IT-säkerhet i små organisationer

Magnusson, Roberth, Rydkvist, Rikard

January 2013

IT- och informationssäkerhet är ett ständigt aktuellt ämnesområde. ITsäkerhetsarbetei små organisationer framstår som ett underforskat område. Föratt göra en kartläggning av hur arbete med risk, hot och säkerhet kan se ut i småorganisationer har vi genomfört en explorativ intervjustudie med representanterför små organisationer om deras arbete med IT- och informationssäkerhet. Vihar dessutom genomfört intervjuer med experter på området för att få ettbredare perspektiv. Tolkningen och analysen av intervjusvaren har utförtsgenom att först tolka svaren utifrån Security Controls och därefter analyserasvaren utifrån fem temaområden som vi funnit i materialet. Vi går däreftervidare med en diskussion kring hur vi funnit att de studerade organisationernaser på hot, risk och säkerhet och hur de arbetar med Security Controls settgenom de tre säkerhetsdimensionerna. Avslutningsvis föreslår vi fortsattforskning inom området. / IT and information security is a recurring theme. IT security in smallorganizations appear to be an under-researched area. To make a survey of thework on risk, threat and security might look like in small organizations, weconducted an exploratory interview with representatives of small organizationsabout their work with IT and information security. We also conducted interviewswith experts in the field to get a broader perspective. The interpretation andanalysis of the interview responses have been carried out by first interpret theresponses based Security Controls, and then analyze the responses on fivethematic areas which we found in the material. We will then continue with adiscussion of how we have found that the studied organizations, look at threats,risk and safety and how they work with the Security Controls seen through thethree security dimensions. Finally, we suggest further research in this area.

Security Controls

IT-säkerhet

Riskarbete

Upplevd säkerhet

Små organisationer

Information Systems

Ett riskabelt arbete eller fullt av möjligheter? : En kvalitativ studie om risker och möjligheter i IT- projekt / A risky work or full of possibilities? : A qualitative study about risks and possibilities in IT-project

Heinemann, Hanna

January 2021

Risker är något som ständigt finns närvarande i IT-projekt, både positiva och negativa risker. Syftet med denna studie är därav att undersöka hur projektledare i IT-branschen arbetar med risker och möjligheter samt hur arbetet upplevs. Studien genomfördes efter en kvalitativ ansats och med hjälp av en tematisk analys utformades fyra huvudteman: (1) Ta risker på allvar, (2) Förståelsens innebörd: förstår du mig nu?, (3) Oanade möjligheter och (4) Tio nyanser av lärdomar. Tidigare forskning och studiens resultat visar på att riskarbete ska göras noggrant och regelbundet. Då risker är en stor del av ett projekt bör detta arbete tas på allvar. Till skillnad från risker är möjligheter något som endast ett fåtal arbetar aktivt med. Störst fokus ligger på att analysera och hantera risker, inte möjligheter. En av slutsatserna som denna studie därav resulterat i är att riskarbete är ett viktigt arbete som behöver noggrannhet, tid, kommunikation, transparens, reflektion och kontinuitet för att bli så bra som möjligt. Arbetet med möjligheter kan däremot utvecklas avsevärt. Studiens deltagare blev även ombedda att dela med sig av en viktig lärdom vid arbetet med risker. Detta resulterade förvånande nog i tio olika svar vilket visar på att den enade synen som först antogs finnas, gällande arbetet med risker i IT-projekt, inte är helt enad. Det finns liknande nyanser i lärdomarna men själva lärdomarna i sig är olika. En slutsats som kan dras av detta är att arbetet med risker är liknande, både i teorin och i praktiken, men att erfarenheter och olika synsätt påverkar vad respektive projektledare anser vara den viktigaste lärdomen inom riskarbete. / The work with risk and risk factors are something that must be taken seriously in IT-projects. The work must be done carefully and regularly throughout the whole project, otherwise the consequences will affect the project in a negative way. But a project risk doesn´t always have to be something negative. Possibilities in IT-projects are still an unknown way of work. Therefore, the purpose of this study is to examine how project managers in IT work with risks and possibilities and how their experiences where with this work. The study was conducted using a qualitative approach and with the help of thematic analysis, four themes were created; (1) Take risks seroiusly, (2) The meaning of understanding: do you understand me now?, (3) Unimagined possibilities och (4) Ten nuances of lessons leatned. Working with risks where something that all project managers did. They thought that their work with project risks is the key to implementing a successful project. But the result of this study also shows that working with possibilities where something that just a minority of the participants did. Both research and the result of this study highlights that some of the keys to a successful work with project risks are; precision, time, communication, transparency, reflection and continuity. Even though this was something every participant agreed on, the idea on what was the most important thing to do in the work with project risk where different among them all. That result shows that the work with project risks might, at the first sight, be equal but when you dig deeper there are differences. The project manager must therefore find a way to communicate and identify the project risks so everyone working in the project have a united way of identifying the project and the project risks.

