Efterlevnad av informationssäkerhetspolicyer inom svenska kommunala förvaltningar

Claesson, Theo, Derneborg, Nathanael

January 2023

Cyberattacker blir allt vanligare och inget pekar på att denna trend kommer att vända.Samtidigt är vi mer beroende av våra IT system än vi någonsin varit, och att förlorakontrollen över dessa kan få förödande konsekvenser. En betydande majoritet avlyckade cyberangrepp mot organisationer börjar med snedsteg bland personalen. Informationssäkerhetspolicyer finns till för att motverka dessa angrepp och stärkaorganisationers informationssäkerhet. En av nyckeldelarna för att dessa ska varaeffektiva är att efterlevnaden är god bland personalen. Studiens syfte är därför attundersöka vilka aspekter som påverkar efterlevnaden och med insamlade data kommamed rekommendationer och förslag för förbättrad hantering och kommunikation avinformationssäkerhetspolicyer. Data samlades in i kommunala förvaltningar viasemistrukturerade intervjuer med 14 respondenter. Intervjudata kodades ochanalyserades för att komma fram till de slutliga resultaten. Genom intervjuerna undersöktes personalens ISP medvetenhet, hur de kommunicerasoch hur ofta de repeteras. Samma gäller för utbildningar sett till informationssäkerhet.Den insamlade data visar att personalen förstår vikten av den säkerhetsklassadeinformationen de har tillgång till på deras arbetsplats. Utbildning och repetition av dessaär bristfällig på de flera av kommunerna medan personalen är positivt inställda till ökadrepetition och utbildning. Studiens slutsats lägger fram rekommendationer över hur kommuner i Sverige kanarbeta för att uppnå förbättring av personalens efterlevnad avinformationssäkerhetspolicyer.

Informationssäkerhet

ISP

informationssäkerhetsmedvetenhet

informationssäkerhetspolicy

cybersäkerhet

kommuner

efterlevnad

utbildning

förvaltningspersonal

it-säkerhet

Engineering and Technology

Teknik och teknologier

Onboarding i en hybrid arbetsmodell : En kvalitativ studie om hur chefer utformar och genomför onboardingprocesser inom en hybrid arbetsmodellskontext / Onboarding in a hybrid work environment : A qualitative study on how managers design and implement onboarding processes in a hybrid work environment context

Nyberg, Emilia

January 2024

Föreliggande uppsats syftade till att undersöka och analysera hur chefer inom hybrida arbetsmodellerutformar och genomför onboarding av nya medarbetare, samt att utforska de attityder som chefernauppvisar gentemot en hybridbaserad onboardingprocess. En hybrid arbetsmodell kännetecknas av enorganisationsstruktur som kombinerar distansarbete med fysisk närvaro på arbetsplatsen. Under desenaste åren har hybrida arbetsmodeller blivit alltmer framträdande och accepterade på arbets-marknaden. Forskning indikerar att det är eftersträvansvärt för organisationer att tillhandahålla eneffektiv onboarding att främja nya medarbetares organisationssocialisation. Det identifierades enbetydande kunskapslucka inom forskningsfältet avseende hur onboardingprocesser inom en hybridarbetsmodell utformas. Genom semistrukturerade intervjuer med tre chefer inom en kommunalorganisation utforskades vilka strategier och metoder som används för att utforma och genomföraonboardingprocesser inom hybrida arbetsmodeller, samt vilka fördelar och nackdelar som chefernaassocierar med hybridbaserad onboarding. Det empiriska datamaterialet som samlades in bearbetadesoch analyserades genom en tematisk analys som antog en kombinerad induktiv och deduktiv ansats.Resultaten av den tematiska analysen indikerade att det förekom betydande variationer avseende huronboardingprocesser inom hybrida arbetsmodeller utformas och genomförs. Det noterades att onboard-ingprocessen är dynamisk och kan anpassas efter varje verksamhets unika behov och struktur. Encentral slutsats som drogs var att enbart för att en verksamhet tillämpar en hybrid arbetsmodell innebärdet inte onboardingen är hybridbaserad. Vidare indikerade resultatet att det förekom varierandeattityder gentemot hybridbaserad onboarding bland chefer. Trots dessa variationer i tillvägagångssättenoch attityder antyder studien att alla chefer strävar mot ett gemensamt mål med onboardingprocessen:att underlätta nya medarbetares integration till verksamheten och organisationen.

