Informationssäkerhetspolicy och Säkerhetsmedvetenhet : En undersökning av kommunala förvaltningars praktiska arbete med att uppnå informationsäkerhet

Malis, Johanna, Falck, Josette

January 2016

No description available.

Information

security

Information security policy

Security awareness

Informationssäkerhet

Informationssäkerhetspolicy

Säkerhetsmedvetenhet

Information Systems

Informationssäkerhet hos mikroföretag : En kvalitativ studie av mikroföretags hantering av hot vid användning av informationsteknik i deras verksamhet / Information security at micro enterprises : A qualitative study of micro enterprises’ management of threats when using information technology in their business operations

Jansson, Matthias

January 2016

Företag lagrar mer och mer information. I kombination med att antalet hot mot användning av IT inom företagens verksamhet ökar från år till år, ökar också kraven på arbetet kring informationssäkerhet. Risken för att drabbas av hot är lika stor oavsett storleken på företaget. Det som skiljer företagen åt är storleken på deras budgetar och tillgången på resurser. Mikroföretag kallas de företag som är minst enligt de definitioner som EU‐kommissionen har satt upp för företag inom Europeiska Unionen. Dessa företag har följaktligen avsatt minst pengar i budgeten för informationssäkerhetsarbete. Samtidigt har mikroföretagen exkluderats ur de studier som gjorts kring hur företag arbetar med informationssäkerhet, trots att mikroföretagen utgör 96,6 % av den totala mängden företag i Sverige. Kombinationen minsta budget och störst andel av företagen i Sverige utgör en intressant grund i att utreda hur mikroföretag arbetar eller inte arbetar med informationssäkerhet. Denna studie är en kvalitativ studie som utgår från befintlig teori om informationssäkerhet som sedan ställs mot insamlad empiri i form av kvalitativa intervjuer med innehavare av mikroföretag. En analysmodell baserad på terminologin och uppdelningen av informationssäkerhet enligt SIS Handbok 550 som tillsammans med litteraturstudier sedan användes för att analysera empirin och dra slutsatser utifrån frågeställningarna. Resultatet visar att mikroföretags syn på informationsarbete är teknikorienterad. Ett flertal tekniska åtgärder är införda för att skydda mikroföretagen mot hot. Samtidigt visar resultatet att ett systematiskt arbete med informationssäkerhet saknas och att den administrativa säkerheten med policys, regelverk och rutiner många gånger är obefintlig.

informationssäkerhet

mikroföretag

IT

hantering av hot

säkerhet

Information Systems

Att skydda en bank : En kvalitativ fallstudie om säkerhetsarbetet mot social engineering hos en organisation

Hüsing Zetterqvist, My, Norrgren, Andreas

January 2018

Uppsatsens syfte är dels att undersöka hur en bankorganisations och bankenhets säkerhetsarbete mot social engineering ser ut, men även om anställda är medvetna om hot och skyddsåtgärder inom social engineering. De social engineerings-metoder som tas upp i uppsatsen är dumpster diving, pretexting, nätfiske, shoulder surfing och tailgating. Tillsammans med dessa presenteras metodspecifika skyddsåtgärder. Ytterligare allmänna skyddsåtgärder för social engineering som informationssäkerhetspolicy, ledningens ansvar och rådgivning, informationssäkerhetsmedvetandegörande, utbildning och träning berörs. Uppsatsen är en kvalitativ fallstudie och undersökningen bestod av ett flertal intervjuer med anställda på en bankenhet inom en bankorganisation. Uppsatsens resultat visar att flertalet skyddsåtgärder inom social engineering och de olika metoderna finns inom bankenheten. Medvetenheten hos de anställda är generellt god om social engineering i allmänhet som hot. Det visar sig dock att medvetenheten är varierande och i vissa fall bristande hos några av de anställda inom vissa social engineerings-metoder och skyddsåtgärder som tas upp i uppsatsen.

social engineering

informationssäkerhet

medvetenhet

bank

skyddsåtgärder

Information Systems, Social aspects

Requirement Specification for Information Security to Health Systems, Case Study : IMIS / Kravspecifikation för Informationssäkerhetsarbete till Hälso- och Sjukvårdssystem, IMIS : en fallstudie

Almström, Malin, Olsson, Christina

January 2003

During 2001-2002 a prototype, IMIS (Integrated Mobile Information System) was developed at BTH (Blekinge University of Technology) to demonstrate how mobile IT-systems can be used in healthcare. The prototype was based on the activity theory of Engeström. An ongoing project started in spring 2003. The purpose of the project is further development of IMIS with special focus in the diabetes healthcare. Participants in the project are scientists and students at BTH, ALMI Företagspartner, Blekinge FoU-enhet, Barndiabetesförbundet Blekinge, Blekinge Diabetesförening, Vårdcentralen Ronneby and Vårdcentralen Sölvesborg. The goal of IMIS is to develop a secure communication platform, which follows requirements from caretaker and caregiver as well as the Swedish laws regulating digital information and healthcare. The output of this master thesis is a requirement specification of information security for healthcare where IMIS has been used as a case study. The requirements specification follows the international standard SS-ISO/IEC 17799.

