Global ETD Search

71	Strategizing security awareness for industries : A case study about how to apply security awareness to ICS/process industries Lund, Mira January 2022 (has links) This thesis has contributed to academia by looking at what to include in a security awareness strategy, and how to apply this to industries, as this has not been done before. For this a case study and semi-structured interviews with security professionals/responsible, knowledgeable of industries have been performed. The result emphasize five steps: knowledge, motivation, communication, learning/ training and evaluation, by teaching knowledge at different levels, consider PMT factors, choose the right communication aspects, use interactive/context based learning activities and to evaluate knowledge, behavior and attitude. When applied to industries, the study highlights the industrial culture, like customized knowledge, communication/learning activities that are relatable and don’t hinder industry workers, and finally to evaluate attitudes. This study's limitations and research recommendation could be the lack of fieldwork. However the findings also contribute to practice, given their real-life settings application potential, such as the generated security awareness model of this thesis. Information security security awareness industry 4.0 industry control systems digital transformation internet of things organizational culture. Information Systems, Social aspects
72	Hur ISO 27001 certifierade företag utvecklar sina anställdas Kunskap, Attityd och Beteende mot Informationssäkerhetsmedvetenhet / How ISO 27001 certified companies develop their employees´Knowledge, Attitude and Behavior towards Information Security Awareness Istiphan, Sebastian, Biller, Alexander January 2023 (has links) Många företag har idag ett stort ansvar att hålla information säker. Med människor som jobbar med informationen hos företag följer därför arbetet med att stärka informationssäkerhetsmedvetenheten, vilket kan göras genom att bland annat implementera ett ledningssystem för informationssäkerhet efter standarden ISO 27001. Det finns däremot flera sätt att påverka informationssäkerhetsmedvetenheten och bland dessa är det genom att påverka kunskap, attityd eller beteende. Denna studie har därför undersökt hur företag arbetar med dessa aspekter i ett företag certifierat genom ISO 27001. För studien har semistrukturerade intervjuer utförts hos ISO 27001-certifierade företag med vidare analys för att besvara studiens frågeställning. Resultaten visar att företagen enhetligt har ett stort fokus på kunskapsaspekten av arbetet med informationssäkerhetsmedvetenhet samt att beteende är något som sällan är problematiskt men följes upp med åtgärder beroende på incidenten. Slutsatserna som presenteras är rekommendationer som när applicerbara ökar informationssäkerhetsmedvetenheten hos företag. Studien har främst undersökt kunskap, attityd och beteende hos ISO 27001-certifierade företag i Sverige vilket gör att kulturella och dylika faktorer möjligtvis saknas, vilket kan påverka hur applicerbara rekommendationer är för företag utanför Sverige. / Many companies today have a big responsibility to keep their information secure. As there are employees working with information, there is also a need for improvement of the employee’s information security awareness. This can be done through implementation of a management system for information security of the ISO 27001 standard. There are multiple ways to improve the information security awareness and some of these are through improving the knowledge, attitude, and behavior of the employee. This study has investigated how companies that have an ISO 27001 certification improve their employee’s knowledge, attitude, and behavior. The study identified this improvement through a qualitative method using semi-structured interviews, where the respondents are employees at companies that are ISO 27001 certified, the interviewees answers were then analyzed to answer the study’s question at issue. The results show that the companies uniformly focus on the knowledge aspect of information security awareness and that behavior is rarely an issue but that in the case of an incident is investigated. The conclusion presents recommendations as to how companies can improve their employee’s knowledge, attitude, and behavior to information security. The study mainly studied the knowledge, attitude, and behavior of Swedish companies that are ISO 27001 certified, which makes cultural and similar factors are missing which might affect how applicable the recommendations are for companies outside Sweden. KAB Knowledge Attitude Behavior Information Security Awareness ISO 27001 Information Security. KAB Kunskap Attityd Beteende Informationssäkerhetsmedvetenhet ISO 27001 Informationssäkerhet. Information Systems