Organisationssocialisation

Organisatoriska socialiseringstaktiker

The 6 C’s of onboarding

Efterlevnad

Klargörande

Förtroende

Anslutning

Kultur

Återkoppling

Social Sciences

Samhällsvetenskap

Corporate Sustainability Reporting Directive: En kraft att räkna med? : En kvalitativ studie om hur CSRD driver hållbarhetsrapportering

Metsik, Linda, Djurestad Wikander, Emelie

January 2024

Syftet med denna studie är att undersöka hur företag har införlivat CSRD i sin hållbarhetsrapportering innan lagen trätt i kraft och hur CSRD driver förändringar i hållbarhetsrapporteringen. Undersökningen har utförts med hjälp av textanalys på hållbarhetsrapporter från bolag inom fastighetsbranschen. Totalt analyserades åtta bolag. Resultatet av undersökningen visar att hållbarhetsrapporterna har en tydlig ESG-struktur och ämnen som biologisk mångfald och cirkulär ekonomi har fått större utrymme. Det framkommer också att bolagen tillämpat EU:s taxonomiförordning och dubbel väsentlighetsanalys om än med varierande resultat. Undersökningen visar att CSRD syns som mest i strukturen och införandet av dubbel väsentlighetsanalys, men även  när det kommer till innehållet i rapporterna. Slutstasen är att direktivet har en egen kraft och är med och formar hållbarhetsrapporteringen tillsammans med bolagen. Med hjälp av direktivet kan bolagen vara proaktiva. Det är alltså inte bara direktivet i sig som agerar på hållbarhetsrapporterna, utan får också hjälp av bolagens engagemang och skapar därmed en slags benchmarking för hur hållbarhetsrapportering ska se ut och förstås.

CSRD

performativitet

efterlevnad

hållbarhetsrapportering

Economics and Business

Ekonomi och näringsliv

Business Administration

Företagsekonomi

Nedskrivningsprövning av goodwill enligt IAS 36 punkt 134 : En jämförande studie mellan Sverige och Nederländerna

Jaferzadeh, Rebin, Karlsson, Ronny

January 2024

Since 2005, listed companies within the EU have been subject to common regulatory frameworks. With the introduction of IAS 36 paragraph 134, several countries have had to adapt to the new regulations to increase harmonization and comparability in accounting. This study investigates how two member states in the EU (Sweden and the Netherlands) adapted to the new regulations established by the IASB, which is the body that has received approval from the EU as an international standard setter.IAS 36 paragraph 134 was part of IASB's improvement projects regarding the impairments of goodwill and intangible assets with indefinable useful life. The goal of IAS 36 paragraph 134 was to increase the clarity and requirements regarding information on goodwill. The standard means that the companies are forced to provide information on impairment tests by detailing the management of goodwill in the form of disclosure requirements. Previously, companies were able to write off goodwill systematically, but after the change of IAS 36, they instead need to conduct annual impairment tests on Goodwill. The previous research has shown a reasonably weak compliance between the countries, which decreased interest in research during the present. The purpose of the study was to investigate how well Swedish and Dutch listed companies comply with the standard IAS 36 paragraph 134. The study used collected annual reports from 2022 where 40 companies were included in the survey, 20 Swedish and 20 Dutch. After the implementation of a chi-square test, the study concluded that there was no significant difference in the level of compliance between the countries. The results showed that both countries had a high level of compliance of IAS 36 paragraph 134, which can be explained by the countries' high adaptation to the new regulations. This study mentions several decisive factors to the high compliance with the standard.

Goodwill

IFRS

IAS 36

punkt 134

nedskrivningsprövning

efterlevnad

Business Administration

Företagsekonomi

Vårdanställdas efterlevnad av informationssäkerhetspolicys : faktorer som påverkar efterlevnaden / Health care professionals' compliance with information security policies : variables influencing the compliance

