Phishing inom organisationer : En studie om hur skydd mot phishing kopplat till mänskliga faktorer kan stärkas / Phishing within organizations : A study on how defenses against phishing linked to human factors can be strengthened

Grönlund, Nicole

January 2020

Med hjälp av informationsteknologi (IT) kan företag hålla sig konkurrenskraftiga, samtidigt som det öppnar upp för säkerhetshot som informationsstöld. Phishing är ett exempel på säkerhetshot, vilket innefattar att angripare tillämpar digitala enheter för att konstruera manipulativa meddelanden i syftet att få tillgång till konfidentiell information genom individer (Xiong, Proctor, Yang & Lin, 2019). Många företag investerar i teknologiska lösningar för att skydda mot säkerhetshot, varpå mänskliga faktorer ofta ignoreras (Ghafir et al., 2018). Denna studie har därmed undersökt hur skydd mot phishing kopplat till mänskliga faktorer kan stärkas, det vill säga säkerhetsmedvetenhet, säkerhetsutbildningar, säkerhetspolicies, informationssäkerhetskultur, ledning samt säkerhetsbeteende. Med hjälp av kvalitativa metodansatser har respondenter från ett samarbetsföretag intervjuats, för att besvara hur skydd mot phishing kopplat till mänskliga faktorer kan stärkas genom två delfrågor: ”Vilka brister finns avseende skydd mot phishing kopplat till mänskliga faktorer inom organisationer”? samt ”Vilka åtgärder kan organisationer ta för att förbereda anställda mot phishing-angrepp”?Studiens resultat visar att det kan förekomma brister avseende skydd mot phishing kopplat till mänskliga faktorer som ökar risken med att anställda faller för phishing-angrepp, exempelvis att det saknas information i säkerhetsutbildningar för att förbereda anställda mot phishing-angrepp, att anställda inte tar del av säkerhetspolicyn kontinuerligt, avsaknad av uppföljningsutbildningar samt att kunskap från säkerhetsutbildningar och säkerhetspolicyn glömts bort vilket öppnar upp för riskfyllda säkerhetsbeteenden. Åtgärder mot brister som identifierats i studien innefattar bland annat att anställda bör få genomgå specifik säkerhetsutbildning om phishing som exemplifierar olika typer av phishing-angrepp, en ökad kunskapsdelning bland ledning och anställda i form av att anställda rapporterar in phishing-mejl som ledningen kan informera övriga anställda om, belysa allvaret med phishing genom information om konsekvenser vilket kan leda till en attitydförändring avseende säkerhet, regelbundna uppföljningsutbildningar samt motivering och övervakning att anställda tar del och efterföljer säkerhetspolicies.

Phishing inom organisationer

Social engineering

Säkerhetsutbildning

Säkerhetspolicies

Informationssäkerhetskultur

Säkerhetsmedvetenhet

Ledning

Säkerhetsbeteende

Media and Communication Technology

Medieteknik

Säker i det digitala landskapet : En studie om betydelsen av internutbildning inom cybersäkerhet / Secure in the digital landscape : A study on the importance of education and training in cybersecurity

