Kommunal informationssäkerhet : En undersökning av informationssäkerhet inom kommunal IT-styrning / How municipalities work with information security focusing on the use of security standards

Eklund, Jonathan, Renner, Robin

January 2020

This study examined how municipalities work with information security focusing on the use of security standards. Data was collected from three different municipalities differentiating in population, for the purpose of determining whether financial resources was a factor to successful information security within the organization. The study was based on a theoretical framework that consisted of ISO 27000, The General Data Protection Regulation, as well as the NIS directive. To examine the municipalities information security and whether security standards were used data was collected via interviews. In these interviews the informants were asked questions created in a semi-structured way to provide them with context while still being able to answer freely. This data was later to be analysed and categorised into themes where it could be interpreted. These themes within information security, consisted of continuity, risk assessment, policies, regulations, security standards, budget, and resources. Through analysis, the answers were compared as well as put into the context of what had been discovered in prior research within the field. It later points towards certain improvements in some respects as well as no further improvements in other areas. The study could affirm prior results from earlier research, and that municipalities still had essential deficiencies in their information security such as not working systematically with information security at an acceptable level. However, there were some improvements compared to prior research among municipalities and there were clear indications that there had been put a larger focus on information security. The informants also affirmed that regulations such as the General Data Protection Regulation had affected the municipalities executives’ approach towards information security within the organization. / I studien undersöks kommuners arbete med informationssäkerhet fokuserat på användandet av säkerhetsstandarder. Data samlades in från tre olika kommuner. Urvalet av kommuner baserades på population för att identifiera om ekonomi var en faktor till framgångsrik informationssäkerhet inom organisationen. Studien baserades på ett teoretiskt ramverk bestående av ISO 27000, dataskyddsförordningen tillika NIS-direktivet. För att undersöka informationssäkerheten bland tre kommuner och huruvida säkerhetsstandarder användes gjordes en datainsamling via intervjuer. Intervjuerna var semi-strukturerade så att informanterna fick en tydlig kontext och möjligheten att svara fritt. Insamlade data analyserades och kategoriserades in i teman, så det kunde tolkas. De informationssäkerhetstemana bestod av kontinuitet, riskbedömning, policys, lagar, säkerhetsstandarder, budget och resurser. Svaren analyserades och jämfördes även mot tidigare forskning i ämnet. Vad som kunde utläsas var att utveckling visades i vissa aspekter medan mindre inom andra. Studien kunde bekräfta resultat från tidigare studier, att kommuner fortfarande uppvisade brister i deras arbete informationssäkerhet. Samband mellan kommunerna var brister inom det systematiska arbetet med informationssäkerhet. Förbättringar hade dock gjorts jämfört med tidigare forskning således fanns tydliga indikationer på att informationssäkerhet uppmärksammats. Informanterna påpekade också att lagar som dataskyddsförordning hade påverkat kommunernas syn på informationssäkerhet inom organisationen.

Informationssäkerhet

Säkerhetsstandard

Informatik

Kommuner

ISO 27000

Information Systems

En studie av SSL / A Studie Of SSL

Petrusic, Dejan

January 2004

Dokumentet är ett resultat av studier gjorda under kursen Kandidatarbete I Datavetenskap. Arbetet utforskade, genom fallstudie, två egenskaper av distribuerade informationssystem och relation mellan dessa: säkerhet och prestanda. Målet med fallstudien har varit att belysa nackdelen med användning av Secure Socker Layer (SSL) dvs. dess effekt på hastigheten och fördelen med SSL, dvs. SSL:s roll i informationssäkerhetsarbetet. Arbetet visar hur prestanda i ett tillämpad distribuerat informationssystem kan påverkas av en SSL tillämpning. Systemets responstid testades för skillnader mellan en SSL säkrad uppkoppling och utan. Det testade systemet var ett bokningssystem som används för administration av resor, utvecklat i DotNet utvecklingsplattform. Arbetet har dessutom visat genom studien av informationssäkerhetsstandarden ledningssystem för informationssäkerhet (LIS) vilken plats som SSL protokollet har i informationssäkerhetsarbetet i organisationer. Metoden för jämförelse utvecklades och baserades på interaktionsmodellen. Hypotesen för arbetet var att mjukvara som tillämpar SSL gör att responstiden blir längre men gör också att informationssystemet uppfyller krav enligt standarden för ledningssystem av informationssäkerhet SS-ISO/IEC 17799 och SS 62 77 99-2. Hypotesen bekräftades då resultatet för mätningen visade en ökning på 37,5 % i medel för klienten med säkrad SSL uppkoppling och att resultatet av LIS studien visade att organisationer uppfyller viktiga krav ställda i standarden genom at ha en SSL säkrad kommunikation i sitt informationssystem. / This study shows the impact of SSL application on performance in a distributed information system. Further, the case study shows also, through studies of information security standard SS-ISO/IEC 17799, the place that SSL has in applying information security in organisations. / dejanpetrusic@hotmail.com, is00dpe@student.bth.se