Informationssäkerhet

Hälso- och sjukvårdssystem

Diabetesvård

Computer Sciences

Datavetenskap (datalogi)

Skydd av personlig integritet på Internet / Protection of privacy on the Internet

Silvskog, Hanna Hon, Söderberg, Malin

January 2003

Bakgrund: Personer som använder Internet kan bli övervakade och profilerade av bland annat spionprogram och cookies på webbsidor. Dessa spion-program och dolda filer kan samla ihop information om användaren som skickas tillbaka till sändaren. Detta sker ofta utan användarens vetskap. Företag som placerar spionprogram i fildelningsprogram har syftet att samla information för att sedan rikta reklam till privatpersoner. Den information som kommer tillbaka kan säljas vidare i undersökande syfte för reklam till en tredje part. Frågeställning: 1) I vilken omfattning är en privatperson utsatt för spionprogram och spioncookies på Internet? 2) Vilka metoder används för att samla information? 3) Vad är det för information som samlas in och i vilket syfte? 4) Hur kan en privatperson skydda sig på Internet? Metod: För att besvara frågorna har vi utfört tester med antispyware och brandväggar samt genomfört en intervju. Slutsats: Genom användandet av Internet idag skyddas inte en privatpersons integritet. Sättet som information utbyts genom Internet avslöjar en hel del om användaren. Skydd av personlig Integritet på Internet borde vara en självklarhet men så fungerar det inte idag. Det finns dock tekniker som kan ge skydd för den personliga integriteten. Ansvaret vilar på varje privat användare som måste ta reda på kunskapen själv, är privatpersoner någorlunda insatta i vilka program som skall användas så kan hoten avvärjas till stor del.

Personlig integritet

informationssäkerhet

spionprogram

adware

cookies

brandvägg

Computer Sciences

Datavetenskap (datalogi)

Journalsystemet Profdoc Journal 3 : En kvalitativ studie av säkerhetsmekanismer som hanterar patientintegriteten

Reichler, Joakim

January 2014

Det har i media riktats kritik mot journalsystemet Profdocs utformning och hantering av patientinformation. Exempelvis menar vissa slutanvändare av systemet att det inte är lika användarvänligt och överskådligt vilket kan medföra ökade risker vid hanteringen av patientdata. Därför är det intressant att på ett objektivt sätt inom ett avgränsat område undersöka vad detta kan bero på. De säkerhetsmekanismer som undersökts i denna studie är kontohantering, informationssäkerhet och gränssnitt. Syftet med undersökningen är att kartlägga utvalda existerande säkerhetsmekanismer som tillämpas för att hantera patientintegriteten i Capios Journalsystem Profdoc Journal 3. Målet är att kunna redovisa, analysera och ge förbättringsförslag på de undersökta säkerhetsmekanismerna. Metoderna som använts för att samla in data till studien är e-postintervjuer och en deltagande observation som genomfördes på Capios vårdcentral i Hovås/Billdal. Resultatet av studien är att bland annat behörighetshantering och utbildning har förbättringspotentialer. Flera av dem har en koppling till att utbildningen inför användandet av systemet inte är tillräcklig. En bättre utformad utbildning skulle leda till att personalen känner sig bekvämare i systemet och dess utformning som i sin tur skulle minska risken att patienters integritet kränks.

Profdoc Journal 3

informationssäkerhet

informationshantering

säkerhetsmekanismer

behörighetshantering

användbarhet

Computer and Information Sciences

Data- och informationsvetenskap

En undersökning kring informationssäkerhet i datalager : En litteratur- och fältstudie

Crnic, Enes

January 2010

Allt hårdare konkurrens har medfört att det är desto viktigare att beslutsansvariga i ett företag fattar snabba och korrekta beslut. För att förbättra och effektivisera beslutsfattandet och samtidigt skapa sig fördelar i förhållande till marknadskonkurrenterna, kan beslutsansvariga använda sig av ett datalager. Datalagret kan genom enorma mängder data som är insamlade från ett stort antal olika system, generera stora fördelar för ett företag. Men detta gäller dock endast under förutsättningen att datalagret är skyddat på ett lämpligt vis. Syftet med studien är att undersöka vilka lämpliga skyddsåtgärder som kan användas för att uppnå och bibehålla ett säkert datalager. För att besvara frågeställningen genomfördes en litteraturstudie och två intervjuer med företag som använder sig av datalager. Resultatet av den teoretiska undersökningen visar att fyra administrativa och fem logiska skyddsåtgärder är lämpliga att användas i syfte med att uppnå och bibehålla god informationssäkerhet i ett datalager. Den empiriska undersökningen bekräftar det sistnämnda, dock med vissa undantag.