Wallman, Klara, Risberg, Ebba

January 2024

Digitaliseringens framsteg ökar organisationers sårbarhet mot cyberhot och konsekvenserna vid attacker kan bli mycket kostsamma. Trots starka tekniska skydd lämnas organisationer sårbara på grund av den mänskliga faktorn. Säkerhetsmedvetenhet bland anställda blir därför avgörande för en organisations överlevnad. Studien ämnar därför att undersöka och analysera olika aspekter av internutbildning inom cybersäkerhet i syfte att identifiera vilka faktorer som har en betydande påverkan på anställdas säkerhetsmedvetenhet. Undersökningen grundas på kvalitativa intervjuer med olika organisationers IT-säkerhetsansvariga som har inflytande över utformningen och innehållet i den interna kompetensutbildningen inom cybersäkerhet. Organisationerna utgörs av medelstora och stora organisationer som är verksamma i Sverige, och som hanterar digital konfidentiell information. Studiens resultat visar att det råder osäkerhet i hur cybersäkerhet faktiskt definieras vilket kan ses som en förklaring till den generella uppfattningen bland anställda om att utbildningen saknar konkret vägledning. Resultatet lyfter fram olika områden där organisationer kan förbättra olika aspekter av utbildning inom cybersäkerhet, inklusive anpassning av utbildning, upprätthållande av intresse hos anställda, effektiv användning av externa utbildningsresurser och anställdas ansvarstagande genom incitament. Dragna slutsatser om förbättringsmöjligheter kan bidra till en mer ändamålsenlig utbildning som i sin tur kan stärka säkerhetsmedvetenheten bland anställda. / The progress of digitalization increases the vulnerability of organizations to cyber threats, and the costs of attacks can be substantial. Despite robust technical defenses, organizations remain vulnerable due to the human factor. Therefore, the employees’ security awareness becomes crucial for an organization to achieve essential protection against cyber threats. This study aims to examine and analyze various aspects of cybersecurity education and training to identify factors significantly impacting employee security awareness. The study is based on qualitative interviews with IT security managers from different organizations who influence the design and content of cybersecurity training. All the organizations, comprising medium to large-sized entities based in Sweden, handle digital confidential information. The study's findings reveal uncertainties in how cybersecurity is defined, which explains the general perception among employees that the education and training lack practical guidance. The results highlight areas where organizations can enhance cybersecurity education and training, including adapting content, sustaining interest, effectively utilizing external resources, and promoting responsibility through incentives. Conclusions drawn regarding improvement possibilities can contribute to strengthening employee security awareness.

Cybersecurity

Security awareness

Education and Training

Cybersäkerhet

Säkerhetsmedvetenhet

Internutbildning

Information Systems, Social aspects

Brottsförebyggande arbete i Karlskrona Kommun / Crime prevention in Karlskrona Municipality

Stalidis, Geo, Blönnigen, Patrik

January 2013

Theft without break-ins has increased significantly in the last year of swimming, sports and leisure facilities in Karlskrona, more precisely 60%. Vandalism in the shape of graffiti is another common crime. The solutions are divided into social and situational crime prevention. Social crime prevention engage in actions that are based on social causes of crime rather than the opposite situational crime prevention, which instead assumes that discourage with the help of technical solutions and has as primary objective to hinder accessibility for example theft friendly goods. The main purpose of this work is to come up with solutions to prevent these crimes, while also being cost-effective and realistic to implement. The work is important in that it creates safety awareness and promotes a healthy safety culture. Moreover, the future goal is to lower these statistics. The goal of the work is in addition to developing our knowledge of crime subject, was also to provide help and solutions for our clients. We have always tried to seek innovative solutions. The work has been based on the theoretical framework in which the relevant areas have been addressed. Furthermore, the results using the methodology prescribed in accordance with the theoretical framework. Finally, we come to the conclusion that there is a lot of cost-effective solutions that could be applied in real life and what is important is that they interact together to create a culture of incident reporting, which in turn documented and followed up for further evaluation. Documentation is important because it creates statistics to work from. Do not forget to involve the public. / Stöld utan inbrott har ökat markant under det senaste året på bad-, sport- och fritidsanläggningar i Karlskrona, närmare sagt 60%. Skadegörelse i form av klotter är ett annat vanligt förekommande brott. Lösningarna delas upp i social och situationell brottsprevention. Sociala brottspreventionen ägnar sig åt åtgärder som utgår från brottslighetens sociala orsaker istället för motsatsen situationell brottsprevention som istället utgår från att avskräcka med hjälp utav tekniska lösningar och har som primärt mål att försvåra tillgänglighet för t.ex. stöldbegärliga varor. Det huvudsakliga syftet med arbetet är att komma fram till lösningar som förebygger dessa brott, samtidigt som de är kostnadseffektiva och realistiska att implementera. Arbetet är viktigt på så sätt att det skapar säkerhetsmedvetenhet och främjar en hälsosam säkerhetskultur. Dessutom är det framtidsförankrade målet att sänka denna statistik. Målet med arbetet har förutom att utveckla vår kunskap inom det brottsförebyggande ämnet, varit att bidra med hjälp och lösningar åt våra uppdragsgivare. Vi har hela tiden försökt sträva efter innovativa lösningar. Arbetet har haft sin grund i den teoretiska ramen där berörda områden har behandlats. Vidare har resultatet med hjälp av metodiken skrivits i enlighet med den teoretiska ramen. Avslutningsvis har vi kommit fram till att det finns en hel del kostnadseffektiva lösningar som skulle kunna tillämpas i verkligheten och det viktiga är att man samverkar sinsemellan för att skapa en kultur med incidentrapportering som i sin tur dokumenteras och följs upp för vidare utvärdering. Dokumentation är viktigt eftersom det skapar statistik att utgå ifrån. Glöm inte att involvera allmänheten. / Geo Stalidis - Tel: 0707446170