73	IT security : Education, Knowledge and Awareness / IT Säkerhet : utbildning, kunskap och medvetenhet Schiöld, Ellinor, Andersson, Sanna January 2022 (has links) IT systems that contain large volumes of information are today extremely valuable to organizations. As the IT systems grow bigger, more challenges are emerging, vulnerability increases and control decreases. Organizations are using IT security to protect their IT systems from different threats and the human factor can be seen as one of the biggest risks towards IT security. Therefore it is not optimal to only focus on the technical solutions and measures, the focus should also be on the employees IT security knowledge and IT security awareness. To increase the knowledge of IT security and to make the employees more IT security aware requires continuous work and IT security education is often mentioned as a factor to increase IT security- knowledge and awareness. Despite this, challenges are mentioned in previous research, which means that even if an employee participates in an IT security education, the organizations can not take for granted that their employees have gained IT security knowledge or know how to act more security aware. IT security education, IT security knowledge and IT security is mentioned as three factors that can affect IT security. Three research questions were intended to be answered within this research with the purpose to investigate if these factors increase each other. Three hypotheses were also forming the basis for answering the research questions. With a quantitative method and questionnaire this research reached out to 158 employees at different Swedish branches within machine manufacturing, advertising, municipal work and sales industry. Results showed that one of the three hypotheses was accepted and the other two hypotheses were not accepted. This result also gave answers to the research questions regarding that IT security education does not increase IT security knowledge, IT security knowledge does not increase IT security awareness but IT security education increases IT security awareness. IT security IT security education IT security knowledge IT security awareness IT security measures employees insider threats human factor Information Systems
74	Working from Home : The New Norm in a Post-COVID-19 World : Information and Cyber Security in the Digital Work from Home Environment Ringström, Sebastian January 2023 (has links) Work from Home (WFH) gained momentum as a result of the pandemic. When large portions of the world were under government mandated lockdowns, and forced to institute WFH, companies began to slowly realize that the WFH model come with significant benefits such as the possibility to reduce office space or obtaining access to talent globally. Employees too are incentivized to WFH as it allows them more freedom in where to live, reduce commuting costs, and allow employees to space out work during the day and better manage energy levels. The thesis investigated cybersecurity and information security risks connected to the WFH model through collecting qualitative data by conducting a systematic literature review to gain background knowledge on the topic which was then used to create the interview guide that was used to carry out semi-structured interviews with four heterogeneous Swedish companies of various sizes, working in different fields. The SLR identified social engineering attacks in general, and phishing attacks in particular, to be the greatest threat to employees working in a WFH model suggesting employee security awareness training to be the key security measure in protecting the WFH model. The semi-structured interviews revealed that companies working in a WFH model have also drawn the same conclusion and have made significant efforts to raise security awareness through employee training programs. Telework Work from Home WFH Remote Work Cybersecurity Information Security Incentives Cyberattacks Security Awareness Security Culture Information Systems
75	Faktorer som påverkar säkerhetsbeteende: En litteraturstudie utifrån UMISPC-modellen Segergren, Olof, Båtelsson, Herman January 2022 (has links) En av de säkerhetsrisker som företag i dagsläget måste ta hänsyn till är bristande säkerhetsbeteende hos anställda vid användande av informationssystem. Denna brist kan leda till incidenter där produktivitet går förlorad eller känslig data läcks. Detta gör att användarnas beteende och efterlevnad av säkerhetsriktlinjer blir ett viktigt ämne för företag och organisationer. Tidigare studier identifierar flera faktorer som bidrar till bättre eller sämre säkerhetsbeteende hos individer. UMISPC-modellen (“Unified Model of Information Security Policy Compliance”) skapad av Moody