informationssystem

information systems

distribuerade system

distributed systems

säkerhet

security

prestanda

performance

mätningar

measurements

SSL

säkerhetsstandard

security standard

ss-iso/iec 17799

webbtjänster

webservice

.net

SOAP

XML

integration

ILT Booking System

Computer Sciences

Datavetenskap (datalogi)

Industrial Usage of Requirements : Ambition and Impeding Factors / Industriell Användning av Krav : Ambition och Förhindrande Faktorer

Johansson, Martin, Kvainauskas, Darius

January 2020

Organizations are changing and growing constantly, which leads to higher complexity in development processes. For the development of complex products in a systematic way, requirements provide support. At Scania, it is of interest to investigate how engineers in the company work with requirements since a new safety standard is set to be implemented, which entails a change in the work with requirements. Thus, the purpose of this study is to investigate the ambition for working with requirements at Scania and to identify factors that can impede a change improvement in requirement engineering. This study aids in providing support for applying new practices when implementing a new safety standard. Literature within the fields of organizational change, change management and requirement engineering are considered. A qualitative case study at an automotive OEM has been conducted, where data was collected through 21 semi-structured interviews and internal documents. The findings show that the ambition level from the company perspective is not clear at Scania, thus engineers and units at the company set their own individual ambition for working with requirements and work in different ways across the organization. Also, several impeding factors such as standardization and different processes have been identified that could impede a change initiative for an improvement in the requirement engineering process. The findings contribute to the understanding of engineers purposes and motivation for requirement engineering. Furthermore, a change initiative in requirement engineering is investigated, where the impeding factors for the change are identified. Also, safety critical system development using requirement engineering is explored. It is suggested that future studies could compare other units and companies requirement engineering, and also leverage qualitative methods. Originality – To the best knowledge of the authors this is the first study to examine change initiative using Schein’s change model in a requirement engineering setting. / Organisationer förändras och växer ständigt, vilket leder till högre komplexitet i utvecklingsprocesser. För utveckling av komplexa produkter på ett systematiskt sätt ger krav stöd. Hos Scania är det av intresse att undersöka hur ingenjörer arbetar med krav i företaget eftersom en ny säkerhetsstandard är på väg att implementeras, vilket innebär en förändring av kravarbetet. Syftet med denna studie är därför att undersöka hur ambitionen att arbeta med krav är hos Scania och att identifiera faktorer som kan hindra en förbättring av arbetet med krav. Denna studie bidrar med att ge stöd vid tillämpning av nya metoder under implementeringen av en ny säkerhetsstandard. Litteratur inom områdena organisationsförändring, förändringshantering och kravhantering beaktas. En kvalitativ fallstudie hos en fordonstillverkare har genomförts där data samlades in genom 21 semistrukturerade intervjuer och från interna dokument. Resultaten visar att ambitionsnivån från ett företagsperspektiv inte är tydligt på Scania, vilket gör att ingenjörerna eller avdelningar sätter en individuell ambition för att arbeta med krav och arbetar på olika sätt inom organisationen. Dessutom har flera faktorer så som standardisering och olika arbetssätt identifierats, vilka kan förhindra ett förändringsinitiativ för en förbättring av kravhanteringsprocessen. Resultaten bidrar till att förstå ingenjörers syften och motivationen för kravhantering. Vidare undersöks förändringsinitiativ inom kravhantering samt faktorer som kan förhindra förändringen. Dessutom undersöks hur säkerhetskritiska system utvecklas med användning av krav. Det föreslås att framtida studier kan jämföra andra enheters och företags kravhantering, och även utnyttja kvalitativa metoder. Originalitet – Enligt författarnas uppfattning är detta den första studien som undersöker förändringsinitiativ med Scheins förändringsmodell i samband med kravhantering.

Requirements

Requirement engineering

Organizational change

Change management

Resistance to change

Safety standard

Safety critical requirements.

Krav

Kravhantering

Organisationsförändring

Förändringshantering

Motstånd mot förändring

Säkerhetsstandard

Säkerhetskritiska krav.

Engineering and Technology

Teknik och teknologier