säkerhet

security

karlskrona

brottsförebyggande

skadegörelse

klotter

situationell brottsprevention

social brottsprevention

säkerhetskultur

säkerhetsmedvetenhet

risk

riskhantering

uppföljning

utvärdering

samverkan

Computer Sciences

Datavetenskap (datalogi)

Säkerhetsmedvetenhet hos hemanvändare / Security Awareness of Home Users

Lagerstrand, Philip

January 2015

IT utgör en stor del av majoriteten av folks vardagliga liv. Smartphones och surfplattor har om möjligt ytterligare ökat vår användning av tekniska enheter och prylar på en daglig basis. Arbetet tas med hem i en större grad med hjälp av laptops, VPN och molnmöjligheter. Mail kan tas emot i princip var och närsomhelst på dygnet. Men hur bra är säkerheten? På arbetsplatsen hanteras mycket av IT-säkerheten och ansvaret för den ofta av erfarna och dedikerade anställda, men hur ser det ut hemma där användaren själv har ansvaret för sin IT-säkerhet? I denna studie analyseras och identifieras risker och problem vid hantering av olika aktiviteter relaterade till IT-säkerhet i hemmet. Motivationsteorin TMT och en konceptuell modell av aktiviteter relaterade till IT-säkerhet användes för att ta fram frågorna till intervjuerna och för att analysera svaren. Information har samlats in genom intervjuer med personer i olika åldrar och med varierande erfarenhetsbakgrund. Risker har identifierats relaterat till brister i hemanvändares motivation att utföra aktiviteterna lösenordshantering och säkerhetskopiering samt bristande värderingar för aktiviteten utbildning.

IT security

IT

Security awareness

Information security

Home user

User

TMT

IT-säkerhet

IT

Säkerhetsmedvetenhet

Informationssäkerhet

Hemanvändare

Användare

TMT

Computer Sciences

Datavetenskap (datalogi)

IT security expert’s perceptions of cybersecurity when working remotely compared to working in the office : A quality study on Swedish insurance companies / IT-säkerhetsexperters uppfattningar om cybersäkerhet vid distansarbete jämfört med arbete på kontoret : En kvalitativ studie på svenska försäkringsbolag