Franc, Karolina

January 2014

Informationssäkerhet är ett område som kommit att sättas alltmer i fokus hos organisationer. Tidigare har främst tekniska lösningar för att skydda viktig information fått uppmärksamhet, det är först på senare tid som informationssäkerhet har börjat uppfattas som ett komplext område som innefattar såväl tekniska, som organisatoriska och mänskliga faktorer. För att eftersträva en god informationssäkerhet inom organisationen bör ett grundligt arbete läggas på att utveckla informationssäkerhetspolicys och säkerhetsansvariga måste kontinuerligt utbilda och skapa medvetenhet hos anställda kring vilka hot som finns mot organisationen ifall informationssäkerhetsbestämmelser inte efterlevs. Huvudsyftet i föreliggande studie har varit att undersöka vilka faktorer som styr anställdas efterlevnad av informationssäkerhetspolicys. Ytterligare delsyfte har varit att undersöka hur den faktiska efterlevnaden av informationssäkerhetsbestämmelser avspeglar sig inom två vårdverksamheter i Landstinget i Östergötland. För att uppfylla studiens syfte har fallstudier genomförts där såväl observationer som intervjuer med personal legat till grund för datainsamlingen. Resultatet visar att säkerhetsmedvetandet och efterlevnaden av säkerhetsbestämmelser inom de undersökta organisationerna är tämligen god, men det finns skillnader i graden av efterlevnad. Resultaten visar att anställda i viss mån hoppar över säkerhetsbestämmelser för att effektivisera sitt arbete. Den vanligaste säkerhetsbestämmelsen som visade på bristande efterlevnad var att en del anställda slarvade med att logga ut eller låsa datorn då denna lämnades oövervakad. Faktorer som visat sig vara avgörande för ifall säkerhetsbestämmelser efterlevs eller inte är bland annat ifall den anställde anser att beteendet övervakas, hur väl medveten man är kring konsekvensen av att säkerhetsbestämmelser inte efterlevs, samt hur stor sannolikhet man anser det vara att hotet realiseras. Ytterligare faktorer som visat sig spela roll är ifall den anställde anser att säkerhetsbestämmelsen ligger i konflikt med andra intressen, såsom effektivitet eller bekvämlighet. För att kunna införa effektiva policyåtgärder krävs det därmed att policyutvecklare förstår vad som motiverar anställda till att följa säkerhetsbestämmelser och vilka värderingar som ligger bakom deras beteende. / Information security has grown into a field of study that has gained increasingly attention within organizations. In the early days focus of the field has primerly been on technical solutions in order to protect information. Only recently information security has come to be seen as a complex area including both technical, organizational and human factors. In order to strive for a high degree of information security within the organization, emphasis has to be placed on developing a functional information security policy. Just as important is that security managers continually educate and create awareness amongst employees with regards to existing threats if information security rules are not respected. The main purpose in regards to this study has been to investigate the determinants of employees' compliance with information security policies. A further aim of the study has been to examine how the actual compliance of information security regulations is reflected in two healthcare clinics in the county council of Östergötland. In order to fulfill the purpose of the study, case studies were carried out in the clinics, where both filed studies and interviews with staff members formed the basis for data collection. The results show that security awareness and compliance with safety regulations within the surveyed organizations are fairly good, but there are differences in the level of compliance. The results show that employees to some degree overlook safety rules in order to make their work more efficient. The most common security rule that showed non-compliance was where employees occasionally did not logg off or lock the computer as it was left unattended. Determinants that showed to have an influence on whether or not employees comply with information security policys are among other factors to what extent the employee belives that the behavior is being monitored, awareness about conseqences from not complying with the security rules, as well as to what extent one belives that the actual threat occurs. Additional determinants that were found to have an influence on the actual behavior with regards to compliance is to what extent the employee considers the regulations to be in conflict with other interests, such as efficiency or convenience. In order to introduce effective policy measures knowledge is needed where policy makers understand what motivates employees to comply with safety rules, as well as the values that underlie their behavior.

Sociala förhållanden och uppförandekoder - Hur tar textila företag sitt ansvar?

Balchman, Rebecca, Fransén, Josefin

January 2016

I dagens samhälle är Corporate Social Responsibility (CSR) ett omtalat och aktuellt ämne. Det främjar hållbar utveckling och innefattar det ansvar som företag förväntas ta för sin samhällspåverkan ur socialt-, miljömässigt- och ekonomiskt perspektiv. I takt med att allmänhetens intresse för CSR växer, ökar pressen att företag ska implementera och aktivt arbeta med dessa frågor. Vidare efterfrågas en tydlig redovisning av arbetet för att företagsintressenter ska kunna ta del av informationen. Denna uppsats syftar till att belysa den sociala aspekten av CSR med fokus på textila företags uppförandekoder samt uppföljning och efterlevnad av dessa. Den empiriska undersökning som ligger till grund för uppsatsens resultat baseras på en kombination av litteraturstudie, kvalitativa intervjuer med nyckelpersoner på två svenska fallföretag i textilbranschen samt interna dokument från företagen så som års- och hållbarhetsredovisningar, uppförandekoder och pressmeddelanden. Litteraturstudien gav till följd en undersökningsmodell med åtta områden som enligt forskning har inverkan på företags utformande av CSR-arbete. Genom övrigt empiriskt material undersöktes hur de utvalda företagen såg på detta. Resultatet av denna studie mynnar ut i en modell som visar hur de olika områdena inom CSR påverkar företags uppföljningar av uppförandekod samt efterlevnad av dessa.

