spegla andra nationers synpunkter på molntjänster i myndigheter, samt vilka svenska lagar och regelverk som kan förhindra molntjänster i en krisberedskapsmyndighet. Resultatet av examensarbetet visade att det existerar möjligheter för användning av molntjänster i en krisberedskapsmyndighet. Detta görs möjligt genom att analysera informationen som skall distribueras på en molntjänst.

Molntjänster

Krisberedskapsmyndighet

Informationssäkerhet

Information Systems

Bring Your Own Device - Säkerhetsaspekter

Knutas, Sofie

January 2014

Det blir allt vanligare för de anställda, att använda sina privata enheter som smarttelefoner eller surfplattor för användning på sina arbetsplatser. "Bring Your Own Device" (BYOD) är ett koncept för att ansluta arbetstagares enheter till företagets nätverk och datorer. BYOD-lösningar involverar säkerhetsrisker, t.ex. när information överförs till eller lagras på privata enheter. Användarens sätt att hantera enheten kan också medföra risker, exempelvis i form av virus, lösenordsskydd och sättet att hantera information som finns på enheten. Denna uppsats fokuserar på att hitta rekommendationer om hur verksamheterna ska gå tillväga för att undvika eller förebygga de största säkerhetsriskerna i en BYOD-lösning. Stora säkerhetsrisker har identifierats utifrån en teoretisk studie. Några exempel på risker är, användarnas beteendemönster, Wi-Fi-anslutningar och risker vid förlust av en enhet. Sex intervjuer har sedan gjorts med olika organisationer för att få en översikt över BYOD-lösningar som används idag. Intervjuerna tillsammans med de teoretiska upptäckter, har resulterat i 40 rekommendationer om säker hantering av BYOD. Dessa rekommendationer handlar bland annat om, att användarna får en utbildning i ett säkert användande, att se över informationssäkerheten, att använda en säkerhetslösning på applikationsnivå och att upprätta en policy för BYOD. Rekommendationerna ger förutsättningar för organisationer att undvika risker med BYOD. / Employees are increasingly using private devices like smartphones or tablets for use in their workplaces. “Bring Your Own Device" (BYOD) is a concept for connecting employees´ devices to company networks and computers. BYOD-solutions involve security risks, e.g when information is transferred to, or stored on private devices. The user's way of handling the device may also pose risks for example in the form of viruses, password protection and the way to manage the information available on the device. This paper focuses on finding recommendations on how businesses should proceed to avoid or prevent the largest security risks in a BYOD solution. Major security risks are identified from a theoretical study. Some examples of risks are user behavior patterns, Wi-Fi connections and loss of a device. Six interviews have then been conducted with different organizations to get an overview of BYOD solutions in use today. The interviews together with the theoretical findings have resulted in 40 recommendations on BYOD security. These recommendations is among other things about, training users in a safe usage, to review the information security, using a security at the application level and to establish a policy for BYOD. The recommendations provide opportunities for organizations to avoid risks with BYOD.

BYOD

Säkerhet

Mobil säkerhet

Informationssäkerhet

Computer Sciences

Datavetenskap (datalogi)

Informationssäkerhet inom kommuners administrativa verksamhet / Information Security in Swedish Municipalities’ administrative activities

Lind, Fredrik

January 2015

Informationssäkerhet handlar om att skydda viktig information oavsett format för att garantera dess konfidentialitet, integritet och tillgänglighet. Syftet med studien är att undersöka hur informationssäkerhet hanteras av kommuner, med fokus på den administrativa verksamheten. Metoden som används är en kvalitativ studie baserad på intervjuer som har genomförts i ett urval av Skaraborgs kommuner. Resultaten visar att kommunerna har ett tillräckligt skydd för flera områden men också att det finns områden med brister främst relaterade till rutiner, efterlevnad och utbildning där kommunerna med fördel kan arbeta efter tillgängliga standarder. Som en del av arbetet presenteras även ett antal förbättringsförslag bland annat relaterade till utbildning av användare och ansvariga, som kan användas av kommunerna. Möjliga framtida arbeten inom området är främst relaterade till att ytterligare undersöka informationssäkerheten men det finns också möjligheter att utveckla och anpassa existerande verktyg för kommunal verksamhet.

