Riktlinjer för utformande av informationssäkerhetspolicy : En fallstudie vid Linde Material Handling

Haraldsson, Andreas, Nederman, Henrik

January 2007

Denna uppsats dokumenterar en fallstudie som gjordes hösten 2006 vid Linde Material Handling i Örebro. Företaget var på väg att expandera och planerade att utöka användningen av IT i verksamheten. I samband med detta gavs undertecknade i uppdrag att utforma en informationssäkerhetspolicy för verksamheten. I en litteraturstudie kunde det konstateras att det inte fanns några enklare riktlinjer för att utforma sådana policies, varmed syftet blev att göra detta. Genom en fallstudie på företaget där vi utformade en IS-policy för deras verksamhet, och även gjorde intervjuer med ledning och dokumentationsanalyser, utrönas vilka problem som kan uppstå och vilka överväganden som bör göras för att utforma en lyckad policy. Riktlinjerna kan användas av företag som känner igen sig i fallbeskrivningen. Vi har i arbetet avgränsat oss från att studera hur en policy ska införas eller utvärderas. De riktlinjer vi utformade kan sammanfattas som följande: * Utforma minimalistiskt Policyn bör vara enkel, de föreskrifter och sidor som finns bör vara få till antalet och endast omfatta det absolut viktigaste. * Tillgodose användaracceptans Policyns innehåll ska inte uppfattas som kränkande eller alltför omständligt av de anställda. * Formulera och ordna mål Det är viktigt att se till att de säkerhetsmål som finns i verksamheten hjälper till att uppfylla de mer generella organisatoriska målen. * Förankra i beslutande organ Säkerhetsarbetet bör vara förankrat i ledningen. * Uppdelning i delpolicies Det kan vara aktuellt med olika delpolicies för olika delar av verksamheten om dessa skiljer sig märkbart åt.

Informationssäkerhetspolicy

informatik

informationssäkerhet

IT-policy

organisation

Information Systems

Kartlägga informationssäkerhetsnivån i kommunala grundskolor

Carlsson, David

January 2015

Informationssäkerhet spelar en viktig roll i dagens samhälle och organisationer.Informationssäkerhet handlar om hur information i flera olika format kan skyddas. Det ärviktigt att kunna säkerställa att information behåller riktighet, integritet, konfidentialitet ochspårbarhet. Studiens huvudsakliga syfte är att kartlägga informationssäkerhetsnivån ikommunala grundskolor. För att få fram grundskolornas informationssäkerhetsnivå kommeren kvalitativ studie med intervjuer ligga till grund. Tre kommuner i Skaraborg har deltagit istudien. Resultaten från studien visar att det finns säkerhetsbrister hos de kommunalagrundskolorna. I det administrativa delen av informationssäkerhet finns de främsta bristernahos grundskolorna. Kommunerna visar även att de uppfyller många riktlinjer fråninternationella standarder.

Informationssäkerhet

grundskolor

kommunen

ISO/IEC-27002

gapanalys

Computer Sciences

Datavetenskap (datalogi)

Computer and Information Sciences

Data- och informationsvetenskap

Rutiner, rapportering och system avseende incidenthantering på Saab Aerospace / Routines, reporting and working procedures concerning incident handling at Saab Aerospace

