Informationssäkerhet : Informell säkerhet inom informationssäkerhetsrevisioner / Information security : Informal security within information security revisions

Andersson, Adam, Gårdenheim, Simon, Josefsson, Anton

January 2020

Informell säkerhet är en kategori inom informationssäkerhet som innefattar människors attityder, uppfattningar och värderingar. Trots att informationssäkerhetsrevisioner utförs regelbundet mot organisationer är det oklart hur mycket informell säkerhet appliceras i dessa revisioner. Syftet med denna studie är att undersöka informell säkerhet och hur denna appliceras i informationssäkerhetsrevisioner. Undersökningen görs genom en tematisk analys av semi-strukturerade intervjuer.Resultatet av studien påvisar att det finns en bristande medvetenhet gällande informell säkerhet hos organisationer. Prioriteringarna hos organisationerna är istället den tekniska säkerheten. Studien uppmärksammar vikten av informell säkerhet och att denna inte glöms bort jämfört med de tekniska säkerhetsaspekterna.Slutsatsen i studien är att det krävs mer forskning inom området som både fokuserar på informell säkerhet i sin helhet men även hur informell säkerhet förhåller sig till organisationskultur. Det finns ett antal förbättringsområden inom området, mestadels kopplade till medvetenhet och utbildningsinsatser. Det fundamentala förbättringsområdet identifierades dock i att organisationer får en grundlig och klar insyn i vikten av väl hanterad informell säkerhet. / Informal security is a subcategory of information security that includes people's attitudes, perceptions and values. Although information security audits are regularly performed towards organizations, it is unclear how much informal security is applied in these audits. The purpose of this study is to examine informal security and how it is applied in information security audits by organizations. This is done through thematic analysis of semi-structured interviews. The results of the study show that there is a lack of awareness regarding informal security in organizations. The priorities of these organizations are instead technical security. What the study highlights is the importance of informal security and that it should be given the same amount of attention as the technical safety aspects. The study concludes that more research is needed about the subject informal security but also how informal security relates to organizational culture. There are several areas of improvement within the study, mostly linked to awareness and educational efforts. However, the fundamental area of improvement was identified as organizations realizing the importance of informal security.

Informatik

Informationssäkerhetsrevisioner

Informell Säkerhet

ISO27000

Organisationskultur

Social Engineering

Säkerhetsrevisioner

Information Systems

Säkerhetspolicyer på svenska företag : Hur efterlevnad säkerställs bland anställda / Security policies at Swedish companies

Cederstrand, Christopher, Berg, Elias

January 2023

I den digitala världen som vi lever i är vi mer uppkopplade och hanterar mer information än någonsin tidigare. Informationen, som i fel händer kan leda till katastrofala händelser för dagens företag. En viktig aspekt som ofta diskuteras är de anställda som ofta regleras av företagsspecifika policyer för att hålla företaget på en säker väg. Efterlevnad från de anställda är inte så enkelt som att bara tala om för dem att följa företagets regler, det måste finnas något mer för att motivera de anställda och därigenom skapa en säker miljö att arbeta inom. Denna rapport presenterar en studie där forskning har utförts för att analysera hur företag i Sverige arbetar för att höja efterlevnaden av företagets policyer med fokus påinformationssäkerhet och medvetenhet om informationssäkerhet. Genom att använda grounded theory i kombination med kvalitativa, semistrukturerade intervjuer med en representant från varje företag som har ansvar för företagets informationssäkerhet, har vi studerat vilka metoder företag använder för att öka efterlevnaden av deras policyer. Resultaten visar att utbildning är en viktig metod som tillämpas, men det finns fleraolika variationer av utbildning och företagen skiljer sig åt i hur de informerar sina anställda om risker som är kopplade till policyer. En annan upptäckt som har kommit fram i denna forskning är att ansvaret för utbildning och policyer är snarlika blandföretagen. I slutsatsen av denna rapport presenteras rekommendationer som potentiellt kan hjälpa företag att öka efterlevnaden av sina IT-policyer. Dessa rekommendationer baseras på de metoder som har framkommit i de intervjuer som utförts i denna studie.

Informationsäkerhet

Säkerhetspolicy

Efterlevnad

Policy

ISA

Cybersäkerhet

Riskhantering

Dataskydd

Säkerhetsstandarder

Hothantering

Informell Säkerhet

Work Sciences

Arbetslivsstudier

Information Systems, Social aspects