m.fl. (2018) är en ansats till att unifiera faktorer från flera teorier. De inkluderar enbart faktorer som de kunde stödja i ett specifikt kontext men misstänker att effekten av faktorer som de exkluderar kan stödjas i andra kontext. För denna uppsats utfördes en litteraturstudie där faktorer i existerande modeller identifieras och klassificeras in i de faktorer som UMISPC-modellen definierar. Litteraturstudien gjordes via söktjänsten Uppsalas universitetsbibliotek. Resultaten visade att flera av studiernas resultat stöder flera av de faktorer som Moody m.fl. (2018) inte fann stöd för. Dessa faktorer kan därför vara aktuella för framtida utökningar av UMISPC-modellen trots att de inte kunde stödjas av Moody m.fl. (2018). / One of the security risks companies of today have to consider is poor security behavior of employees while using information systems. These behaviors can lead to incidents where productivity is lost or sensitive data is leaked. This causes the users’ behavior and compliance with security guidelines to become an important subject for companies and other organizations. Earlier studies identified several factors contributing to better or worse security behavior of individuals. The UMISPC model (Unified Model of Information Security Policy Compliance) created by Moody et al. (2018) is an effort to unify factors from multiple theories. They only include factors for which they were able to find support in a specific context but suspect that the effect of factors they exclude can be supported in other contexts. For this essay, a literature study was performed where factors from existing models were classified into factors defined by the UMISPC model. The literature study was performed using the search engine provided by Uppsala’s university library. The result showed that several studies support the factors that Moody et al. (2018) did not find support for. These factors can therefore be valid for future extensions of the UMISPC model even though they could not be supported by Moody et al. (2018). Security behavior Security awareness IT-security Guidelines Policy UMISPC Säkerhetsbeteende Säkerhetsmedvetenhet IT-säkerhet Riktlinjer Policy UMISPC Information Systems
76	Åtgärder mot rådande nätfiskeattacker på sociala medier : En kvalitativ studie / Measures against prevailing phishing attacks on social media : A qualitative study Pan, Enming, Ahmad, Al-Asadi January 2022 (has links) Nätfiske på sociala medier kan få allvarliga konsekvenser för användare och organisationer. Det är dessutom en teknisk attack med en psykologisk aspekt som får mottagaren från ett nätfiskemeddelande att bete sig på ett specifikt sätt. Innehållet och leveransmetoden för nätfiskemeddelande kan förändras drastiskt. Forskarna avser att avgöra om nätfiske som en attack har förändrats över tid, hur och varför användare påverkas, användarnas säkerhetsmedvetenhet och tredje parts rekommendationer för skydd mot nätfiske. Kvalitativa strategier användes i denna studie främst för att fånga upp många variabler som kvantitativa strategier inte skulle göra, som att fånga upp respondenternas erfarenhet av nätfiske och ge ett nyanserat svar som bidrar till att besvara studiens forskningsfråga. Tema- och innehållsanalys användes i denna studie främst för att ge forskarna en systematisk arbetsprocess för att sålla och sortera data från primära och sekundära data. Dessa analysmetoder förenklade för forskarna vid bearbetning av data på grund av kodning, kategorisering och organisering av relevant data. Att jämföra primära och sekundära data kom med konsistens som fortfarande är utbredd idag. Alla respondenter och litteratur visar att alla budskap innehåller specifika faktorer som får offren att agera känslomässigt snarare än att tänka logiskt. Användare av sociala medier klickar ofta på okända länkar utan ytterligare övervägande eller ordentlig läsning. Studier har visat att nätfisketrenden har ökat på grund av hur billigt det är att skaffa de nödvändiga verktygen för att skicka nätfiskemeddelanden. Författarna har analyserat primärt och sekundärt datainnehåll i motåtgärder mot nätfiske för att sammanställa och uppdatera data för att presentera en lista över åtgärder mot aktuellt nätfiske. Författarens lista med vägledningar mot nätfiske kommer från resultaten av ackumuleringen av varje specifik studie, fragmenterad data och respondenternas syn på nätfiskesäkerhet. De viktigaste råden som författarna har identifierat innehåller tre vanliga teman som ett nätfiskemeddelande nästan alltid innehåller. Vissa, om inte alla, nätfiskemeddelanden kan innehålla följande brådska, girighet och rädsla. Genom att förstå dessa tre vanliga teman kan användarna bättre identifiera nätfiskemeddelanden. / Phishing on social media can cause severe consequences for users and