Sjösten, Christian

January 2003

Säkerhetsincidenter kan vara av många olika typer, från IT-relaterade incidenter till inci-denter som påverkar exempelvis brandskyddet. På något sätt måste dessa incidenter tas om hand. Detta kan ske genom manuella procedurer eller med stöd av databaserade incident-hanteringssystem. Denna studie är utförd på Saab Aerospace i Linköping och behandlar primärt företagets hantering av incidenter. Jag har undersökt hur företaget bedriver säker-hetsarbete och hanterar säkerhetsincidenter både vad avser informationssäkerhet som jag anser är nära associerat med sekretess av information, men även säkerhet som är associerad till företagets anläggning (skalskydd). Företaget har planer på att implementera ett informationssystembaserat stöd för incident-hanteringen, ett incidenthanteringssystem. Det primära syftet med studien var att undersöka de olika intressenternas inställning till ett sådant system för att se om detta var något som efterfrågades eller om nuvarande hantering ansågs tillfredsställande. Säkerhetstänkandet inom företaget är högt, vilket till stor del beror på företagets känsliga inriktning med utveckling av bland annat militära stridsplan, och delar till dessa. Av den anledningen blir säkerhetsmomenten för att minimera risken för incidenter av betydelse. Viktiga moment som det arbetas med är incidenthantering, informationsklassning, loggning kontinuitetsplanering och säkerhetskopiering. Vad som framkom i studien var att nuvarande incidenthanteringsrutiner fungerar ostandar-diserat, osystematiskt och decentraliserat. Detta svar är dock generellt och några intressen-ter anser att det för dem fungerar tillfredsställande även om dessa också anser att det finns aspekter av incidenthanteringen som borde ses över. Med ostandardiserat menas att proce-durer varierar mycket mellan olika verksamhetsområden. Med decentraliserat avses att det inte finns någon övergripande funktion för sammanställning och hantering av incidenter, det är således ingen på företaget som har helhetsbilden av incidenthanteringen. Behov av att åtgärda ovannämnda problem finns, ett incidenthanteringssystem skulle såle-des kunna vara en möjlig lösning. Intressenterna är emellertid oense om att ett gemensamt incidenthanteringssystem är något som eftersträvas. Det framförs krav att ett sådant system skulle vara väl sektionerat till de olika verksamhetsområdena för att medarbetare endast ska kunna komma åt relevant information, något som även är bra ur en sekretess och behörig-hetsaspekt. Incidenthanteringssystemet skulle sedan kunna ha en övergripande funktion för sammanställning av incidentrapporter från de olika intressenternas verksamhetsområden.

Säkerhetsincident

incidenthantering

incidentrapportering

incidenthanteringssystem

informationssäkerhet

datasäkerhet

IT-säkerhet

Communication Systems

Kommunikationssystem

Information Systems

Kommuner i interorganisatorisk samverkan : Att säkert och effektivt styra informationssäkerhetsarbete / Municipalities in interorganizational cooperation : Effective and efficient information security governance

Donnerin, Oscar, Mouwafi, Adham

January 2015

Samverkan mellan kommuner är något som varit en aktuell fråga för svenska myndigheter under en längre tid. Mer specifikt har en tydlig ökning identifierats sedan kommunallagen trädde i kraft 1991 och samverkansformen visade sig möta reella politiska behov på ett positivt sätt. Samtidigt har offentliga organisationer de senaste 15 åren gått från att förespråka skyddandet av information till att bli mer öppna och utbyta information över organisatoriska gränser. Denna kvalitativa fallstudie undersöker informationssäkerhet i en interorganisatorisk samverkan mellan svenska kommuner. Teorier som behandlas i uppsatsen är informationssäkerhet, information security governance och samverkan. Studiens syfte är att undersöka utmaningarna med styrning av informationssäkerhetsarbete i en interorganisatorisk samverkan mellan svenska kommuner. Vi ämnar således bidra till forskningen genom att dels förfina befintliga teorier kring de separata ämnesområdena men även utveckla teori där dessa ämnen möts. Vi syftar även till att bidra till praktiken genom att generera värdefull kunskap för de studerade organisationerna men även generalisera resultatet för liknande organisationer. Resultatet visar att vi identifierat ett antal centrala utmaningar där vissa är svårare att hantera än andra. En central utmaning är att det politiska självstyret är tydligt uttalat vilket sätter begräsningar för vad som är möjligt att realisera gemensamt. Vi kan även konstatera att resurser och prioriteringar påverkas av detta. Vi har presenterat ett antal förslag på behov som kan beaktas, både internt i kommunerna men även gemensamt över kommunala gränser. De rekommendationer vi har till kommunerna är att ta ett steg tillbaka gällande samverkan, detta då de ligger på så pass olika nivåer och kan få svårt att skapa en gemensam grund. Kommunerna bör även fokusera på den interna verksamheten och öka säkerhetsmedvetandet för att bli mer redo för att ingå i en samverkan. Uppfylls detta kan de börja fokusera på att anta principer och andra gemensamma aktiviteter som till exempel utbildningar. Detta gör att informationssäkerhetsarbetet går från att vara reaktivt till att bli mer proaktivt. Detta är något som vi anser att både offentliga- och privata organisationer borde sträva mot men även forskare borde ta hänsyn till.