Kullander, Kristoffer, Cselenyi, Mathilda

January 2024

Teleworking has become a significant aspect of working life, especially after the outbreak of the COVID-19 pandemic, which accelerated the trend of teleworking. However, this shift has increased the risk of cyber threats and security risks. Despite organizations' efforts to strengthen cybersecurity, a significant risk remains, with employees posing one of the main security risks in the form of human error and mistakes. Previous research highlights that employees tend to exhibit lower levels of cybersecurity awareness and are more likely to perform riskful actions when working remotely compared to working in the office. However, recent research has shown the opposite, where employees are more conscious of cybersecurity awareness and more likely to apply security-based precaution measures during remote work compared to office work. In light of these research findings, this study focuses on examining how IT-security experts perceive cybersecurity when working remotely compared to working in the office. To explore this, the study has, through qualitative mapping, conducted semi-structured interviews with a theoretical basis in Protection Motivation Theory (PMT). Overall, the study showed that IT- security experts perceive cybersecurity as more manageable when working in the office compared to remote work, with an increased awareness of the importance of the human factor. / Distansarbete har blivit en betydande aspekt av arbetslivet, särskilt efter utbrottet av Covid-19- pandemin, vilket accelererade trenden med distansarbete. Denna omställning har emellertid ökat risken för cyberhot och säkerhetsrisker. Trots organisationers insatser för att stärka cybersäkerheten kvarstår en betydande risk, då anställda utgör en av de främsta säkerhetsriskerna i form av mänskliga fel och misstag. Tidigare forskning framhäver att anställda ofta är mindre säkerhetsmedvetna och mer benägna att utföra riskfyllda handlingar när de arbetar på distans jämfört med arbete på kontoret. Däremot har senare forskning visat motsatsen, där anställda är mer säkerhetsmedvetna och mer benägna att vidta säkerhetsåtgärder under distansarbete jämfört med arbete på kontoret. Mot bakgrund till dessa forskningsresultat, fokuserar denna studie på att undersöka hur IT-säkerhetsexperter uppfattar cybersäkerhet vid distansarbete jämfört med arbete på kontoret. För att utforska detta har studien, genom kvalitativ kartläggning, genomfört semistrukturerade intervjuer med teoretisk grund i Protection Motivation Theory (PMT). Sammantaget visade studien på att IT-säkerhetsexperter uppfattar cybersäkerhet som mer hanterbar vid arbete på kontoret jämfört med distansarbete, med en ökad medvetenhet om den mänskliga faktorns betydelse.

Cyber security

cyber threats

cybersecurity awareness

remote work

Protection Motivation Theory

Cybersäkerhet

cyberhot

säkerhetsmedvetenhet

distansarbete

Protection Motivation Theory

Information Systems

Faktorer som påverkar säkerhetsbeteende: En litteraturstudie utifrån UMISPC-modellen

Segergren, Olof, Båtelsson, Herman

January 2022

En av de säkerhetsrisker som företag i dagsläget måste ta hänsyn till är bristande säkerhetsbeteende hos anställda vid användande av informationssystem. Denna brist kan leda till incidenter där produktivitet går förlorad eller känslig data läcks. Detta gör att användarnas beteende och efterlevnad av säkerhetsriktlinjer blir ett viktigt ämne för företag och organisationer. Tidigare studier identifierar flera faktorer som bidrar till bättre eller sämre säkerhetsbeteende hos individer. UMISPC-modellen (“Unified Model of Information Security Policy Compliance”) skapad av Moody m.fl. (2018) är en ansats till att unifiera faktorer från flera teorier. De inkluderar enbart faktorer som de kunde stödja i ett specifikt kontext men misstänker att effekten av faktorer som de exkluderar kan stödjas i andra kontext. För denna uppsats utfördes en litteraturstudie där faktorer i existerande modeller identifieras och klassificeras in i de faktorer som UMISPC-modellen definierar. Litteraturstudien gjordes via söktjänsten Uppsalas universitetsbibliotek. Resultaten visade att flera av studiernas resultat stöder flera av de faktorer som Moody m.fl. (2018) inte fann stöd för. Dessa faktorer kan därför vara aktuella för framtida utökningar av UMISPC-modellen trots att de inte kunde stödjas av Moody m.fl. (2018). / One of the security risks companies of today have to consider is poor security behavior of employees while using information systems. These behaviors can lead to incidents where productivity is lost or sensitive data is leaked. This causes the users’ behavior and compliance with security guidelines to become an important subject for companies and other organizations. Earlier studies identified several factors contributing to better or worse security behavior of individuals. The UMISPC model (Unified Model of Information Security Policy Compliance) created by Moody et al. (2018) is an effort to unify factors from multiple theories. They only include factors for which they were able to find support in a specific context but suspect that the effect of factors they exclude can be supported in other contexts. For this essay, a literature study was performed where factors from existing models were classified into factors defined by the UMISPC model. The literature study was performed using the search engine provided by Uppsala’s university library. The result showed that several studies support the factors that Moody et al. (2018) did not find support for. These factors can therefore be valid for future extensions of the UMISPC model even though they could not be supported by Moody et al. (2018).