risk

possibility

risk work

risk management

risk

möjlighet

riskarbete

riskhantering

Social Sciences

Samhällsvetenskap

Undersökning av riskarbete i en beslutsprocess för säljkontrakt / Investigation of risk management in a decision making process for sales contracts

Brorsson, Gabriel, Nomark, Henrik

January 2023

Risks are something that occur daily for all individuals and can arise from a variety of activities. If we don't take these risks into account, we will likely eventually be affected by them. By identifying and analyzing risks, the most appropriate decision can be made to mitigate or avoid the risk completely. The purpose of this study is to investigate which factors should be included in a risk analysis, and how a risk analysis can be designed for contract prioritization.  The work is carried out using an abductive scientific approach as the basis of the study. Data collection is done qualitatively through interviews. In order to achieve good scientific quality with high validity and reliability, the work was done in a systematic way with good planning.  The authors conclude that the company has a correct way of defining risks but lacks a clearly structured way of identifying new potential risks, which theory shows is important for a successful risk analysis. The result describes the financial risks as the cost critical and credit risk as the most important factor. The result describes that the company doesn't have a specific model, and the authors recommend FDFMEA as a model for risk analysis in contract prioritization, which is a developed and customized version of the traditional FMEA. The case company has a well functioning approach to how risks are handled, for example using insurance to avoid specific risks. With regards to data driven decisions, theory underlines the importance of the model presenting data in a simple and transparent way. This is something that the case company currently lacks but plans to improve. / Risker är något som förekommer dagligen för alla människor och kan uppstå ur en mängdaktiviteter, tar vi inte hänsyn till dessa risker bör vi sannolikt förr eller senare drabbas avrisken. Genom att identifiera och analysera riskerna kan det mest lämpliga beslutet fattasför att mildra eller undvika risken. Målet med denna studie är att undersöka vilka faktorersom bör ingå i en riskanalys samt hur ett riskarbete kan genomföras i en beslutsprocessför säljkontrakt. Arbetet genomförs med ett abduktivt arbetssätt som grund för studien ochdatainsamlingen sker kvalitativt genom intervjuer. För att uppnå en god vetenskapligkvalitet med hög validitet och reliabilitet utfördes arbetet på ett systematiskt arbetssättmed god planering. Författarna drar slutsatsen att företaget har ett korrekt sätt att se på risker, men saknar etttydligt strukturerat sätt att identifiera nya potentiella risker, något som teori påvisarvikten av för en lyckad riskanalys. Resultatet beskriver de finansiella riskerna som mestkritiska och kreditrisk som den viktigaste faktorn. Vidare beskriver resultatet att företagetinte har en specifik beräkningsmodell, författarna rekommenderar FDFMEA som modellför riskanalys, en utvecklad och anpassad version av traditionell FMEA analys.Fallföretaget har ett väl fungerande arbetssätt för hur risker behandlas där man tillexempel använder försäkringar för att undvika risker. I avseende på datadrivna beslutpåvisar teori vikten av att modellen presenterar data på ett enkelt och transparent sätt,något fallföretaget brister i för tillfället men planerar förbättringar.

risk analysis

risk management

risk identification

data driven decisions

FDFMEA

riskanalys

riskarbete

riskhantering

riskidentifiering

datadrivna beslut

FDFMEA

Engineering and Technology

Teknik och teknologier

IDENTIFIKATION AV RISKINDIKATORER I FINANSIELL INFORMATION MED HJÄLP AV AI/ML : Ökade möjligheter för myndigheter att förebygga ekonomisk brottslighet / INDENTIFICATION OF INDICATORS FOR RISK IN FINANCIAL INFORMATION BY USING AI/ML : Improved possibilities for authorities to prevent economic crimes