Interorganisatorisk samverkan

informationssäkerhet

informationsutbyte

offentlig sektor

policy

information security governance

säkerhetsmedvetande

Information Systems

Utvärdering av gapanalys för informationssäkerhet / Evaluation of a gap analysis for information security

Sörensen, Robin

January 2015

Informationssäkerhet innebär att skydda informationstillgångar avseende tillgänglighet, konfidentialitet, integritet och spårbarhet. För att hantera informationssäkerhet inom en verksamhet kan ett LIS (ledningssystem för informationssäkerhet) införas. MSB (Myndigheten för samhällskydd och beredskap) förvaltar ett metodstöd för att införa ett LIS och i detta metodstöd finns en gapanalys med inriktning mot informationssäkerhet. Denna gapanalys syftar till att kartlägga det nuvarande läget för informationssäkerhet inom organisationer för att jämföra detta mot den befintliga standarden ISO/IEC 27002. Problemet med denna gapanalys är att den är generiskt utformad för att passa de flesta organisationer och därför görs en undersökning för att undersöka hur denna gapanalys kan anpassas samt förbättras mot kommunal verksamhet. En anpassning innebär att delar kan tas bort från gapanalysen vilket skulle effektivisera informationssäkerhetsarbetet mot kommunal verksamhet. I förbättringsaspekten undersöks det hur väl gapanalysen förstås av den som ska delta i informationssäkerhetsarbetet. Utvärderingen har skett med kapitlet styrning av åtkomst ur gapanalysen, vilket avser hur åtkomsten hanteras till viktiga tillgångar som till exempel databaser innehållande känslig information. Denna rapport visar om en anpassning mot kommunal verksamhet kan göras gällande den gapanalys som MSB förvaltar samt visar möjliga förbättringsområden. För att få svar på undersökningens fråga användes intervjuer som metod.

Informationssäkerhet

Gapanalys

Kommunal verksamhet

ISO/IEC 27002

Computer and Information Sciences

Data- och informationsvetenskap

Informationsläckage : Orsaker, hantering och påverkan av informationsläckage enligt enskilda individer på organisationer inom den privata samt offentliga sektorn.

Gajek, Arneo, Bard Forsberg, Amanda

January 2015

Idag är information en av de viktigaste resurser som en organisation kan ha. På grund av den stora mängden information som flödar inom organisationen har det blivit en allt svårare resurs att skydda. Informationsläckage av hemligstämplad information blir därmed ett vanligt problem och kan leda till förödande konsekvenser för organisationer. Informationsläckage kan hanteras samt påverka organisationer på olika sätt och i denna studie undersöker vi huruvida det finns någon skillnad på hur de organisationer vi intervjuat inom den offentliga samt privata sektorn hantera samt påverkas av informationsläckage. Undersökningen inkluderar även vad enskilda individer, som på något sätt är kopplade till informationssäkerheten, inom organisationerna anser är anledningen till att någon väljer att bryta mot informationssäkerheten och läcka information.  En kvalitativ studie har gjorts på sex olika organisationer i Ljungby kommun där vi alltså intervjuat 11 personer med någon anknytning till informationssäkerhet med inriktning mot sekretessavtal. Enligt resultatet framgår det att samtliga informanter är medvetna om problemet informationsläckage och till stor del eniga om hur organisationerna de arbetar på skulle påverkas vid ett informationsläckage samt hur detta skulle hanteras. De informanter som kunde svara på hur de upplevde att organisationerna skulle kunna påverkas menade att organisationernas anseende och förtroende skulle kunna skadas på sikt. Enligt informanterna finns det även likheter i hur organisationerna hanterar informationsläckage, där fem av sex individer i organisationer inom den privata sektorn samt tre av fem informanter i organisationer inom den offentliga sektorn, arbetar med någon typ av avtal/handlingsplan. 10 av 11 informanter tror att det är ett omedvetet val till att läcka information och att det oftast sker till följd av misstag och obetänksamhet. / Information is one of the most important resources of an organization in today’s society. Because of the large amount of information that flows within the organization, information has become an increasingly difficult resource to protect. Information leakage of classified information has become a common problem and can lead to devastating consequences for organizations if it is not handled with care. Information leakage can be managed and affect organizations differently. In this paper we aim to further examine whether there are any differences between how organizations in the public and the private sectors are managing and being affected by information leakage. This paper also aims to examine what the individuals of each organization believe is the reason to why an employee would leak information. A qualitative study has been made on six different organizations in the municipality of Ljungby, where 11 people were interviewed with association to information security with focus on confidentiality agreements. According to our results it appears that all informants are aware of information leakage and agree upon how information leakage should be handled in their organizations and how it would affect them. The informants who could answer on how they believe the organization would be affected said that the organization’s reputation and trust could be affected over time. There are also similarities in how the organizations manage information leakage according to our informants, were five of six informants within the private sector and three of six informants within the public sector, work with some type of contract/action plan. 10 of 11 informants believe it’s an unconscious choice to leak information and that is mostly happens because of mistakes and recklessness.