Data Warehouse

Information security

Datalager

Informationssäkerhet

Computer and Information Sciences

Data- och informationsvetenskap

Fysisk säkerhet : Skydd av IT-utrustning och information

Danielsson, Jenny

January 2012

Informationssäkerhet handlar om att skydda sin information och bevara informationens tillgänglighet, riktighet, konfidentialitet samt spårbarhet. Fysisk säkerhet inom informationssäkerhet innebär att skydda sina informationstillgångar mot fysiska hot. Fysiska hot kan orsakas av exempelvis strömförsörjning, naturkatastrofer och mänsklig åverkan. Problemet med fysisk säkerhet är att den oftast är förbisedd och att den inte anses lika viktig. Det finns flera standarder och riktlinjer med rekommendationer om vad som bör ses över inom informationssäkerhet och däribland just fysisk säkerhet. Denna rapport visar hur väl förberedda verksamheter inom den offentliga sektorn är för de rekommendationer som finns angivna av ISO-standarden 27002 rörande fysisk och miljörelaterad säkerhet inom informationssäkerhet. En intervjuundersökning har genomförts för att få svar på detta.

Informationssäkerhet

Informationstillgångar

Fysisk säkerhet

Fysiska hot

ISO-27002

Computer Sciences

Datavetenskap (datalogi)

Programvarustöd för hot-, risk- och sårbarhetsanalys

Pettersson, Joakim

January 2008

This report describes a final thesis done during the spring of 2008 as part of the bachelor degree in computer engineering degree at the School of Engineering in Jönköping. The client is working in the consulting business and is involved in, amongst others, work regarding information security. Within this field they perform so called Threat, Risk and Vulnerability assessments. Today these assessments are done by a predefined method, but many details are controlled by the person documenting the project. A wish was made that the implementation was standardized, it should also ease the task of estimating the need for time and money. The solution for this seems to be a software tool. This software should handle the data from the assessments and generate foundations for reports. The question formulation that has been used is: • What are the possibilities to, with software, improve the workflow for handling the information from the assessments? • What are suitable techniques to handle this? To plan the software focus was put on the assessment and the types of input to them. These inputs were identified through descriptions in literature and informal interviews with analytics. The handling of the information remained unspecified as to not steer the design of the application in a direction that was formed after accustomed patterns, instead an objective solution was sought after. The resulting software fulfills all requirements that were specified at the beginning of the project, and it shows that the possibilities to improve the workflow are great. It is possible even with very small means to make it easier for the person doing the documentation. The report resulting from the assessments then become more standardized and make it easier to verify its validity.

Informationssäkerhet

Hot

Risk

Sårbarhet

C#

XML

Dot Net

Rapportgenerering

Computer Engineering

Datorteknik

Software Engineering

Programvaruteknik

Hur kan virus, maskar och trojaner i mobila enheter påverka informationssäkerheten i datorbaserade system genom Bluetooth som kommunikationsväg?

Lilja, Adam

January 2005

Denna rapport undersöker en frågeställning som kom upp efter virusutvecklingen som skedde 2004 med illasinnad kod som spreds mellan mobila enheter via Bluetooth. Rapporten undersöker vilka hot som finns om Smartphones och handdatorer sprider illasinnad kod via Bluetooth till datorbaserade system. Undersökningen som gjordes var en hermeneutisk explorativ undersökning. Sammanlagt gjordes tre intervjuer med experter inom områdena informationssäkerhet, mobila enheter och Bluetooth. Resultatet visade att illasinnad kod i Smartphones och handdatorer som sprids till datorbaserade system skulle kunna utgöra samma hot mot informationssäkerheten som traditionell illasinnad kod, det vill säga virus, maskar och trojaner som sprids mellan datorer. Därmed bör den illasinnade kod som rapporten behandlar betraktas lika allvarligt som traditionell illasinnad kod.

Informationssäkerhet

Bluetooth

Illasinnad kod

Smartphone

Handdator

Information Systems