Security behavior

Security awareness

IT-security

Guidelines

Policy

UMISPC

Säkerhetsbeteende

Säkerhetsmedvetenhet

IT-säkerhet

Riktlinjer

Policy

UMISPC

Information Systems

Åtgärder mot rådande nätfiskeattacker på sociala medier : En kvalitativ studie / Measures against prevailing phishing attacks on social media : A qualitative study

Pan, Enming, Ahmad, Al-Asadi

January 2022

Nätfiske på sociala medier kan få allvarliga konsekvenser för användare och organisationer. Det är dessutom en teknisk attack med en psykologisk aspekt som får mottagaren från ett nätfiskemeddelande att bete sig på ett specifikt sätt. Innehållet och leveransmetoden för nätfiskemeddelande kan förändras drastiskt. Forskarna avser att avgöra om nätfiske som en attack har förändrats över tid, hur och varför användare påverkas, användarnas säkerhetsmedvetenhet och tredje parts rekommendationer för skydd mot nätfiske. Kvalitativa strategier användes i denna studie främst för att fånga upp många variabler som kvantitativa strategier inte skulle göra, som att fånga upp respondenternas erfarenhet av nätfiske och ge ett nyanserat svar som bidrar till att besvara studiens forskningsfråga. Tema- och innehållsanalys användes i denna studie främst för att ge forskarna en systematisk arbetsprocess för att sålla och sortera data från primära och sekundära data. Dessa analysmetoder förenklade för forskarna vid bearbetning av data på grund av kodning, kategorisering och organisering av relevant data. Att jämföra primära och sekundära data kom med konsistens som fortfarande är utbredd idag. Alla respondenter och litteratur visar att alla budskap innehåller specifika faktorer som får offren att agera känslomässigt snarare än att tänka logiskt. Användare av sociala medier klickar ofta på okända länkar utan ytterligare övervägande eller ordentlig läsning. Studier har visat att nätfisketrenden har ökat på grund av hur billigt det är att skaffa de nödvändiga verktygen för att skicka nätfiskemeddelanden. Författarna har analyserat primärt och sekundärt datainnehåll i motåtgärder mot nätfiske för att sammanställa och uppdatera data för att presentera en lista över åtgärder mot aktuellt nätfiske. Författarens lista med vägledningar mot nätfiske kommer från resultaten av ackumuleringen av varje specifik studie, fragmenterad data och respondenternas syn på nätfiskesäkerhet. De viktigaste råden som författarna har identifierat innehåller tre vanliga teman som ett nätfiskemeddelande nästan alltid innehåller. Vissa, om inte alla, nätfiskemeddelanden kan innehålla följande brådska, girighet och rädsla. Genom att förstå dessa tre vanliga teman kan användarna bättre identifiera nätfiskemeddelanden. / Phishing on social media can cause severe consequences for users and organizations. It is also a technological attack with a psychological aspect that causes the receiver of a phishing message to behave in a specific manner. The content and delivery method of phishing messages can change drastically. The researcher intends to determine if phishing as an attack has changed over time, how and why users are affected, users' security awareness, and third party's recommendations for protection against phishing. Qualitative strategies were used in this study primarily to catch many variables that quantitative strategies wouldn't, such as finding respondents' experience of phishing and providing a nuanced response that contributes to answering the study's research question. Thematic and content analysis was used in this study primarily to give the researchers a systematic work process to sift and sort through data from primary and secondary data. These analysis methods simplified for the researchers when processing data due to coding, categorizing and organizing relevant data. Comparing primary and secondary data came with consistency that is still prevalent today. All respondents and literature show that all message contains specific factors that make victims act emotionally rather than thinking logically. Social media users often click unknown links without any further consideration or proper reading. Studies have shown that the phishing trend has increased due to how cheap it is to attain the necessary tools to send phishing messages. The authors have analyzed primary and secondary data content in countermeasures against phishing to compile and update data to present a list of measures against current phishing. The author's list of anti-phishing guidance comes from the results of the accumulation of each specific study, fragmented data, and respondents' views of phishing security. The essential advice the authors have identified contains three common themes a phishing message almost always contains. Some, if not all, phishing messages can contain the following urgency, greed, and fear. By understanding these three common themes, the users can better identify phishing messages.