Information leakage

information security

Informationsläckage

informationssäkerhet

Computer and Information Sciences

Data- och informationsvetenskap

Privacy by Design : Inbyggd integritet i patientjournaler

Simmingsköld, Carl

January 2013

I dagens hälso- och sjukvård behandlas patientuppgifter elektroniskt i patientjournalsystem. Uppgifterna ska behandlas med högsta möjliga säkerhetsåtgärder eftersom de innehåller känslig information om patienter. Patientuppgifterna behöver dock alltid vara tillgängliga för att vårdgivarna ska kunna ge bästa tänkbara vård. På grund av att hanteringen av patientinformation är kritisk, måste IT-systemen följa regler och upprätthålla en hög integritet. Privacy by Design (PbD) är tänkt att adressera problemet genom att integritetsaspekten får stå i fokus genom IT-systemets hela livscykel. PbD beskriver hur system ska vara, exempelvis att inte mer information än det som verkligen behövs ska samlas in, och att ge registrerade i IT-system insyn om vad som finns sparat om dem. Studien har analyserat på vilket sätt principerna och ramverket PbD används i patientjournalsystem för att skydda patientens integritet. Resultatet visar att det finns stora brister för att skydda patientens integritet framförallt genom avsaknad på kryptering i databaser och intern nätverkstrafik. Användarna kan dessutom tillgodose sig med mer information än de behöver och det finns dåligt med begränsningar för vad som kan skrivas in i patientjournalerna.

Privacy by design

inbyggd integritet

personlig integritet

informationssäkerhet

e-hälsa

Computer Sciences

Datavetenskap (datalogi)

Säkerhetsanalys av Olofströms kommuns IT-verksamhet : En utvärdering av informationssäkerhet

Göransson, Linus

January 2013

Uppsatsen syftar till att utvärdera informationssäkerheten i Olofströms kommuns IT-verksamhet för att jämföra resultatet med BITS. Vidare syfte med uppsatsen är att se över de övriga Blekingska kommunernas syn på informationssäkerhet samt hur de arbetar med det. Uppsatsen klarlägger även Olofströms kommuns anställdas syn på informationssäkerhet samt ger en sammanfattning hur deras dator-, lösenords- och e-posthantering ser ut. En tillsyn av Olofströms kommuns dokument "Säkerhetsinstruktion IT, för användare" genomförs för att utvärdera huruvida dokumentet uppnår en acceptabel säkerhetsnivå för informationshantering. Sammanfattningsvis visar resultaten att Olofströms kommun genomför ett aktivt arbete med informationssäkerhet. Resultaten visar även att de övriga Blekingska kommunerna anser att informationssäkerhet är viktigt och de jobbar någorlunda likvärdigt med det. Angående Olofströms kommuns dokument "Säkerhetsinstruktion IT, för användare" föreslås ett antal åtgärder som bör vidtas för att dokumentet ska vara à jour. Slutligen rekommenderas ett eventuellt samarbete mellan de Blekingska kommunerna för att ta fram ett gemensamt styrdokument för användarna.