Ahlm, Kristoffer

January 2021

Ekonomisk brottslighet är mer lukrativt jämfört med annan brottslighet som narkotika, häleri och människohandel. Tidiga åtgärder som försvårar att kriminella kan använda företag för brottsliga syften gör att stora kostnader för samhället kan undvikas. En genomgång av litteraturen visade också att det finns stora brister i samarbetet mellan svenska myndigheter för att upptäcka grov ekonomisk brottslighet. Idag uppdagas brotten först ofta efter att en konkurs inletts. I studier har maskininlärningsmodeller prövats för att kunna upptäcka ekonomisk brottslighet och några svenska myndigheter använder maskininlärningsmodeller för att upptäcka brott men mer avancerade metoder används idag av danska myndigheter. Bolagsverket har idag ett omfattande register för bolag i Sverige och denna studie syftar till att undersöka om maskininlärning kan användas för att identifiera misstänkta bolag, genom att använda digitalt inlämnade årsredovisningar och information ur bolagsverkets register för att kunna träna klassificeringsmodeller att identifiera misstänkta bolag. För att träna modellen så har stämningsansökningar inhämtats från Ekobrottsmyndigheten som kunnat kopplas till specifika bolag av de inlämnade årsredovisningar. Principalkomponentanalys används för att visuellt visa på skillnader mellan grupperna misstänkta och icke misstänkta bolag och analyserna visade på ett överlapp mellan grupperna och ingen tydlig klustring av grupperna. Data var obalanserat med 38 misstänkta bolag av totalt 1009 bolag och därför användes översamplingstekniken SMOTE för att skapa mer syntetiskt data och för att öka antalet i gruppen misstänkta. Två maskininlärningsmodeller Random Forest och Stödvektormaskin (SVM) jämfördes i en 10 fold korsvalidering. Där båda uppvisade en recall på runt 0.91 men där Random Forest hade en mycket högre precision och med högre accuracy. Random Forest valdes och tränades på nytt och uppvisades en recall på 0.75 när den testades på osett data bestående av 8 misstänkta av 202 bolag. Ett sänkt tröskelvärde resulterade i en högre recall men med en större antal felklassificerade bolag. Studien visar tydligt problemet med obalans i data och de utmaningar man ställs inför med mindre data. Ett större data hade möjligjort ett strängare urval på brottstyper som hade kunnat ge en mer robust modell som skulle kunna användas av bolagsverket för att lättare kunna identifiera misstänkta bolag i deras register. / Economic crimes are more lucrative compared to other crimes as drugs, selling of stolen gods, trafficing. Early preventions that make it more difficult for criminals to use companies for criminal purposes can reduce large costs for sociaty. A litterature study showed that there are large weaknesses in the collaboration between Swedish authorities to detect serious economic crimes.Today most crimes among companies that commit fraud are found after a company has declared bancruptcy. In studies, machine learning models have been tested to detect economic crimes and some swedish authorites are now using machine learning methods to detect different crimes and more advanced methods are used by the danish authorites. Bolagsverket has a large register of companies in Sweden and the aim of this study is to investigate if machinelearning can be used to detect on annual reports that have been digitaly submited and information in Bolagsverket’s register to be able to train classificationsmodels and identify companies that are suspicious. To be able to train the model lawsuits have been collected from the Swedish Economic Crime Authority that can be connected to specific companies through their digitally submited annual report. Principal component analysis is used to visually show differences between the groups suspect companies and not suspected companies and the analysis show that there is an overlap between the groups and no clear clustering between the groups. Because the dataset was unbalanced with 38 suspicious companies out of 1009 companies the oversampling tecnique SMOTE was used to create more synthethic data and more suspects in the dataset. The two machinelearnings models Random Forest and support vector machine (SVM) was compared in a 10 fold crossvalidation. Both models showed a recall on around 0.91 but Random Forest had a much higher precision with a higher accuracy. Random Forest was chosen and was trained again and showed a recall on 0.75 when it was tested on unseen data with 8 suspects out of 202 companies. Lowering the treshold resulted in a higher recall but with a larger portion of wrongly classfied companies. The study shows clearly the problem with an unbalanced dataset and the challanges with a small dataset. A larger dataset could have made it possible to make a more selective selection of certain crimes that could have resulted in a more robust model that could be used by Bolagsverket to easier identify suspicous companies in their register.

financial crime

ecocrime

ecocrime

machine learning

fraud

risk

riskwork

authorites

artificial intelligence

ai

ml

financial information

annual reports

prevention

criminality

detect

fraudster

fradulent

detect economic crimes

ekobrott

ekobrottslighet

maskininlärning

bedrägeri

risk

riskarbete

myndigheter

artificiell intelligens

ai

ml

finansiell information

årsredovisningar

förebygga

brottslighet

riskindikatorer

upptäcka

upptäcka ekonomisk brottslighet

förebygga ekonomisk brottslighet

Mathematics

Matematik