phishing

security

data compromise

cyber criminals

security awareness

datamine I

nätfiske

säkerhet

data kompromisser

cyberkriminella

säkerhetsmedvetenhet

data skrapa

Computer and Information Sciences

Data- och informationsvetenskap

Informationssäkerhet på ett företag inom dagligvaruhandeln

Caspersson, Helen

January 2024

Alla människor är beroende av mat. Sverige har en god livsmedelsindustri där sista steget är dagligvaruhandeln som hjälper till att Sveriges befolkning får mat på bordet. I och med att digitaliseringen ökat i vårt samhälle har det även senaste åren rapporterats i media om dataintrång riktade mot företag i Sverige. 2021 fick Coop stänga ner sina butiker då kassasystem slutade fungera på grund av en utpressningsattack mot leverantören av mjukvaran till kassasystemen som företaget använder.  Ökningen av dataintrång i Sverige har lett till att det blir allt viktigare att skydda informationen hos företagen. Information spelar en stor roll i en organisations affärsverksamhet där informationen kommer i kontakt med både teknik och människor. Det gör att ett aktivt informationssäkerhetsarbete är viktigt för att säkerhetsställa konfidentialiteten, integriteten och tillgängligheten hos företagets information. Genom en kvalitativ studie bestående av intervjuer med ledning och medarbetare på ett företag inom dagligvaruhandeln studerades hur företaget förhåller sig och arbetar med informationssäkerhet. Resultatet från intervjuerna analyserades genom att använda en tematisk analys där teman identifieras ur empirin. Resultaten av studien analyserades och diskuteras utifrån teorin med fokus på informationssäkerhetspolicys, säkerhetsmedvetenhet och organisationskultur. Slutligen diskuteras vikten av utbildning och träning för att öka säkerhetsmedvetenheten i företagets organisationskultur. / All humans need food. Sweden has a well functioning food industry, where the final step in the chain is the grocery trade and where the people can buy their food. As digitalization has increased in our society there have also been reports in the media in recent years about ransomware attacks on companies in Sweden. In 2021 the grocery chain Coop had to close their stores when their cash register system stopped working because of a ransomware attack against the supplier of the software of the system for the company’s cash registers.  The increase of computer breaches in Sweden has made it increasingly important to protect the information at companies. The information plays an essential role in an organization's business processes where it comes in contact with both technology and people. This means that active information security work is important to ensure the confidentiality, integrity and availability of the organization’s information. With the use of a qualitative study consisting of interviews with the management and employees of a company in the grocery trade a study was performed on how the company relates to and works with information security. The result from the interviews was analyzed using thematic analysis where themes were identified from the collected data. The results from the study were analyzed and discussed based on the theory with focus on information security policies, security awareness and organizational culture. Lastly the importance of education and training to increase the security awareness in the company’s organizational culture was discussed.

information security

security awareness

human factors

information security policy

organizational culture

grocery trade

informationssäkerhet

säkerhetsmedvetenhet

mänskliga faktorn

informationssäkerhetspolicy

organisationskultur

dagligvaruhandeln

Information Systems

Informationssäkerhet i kommunala förvaltningar : kultur, medvetenhet och ansvar

Holmström, Anton, Barsk, Anton

January 2019

Information hanteras, lagras och används av alla typer av verksamheter i sambandmed digitaliseringens framfart. Information är en drivande resurs för verksamhetersom en viktig biståndsdel i affärsprocesser och därför finns ett behov att skydda den.Informationssäkerhet är inte bara en teknisk fråga utan påverkas av organisationskultur,anställdas säkerhetsmedvetenhet samt ledning och individ. Studien användersig av en abduktiv forskningsansats med en kvalitativ datainsamling. I studien intervjuadesnio anställda från olika kommunala förvaltningar för att undersöka hurarbetet med informationssäkerhet bedrivs. I analysen undersöker vi hur den nuvarandesituationen ställer sig mot teorier om hur ett effektivt säkerhetsarbete skabedrivas. I diskussionen belyser vi vikten av ledningens delaktighet i verksamhetensinformationssäkerhet och hur det påverkar det systematiska säkerhetsarbetet.Vi diskuterar även hur individens roll påverkar säkerhetsarbetets effektivitet. Studienvisar hur informationssäkerheten i kommunala förvaltningar inte ligger i fas medbehovet och pekar på vikten av individen samt ledningens ansvar i säkerhetsarbetet. / Information is handled, stored and used by all types of organisations in conjunctionwith the digitization. Information is an important business driver in the businessprocesses of most organisations therefore the protection of the information is crucial.Information security is not solely a technical question and therfore is affectedby the organisational culture, employees security awareness and the role of managementand individuals. The study uses a qualitative method for data collectionwith an abductive approach. In the study, we perform interviews with 9 differentemployees within different municipal administrations to examine how they workwith information security. In the analysis we investigate the correlation betweentheory and the existing situation. In the discussion we highlight the importance ofmanagement participation and the effects they have on information security, securityawareness and organisational culture. We also discuss the importance of theinvolvement of individuals in information security and how it affects its effectivness.The study shows the municiapals shortcomings within information security and theimportance of individuals and managements responsibility for an effective and secureorganisation.