Informationssäkerhet

Kommuner

ISO/IEC-27002

Standarder

Computer Sciences

Datavetenskap (datalogi)

Informationssäkerhetsarbete på Linköpings Universitet : En kvalitativ studie av IT-avdelningen och en institution / Information security efforts at Linköping University : A qualitative study of the IT organization and one University department

Hasic, Mirsad

January 2013

I denna uppsats behandlar jag området informationssäkerhet som har sin grund i det IT- samhälle som vi lever i idag. För att studera objektet Linköpings universitet har jag använt mig av Oscarssons [Osc01] ISV-modell vars syfte är att öka förståelsen för hanteringen av informationssäkerhet i verksamheter samt informationssäkerhetens betydelse för olika verksamheter.Den teori som jag tar upp i denna uppsats behandlar olika aspekter på hur arbetet med informationssäkerhet kan och bör ske. Den tar även upp problematiken med hur man ska gå till väga för att ändra användarnas attityd gentemot informationssäkerhet.Det empiriska materialet till denna uppsats har jag hämtat in genom intervjuer utformade utifrån Oscarssons [Osc01] ISV-modell. Jag har studerat LIU-IT som är Linköpings universitets huvudsakliga leverantör av skyddsartefakter samt en av de större institutionerna. Det egna empiriska materialet har jag sedan kompletterat med sekundär data.De slutsatser som kunnat dras utifrån denna uppsats är att informationssäkerhetsnivån på LIU-IT skiljer sig markant från den studerade institutionen. LIU-IT och den institution som jag studerat är överens om att de primära hoten gentemot informationssäkerheten på Linköpings universitet utgörs av de egna användarna, virus samt hackers.När det gäller arbetet med informationssäkerhet så skiljer sig LIU-IT en del jämfört med den studerade institutionen. Till exempel genomför man riskanalyser med jämna mellanrum samt håller sig uppdaterade om de olika hot som florerar på Internet idag. Den institution som jag studerat arbetar inte aktivt med att utforma rutiner som skall följas vid arbetet med informationssäkerhet. Man förlitar sig på att användarna ska ta det största ansvaret och inte äventyra institutionens informationssäkerhet.Linköpings universitet decentraliserar även arbetet med informationssäkerhet vilketbidrar till att glappet mellan institutionen och LIU-IT ökar för varje dag som går. Jag anser att mycket av den problematik som finns runt hanteringen av informationssäkerhet skulle kunna lösas om man centraliserade arbetet med informationssäkerhet. Genom att centralisera arbetet med informationssäkerhet så skulle man sträva åt samma håll till skillnad mot vad som är fallet idag.

informationssäkerhetsarbete

informationssäkerhet

kvalitativ studie

fallstudie

Information Systems

UTVECKLING AV ETT ANVÄNDARVÄNLIGT OCH SÄKERT INFORMATIONSSYSTEM / DEVELOPMENT OF A USER-FRIENDLY AND SAFE INFORMATION SYSTEM

Rikard, Jurstrand, Johan, Gustafsson

January 2013

This thesis has been performed at the system development company Verendus System AB, together with the home care company Basic Care Unit (BCU). The thesis has consisted of developing a web based informationsystem for BCU in which they can administrate their business. At the time of writing this thesis, BCU was using a windows-application to administrate their activities, which was both costly aswell as resulting in an unnecessary burden. The aim the thesis has thus been to create a platform-independent information system that simplifies and streamlines BCUs work by being user-friendly aswell as imposing some simplifying features. The students has been developing the system by the help of a work method they themselves developed. The method consisted of working in several iterations that each had several milestones. The method resulted in the students knowing easily when each iteration was finished or not. The thesis resulted in a working platform independent prototype. The prototype was developed in the PHP-framework CodeIgniter together with HTML5 and CSS3. Examples of functions included is being able to administrate BCU’s patients and employees, aswell as being able to plan the employees workdays with one click.

Webbutveckling

CodeIgniter

PHP

jQuery

användarvänlighet

informationssäkerhet

plattformsoberoende.

Computer Engineering

Datorteknik