organizations. It is also a technological attack with a psychological aspect that causes the receiver of a phishing message to behave in a specific manner. The content and delivery method of phishing messages can change drastically. The researcher intends to determine if phishing as an attack has changed over time, how and why users are affected, users' security awareness, and third party's recommendations for protection against phishing. Qualitative strategies were used in this study primarily to catch many variables that quantitative strategies wouldn't, such as finding respondents' experience of phishing and providing a nuanced response that contributes to answering the study's research question. Thematic and content analysis was used in this study primarily to give the researchers a systematic work process to sift and sort through data from primary and secondary data. These analysis methods simplified for the researchers when processing data due to coding, categorizing and organizing relevant data. Comparing primary and secondary data came with consistency that is still prevalent today. All respondents and literature show that all message contains specific factors that make victims act emotionally rather than thinking logically. Social media users often click unknown links without any further consideration or proper reading. Studies have shown that the phishing trend has increased due to how cheap it is to attain the necessary tools to send phishing messages. The authors have analyzed primary and secondary data content in countermeasures against phishing to compile and update data to present a list of measures against current phishing. The author's list of anti-phishing guidance comes from the results of the accumulation of each specific study, fragmented data, and respondents' views of phishing security. The essential advice the authors have identified contains three common themes a phishing message almost always contains. Some, if not all, phishing messages can contain the following urgency, greed, and fear. By understanding these three common themes, the users can better identify phishing messages. phishing security data compromise cyber criminals security awareness datamine I nätfiske säkerhet data kompromisser cyberkriminella säkerhetsmedvetenhet data skrapa Computer and Information Sciences Data- och informationsvetenskap
77	Har vi verkligen ett säkert beteende på internet? : En kvalitativ studie om hur användare hanterar lösenord på internet och varför de gör som de gör. / Is our behavior on Internet secure? : A qualitative study on how users manage their online password and why they do as they do Ahlqvist, Klas, Norell, Per-Ivar January 2022 (has links) Introduktion: För att kunna använda möjligheterna som internet erbjuder krävs i många fall ett användarkonto som identifierar och autentiserar användaren. En förutsättning för att det ska vara säkert är att ingen annan har tillgång till användarens kontouppgifter, vilket ställer krav på att användaren har komplexa och unika lösenord. Syfte: I denna studie har vi undersökt vilken kunskap användare har kring säkra lösenord, hur de agerar samt undersökt varför de agerar som de gör. Metod: Studien är genomförd som en kvalitativ intervjustudie med 12 respondenter i varierande ålder och bakgrund. Resultat: Våra resultat visar att användarens kunskaper ofta bygger på äldre, ej längre aktuella, rekommendationer. De har även bristande kunskaper om vad en lösenordsgenerator eller lösenordshanterare är och hur de fungerar. Kunskapsbristerna, kombinerat med önskan om att det ska gå snabbt, medför att användarna ej genomför korrekta hot- och konsekvensbedömningar av riskerna på internet. Diskussion/Slutsats: Kunskaperna hos användarna behöver höjas för att minska riskerna de utsätter sig för. Teknikutvecklingen går fort och ökad kunskap och medvetenhet krävs för ett säkert agerande på internet. / Introduction: An account, that identify and authorize the user, is nowadays almost a condition for the user’s ability to use the many services Internet provides. If the account shall remain safe, only the user should have access to the user account. The user needs to create unique and complex passwords. Aim: In this study we have examined the end-user’s knowledge regarding safe passwords, how they act. We have also examined why they act as they do. Method: This qualitative study was made through interviews with 12 respondents of varying age. Results: Our findings show that the user’s knowledge often is based on older recommendations. They also lack knowledge about what a password generator, or a password manger, is and how they work. The lack of knowledge combined with a high wish of swift Internet usage leads to inadequate threat and impact assessments of Internet risks. Conclusion: The end-user’s knowledge, regarding security online needs to be improved, to reduce their risk exposure. The development of technology is moving fast so a raised awareness is mandatory for a safe Internet behavior. Internet security Passwords Security awareness. Security behavior User accounts Användarkonton Internetsäkerhet Lösenord Säkerhetsbeteende Säkerhetsmedvetande Computer Sciences Datavetenskap (datalogi) Computer and Information Sciences Data- och informationsvetenskap