informations security

security awareness

organisational culture

municipal administrations

security policy

social learning theory

informationssäkerhet

säkerhetsmedvetenhet

organisationskultur

kommunala förvaltningar

säkerhetspolicys

socialinlärningsteori

Information Systems, Social aspects

Cyberpandemin: Att vaccinera sjukvården mot digitala hot / The cyber pandemic:Vaccinating healthcare against digital threats

Hermansson, Sandra, Jönsson, Wilma

January 2024

Digitaliseringens framväxt har utvecklat digitala arbetsmiljöer inom verksamheter där informationsteknologi tillämpas för att förbättra medarbetarnas produktivitet. Användningen av digital teknologi har ökat säkerhetsbehovet, med ett större fokus på cyber- och informationssäkerhet för att skydda mot digitala hot. Syftet med studien är att undersöka hur en offentlig verksamhet främjar IT-säkerhetsmedvetenhet i en digital arbetsmiljö, med fokus på hur en region inom hälso- och sjukvården arbetar med cyber- och informationssäkerhet. Forskningen grundar sig på en kvalitativ fallstudie där intervjuer har genomförts med medarbetare på säkerhetsavdelningen samt från sjukvården i den utvalda regionen. Resultatet visar att regionens arbete med att främja säkerhetsmedvetenhet i den digitala arbetsmiljön i flera avseenden anses vara bristfällig. Således belyser studien att en säkerhetsmedvetenhet kan främjas genom olika perspektiv såsom en tydlig kommunikation från verksamhetsledningen ut i organisationen samt att medarbetaren beaktar cyber- och informationssäkerhet som en del av det givna ansvarsområdet, oavsett arbetsuppgifter. Det är även väsentligt att anpassa den digitala arbetsmiljön där tekniken samspelar med människan. Ett förslag har utvecklats till regionen för att främja säkerhetsmedvetenhet och upprätthålla funktionsförmågan i en tidspressad arbetsmiljö, samtidigt som säkerheten prioriteras. / The rise of digitalization has developed digital work environments within organizations where information technology is applied to enhance employee productivity. The use of digital technology has increased security needs, with a greater focus on cyber and information security to protect against digital threats. This study aims to investigate how a public organization promotes IT security awareness in a digital work environment, focusing on a healthcare sector region's cyber and information security practices. The research, based on a qualitative case study where interviews have been conducted with employees of the security department and healthcare workers, indicates that the region's efforts to promote security awareness in the digital work environment are deficient in several respects. Thus, the study highlights that security awareness can be enhanced through various perspectives, such as clear communication from management throughout the organization and employees considering cyber and information security as part of their responsibilities, regardless of their work tasks. It is also essential to adapt the digital work environment where technology interacts with human elements. A proposal has been developed for the region to foster security awareness and maintain functionality in a time-sensitive work environment while prioritizing security.

Cyber and Information Security

IT Security Awareness

Digital work environment

Public Sector

Healthcare

Socio-technical perspective.

Cyber- och informationssäkerhet

IT-säkerhetsmedvetenhet

Digital arbetsmiljö

Offentlig verksamhet

Hälso- och sjukvården

Sociotekniskt perspektiv.

Information Systems