datasäkerhet

informationssäkerhet

BITS

säkerhetsintruktion

IT

säkerhetsnivå

informationshantering

Computer and Information Sciences

Data- och informationsvetenskap

Hur påverkas svensk systemförvaltning av GDPR? : En explorativ studie av tysk informationssäkerhetspraktik

Andersson, Adam, Åhlenius, Melina

January 2018

Today, personal data is used to generate added value for organizations. Consequently, misuse of private data is not surprising. The upcoming implementation of General Data Protection Regulation (GDPR) is an attempt to restrict the exploitation of private data. In contrast to the current privacy law, GDPR will be more adjusted to the conditions of the contemporary society. System maintenance is at the core of privacy issues since information is stored in the systems. Based on Germany’s already established strict privacy regulation mirrored in GDPR, Germany is used as a source of comparison for the purpose of this study. Through a qualitative approach of system maintenance and GDPR, we analyze different strategies to comprehend the complexity in information security regarding privacy data. Based on our study we present four distinct contributions; first, concrete suggestions to consider in order to successfully handle personal information; second, a recognition of an organizational perspective on information security; third, we provide empirical evidence of how the field of system maintenance has evolved over time; fourth, a methodological contribution on how to study upcoming effects.

Systemförvaltning

Informationssäkerhet

GDPR

Sverige

Tyskland

Information Systems, Social aspects

Outsourcing av IT i offentlig verksamhet med säkerhetskänslig information / Outsourcing of IT in public operations with security sensitive information

Svensson, Frida

January 2018

Digitaliseringen har fortskridit i snabb takt sedan 60-talet och idag får området anses ha stor betydelse för både politik och juridik. På grund av utvecklingen är det naturligt att förväntningarna på offentlig sektor förändrats. Offentliga verksamheter förväntas idag vara ständigt tillgängliga och tillhandahålla flexibla tjänster med hjälp av tekniska lösningar. Regeringen har även presenterat mål om att Sverige ska vara ledande i världen på att tillvarata digitaliseringens möjligheter. På grund av den digitala utvecklingen finner sig många aktörer i offentlig sektor nödgade att söka hjälp utanför den egna verksamheten. IT-drift är ett exempel på en sådan funktion som kan läggas på en extern aktör för att skapa utrymme att fokusera på kärnverksamheten och leverera det som efterfrågas. En omorganisering som innebär att en intern funktion läggs på en extern aktör, som därefter tillhandahåller funktionen gentemot verksamheten, kallas vanligen för outsourcing. Vid outsourcing i offentliga verksamheter aktualiseras flera juridiska frågor, särskilt avseende vilken information som behandlas i verksamheten och som görs tillgänglig för en leverantör. När hanteringen inte längre sker manuellt och när aktören som behandlar informationen inte omfattas av offentligrättslig reglering uppstår även särskilda risker som behöver hanteras. I uppsatsen redogörs särskilt för den reglering som gäller i verksamheter som hanterar säkerhetskänslig information och de risker som förknippas med information som har ett högt skyddsvärde. Det konstateras att kombinationen av särskilt känslig information och outsourcing ger upphov till särskilda intressemotsättningar. I detta läge hamnar offentliga verksamheter i en svår situation och lösningar som kan minska informationssäkerhetsriskerna men möjliggöra fortsatt digitalisering är därför värda att utvärdera. Lagstadgad tystnadsplikt för leverantörer, centraliserade IT-tjänster och kryptering är lösningar som kan hjälpa till i denna problematik. Centralisering av IT framstår vara en åtgärd som sannolikt kan underlätta för verksamheter som hanterar säkerhetskänslig information.

outsourcing

IT

offentlig upphandling

sekretess

GDPR

säkerhetsskydd

informationssäkerhet

LUFS

SUA

Law

Juridik