78	Impact of organizational culture on on information security : A case of SMEs in Nigeria Elehinle, Eniola January 2024 (has links) Purpose: This thesis explores the impact of organizational culture on information security culture in small and medium-sized enterprises (SMEs) in Nigeria. It primarily examines the culture that can be improved within the SMEs to improve information security. Being a pioneer study for Nigeria, the study focuses more on identifying the existing organizational culture and information security culture subjected to three areas: knowledge, attitude, and behavior. Organizational culture continues to be an influencing factor in Information security. With SMEs just like other organizations continue to be affected by the negative consequences of cybersecurity attacks, this research aims to understand the role organizational culture plays in information security culture with a case study of small scale and medium businesses in Nigeria. Design: The research follows the implementation of two frameworks the OCAI and ISCF to diagnose the existing culture within SMEs in Nigeria and to also identify the existing security culture. The research answers the question of how organizational culture impacts security culture. The research method follows a qualitative approach with interviews conducted in three SMEs at their managerial level. Interview questions were designed based on the designed assessments of the OCAI framework and the ISCF. Ethical Considerations:: Interviews were conducted with consent and anonymity provided for participants. Also no details identifying a particular company was published. The interviews were analysed to come to a logical conclusion. Findings: Organization culture plays a role in strengthening the information security culture of an organization. The bulk of the direction of the organization rests upon the leadership and management. SMEs being smaller in size and close knitted need to pay attention to the unintended gap the dominate culture might be breeding information security and make an effort for change management. Originality: The study opens up a new body of knowledge within the Nigerian Cyber security body and amongst SMEs aiming to bring to light the impact of culture and how this can be leveraged to improve information security. Information security culture organizational culture information security culture framework information security awareness Information Systems, Social aspects
79	Informationssäkerhet på ett företag inom dagligvaruhandeln Caspersson, Helen January 2024 (has links) Alla människor är beroende av mat. Sverige har en god livsmedelsindustri där sista steget är dagligvaruhandeln som hjälper till att Sveriges befolkning får mat på bordet. I och med att digitaliseringen ökat i vårt samhälle har det även senaste åren rapporterats i media om dataintrång riktade mot företag i Sverige. 2021 fick Coop stänga ner sina butiker då kassasystem slutade fungera på grund av en utpressningsattack mot leverantören av mjukvaran till kassasystemen som företaget använder. Ökningen av dataintrång i Sverige har lett till att det blir allt viktigare att skydda informationen hos företagen. Information spelar en stor roll i en organisations affärsverksamhet där informationen kommer i kontakt med både teknik och människor. Det gör att ett aktivt informationssäkerhetsarbete är viktigt för att säkerhetsställa konfidentialiteten, integriteten och tillgängligheten hos företagets information. Genom en kvalitativ studie bestående av intervjuer med ledning och medarbetare på ett företag inom dagligvaruhandeln studerades hur företaget förhåller sig och arbetar med informationssäkerhet. Resultatet från intervjuerna analyserades genom att använda en tematisk analys där teman identifieras ur empirin. Resultaten av studien analyserades och diskuteras utifrån teorin med fokus på informationssäkerhetspolicys, säkerhetsmedvetenhet och organisationskultur. Slutligen diskuteras vikten av utbildning och träning för att öka säkerhetsmedvetenheten i företagets organisationskultur. / All humans need food. Sweden has a well functioning food industry, where the final step in the chain is the grocery trade and where the people can buy their food. As digitalization has increased in our society there have also been reports in the media in recent years about ransomware attacks on companies in Sweden. In 2021 the grocery chain Coop had to close their stores when their cash register system stopped working because of a ransomware attack against the supplier of the software of the system for the company’s cash registers. The increase of computer breaches in Sweden has made it increasingly important to protect the information at companies. The information plays an essential role in an organization's business processes where it comes in contact with both technology and people. This means that active information security work is important to ensure the confidentiality, integrity and availability of the organization’s information. With the use of a qualitative study consisting of interviews with the management and employees of a company in the grocery trade a study was performed on how the company relates to and works with information security. The result from the interviews was analyzed using thematic analysis where themes were identified from the collected data. The results from the study were analyzed and discussed based on the theory with focus on information security policies, security awareness and organizational culture. Lastly the importance of education and training to increase the security awareness in the company’s organizational culture was discussed. information security security awareness human factors information security policy organizational culture grocery trade informationssäkerhet säkerhetsmedvetenhet mänskliga faktorn informationssäkerhetspolicy organisationskultur dagligvaruhandeln Information Systems
80	Informationssäkerhetsrisker och organisatoriska sanktioner vid användandet av privata smarta enheter i Försvarsmakten : En studie om användning av privata smarta enheter Persson, Tobias, Andersson, Emil January 2020 (has links) Denna uppsats undersöker intentionen att använda smarta enheter i tjänst hos personal i Försvarsmakten, som är en organisation med högt behov av verksamhetssäkerhet. Verksamhetens säkerhet är direkt beroende av hur personal inom verksamheten agerar utifrån ett säkerhetsperspektiv. Syftet är att belysa hur Försvarsmakten förmedlar informationssäkerheten kring smarta enheter och hur personalen påverkas utifrån det. Det empiriska materialet har samlats in genom en kvalitativ fallstudie i form av semistrukturerade intervjuer med två olika grupper. Resultatet analyseras med hjälp av ett teoretiskt ramverk bestående av Protection Motivation Theory (PMT) och General Deterrence Theory (GDT) i syfte att belysa vad det är som avgör personalens beteende. Teorierna utgår från att beteendet påverkas av rädsla för sanktioner eller för hot mot verksamhet och individ. Resultatet visar att aspekter från de båda teorierna är närvarande hos personalen och att det som påverkar den enskildes agerande beror på vilken information organisationen delgett och individernas personliga uppfattningar. Personalen är medveten om de risker som följer av användningen av smarta enheter, men enheterna används ändå i stor utsträckning. Faktorer som spelar in i intentionen är kunskapsnivån, befattningen individen besitteroch arbetsområdet individen verkar inom. / This paper examines the intention to use smart devices by staff in the Swedish Armed Forces,which is an organization with a high need for operational security. The security of the business isdependent on how staff within the business behave, in a security perspective. The purpose is toelucidate how the Swedish Armed Forces conveys information security regarding smart devicesand how their staff are affected. The empirical material has been collected through a qualitativecase study in the form of semi-structured interviews with two different groups. The results areanalyzed using a theoretical framework consisting of Protection Motivation Theory (PMT) andGeneral Deterrence Theory (GDT) in order to elucidate what determines the behavior of the staff.The theories are based on the fact that behavior is affected by fear of sanctions or threats to thebusiness and individuals. The result shows that aspects in both theories are present in the staffbehavior. What influences the individual's actions depends on what information the organizationhas shared and the personal perceptions of the individuals. Factors that play into the intention arethe level of knowledge, the position the individual possesses and the area of work the individualoperates within. Smart devices Operations security Information security Information security awareness General Deterrence Theory Protection Motivation Theory Swedish Armed Forces. Smarta enheter Verksamhetssäkerhet Informationssäkerhet Information security awareness General Deterrence Theory Protection Motivation Theory Försvarsmakten Information Systems, Social aspects

Search results