CSR

Uppförandekod

Uppföljning

Efterlevnad

Värdegrund

Varumärke

Geografiskt avstånd

Kulturella skillnader

Utbildning

Yttre påtryckningar

Transparens

Redovisning av hållbarhetsarbete

Kommunikation

Informationssäkerhetsarbetet hos svenska IT-konsultbolag : En flerfallstudie med fokus på informationssäkerhetspolicies

Holmgren, Alexander, Aretakis, Andreas

January 2017

Syftet med denna flerfallstudie är att granska Svenska IT-konsultbolags informationssäkerhetspolicies (ISP). Vissa forskare argumenterar att införandet av en ISP är den allra viktigaste säkerhetsaspekten för en organisation. Studiens metodologiska ansats är en flerfallstudie baserad på kvalitativa djupintervjuer, tidigare forskning och ITkonsultbolagens ISP:s. Resultaten har analyserats och jämförts med hur en ISP bör implementeras för att klassas som effektiv enligt olika standarder. Resultaten visar att ITkonsultbolag tenderar att hänvisa till de anställdas egen ansvarskänsla istället för att implementera en felfri ISP. Organisationerna förväntar sig att anställda har ett genuint intresse för IT-säkerhet vilket därmed kan vara en orsak till att organisationer inte värderar sin ISP högre. Samtliga respondenter ansåg trots detta att den mänskliga faktorn är det största hotet mot IT-säkerheten.

Informationssäkerhetspolicy

IT-konsultbolag

IT-säkerhet

Utbildning

Efterlevnad och Kontrollering.

Information Systems, Social aspects

Efterlevnad av informationssäkerhetspolicy i en kommunal verksamhet

Sydner, Karin, Lindell, Fredrik

January 2019

Många företag klarar sig inte i dagsläget utan någon form av IT-stöd. Stora mängder informat-ion används och lagras i organisationers dagliga arbete. Viss information behöver skyddas från obehörig tillgång eller användning. Ett av de största hoten mot organisationers information som lätt förbises är dess egna anställda. Anställda i en organisation arbetar dagligen med information och är i mest kontakt med den. Något som uppmärksammats av MSB och andra tredje parter som undersökt svenska kommuners säkerhet är att det har visat sig att den är, om något, under-målig. En informationssäkerhetspolicy är en form av styrdokument som används för att an-ställda ska veta vad som förväntas av dem och hur dem ska skydda informationen. För att en informationssäkerhetspolicy ska vara effektiv så måste de anställda inom organisationen efter-leva den. Uppsatsen består av en undersökning av hur efterlevnaden av informationssäkerhets-policyn ser ut på en kommunal verksamhet. Utifrån theory of planned behavior undersökte vi hur attityd till beteendet, subjektiv norm och upplevd kontroll av det egna beteendet påverkar en individs intention att utföra ett visst beteende. Genom semistrukturerade intervjuer och doku-mentanalys drogs slutsatserna att trots att ingen av respondenterna blivit introducerade till in-formationssäkerhetspolicyn så efterlever de den bra.

informationssäkerhetspolicy

efterlevnad

kommun

theory of planned behavior

policy

Information Systems, Social aspects

Lösenordshantering vid svenska sjukhus

Gisle, Olivia, Nilsson, Joel

January 2018

Syftet med denna uppsats är att ta reda på hur svenska sjukhus efter lever de riktlinjer som finns om lösenordshantering. För att ta reda på detta har riktlinjer och forskning samlats in om området som har jämförts med vårdpersonals svar om efterlevnad som skickats ut. Områden som behandlades var delning, sparande, byten och styrka av lösenord samt om de anställda blev informerade om riktlinjer gällande lösenordshantering på arbetsplatsen. Efter analys av resultatet nåddes slutsatsen att lösenordshantering efterlevandes olika bra beroende på vilket område det gällde. Lösenordens styrka var generellt bra och de byttes ofta, men informerande av de anställde, sparande och delning av lösenord skedde inte enligt de riktlinjer som finns. / The purpose of this essay is to find out whether or not Swedish hospitals follow the available guidelines regarding password management. To find out the answer guidelines and previous studies were collected and compared to answers about following password guidelines made by employees at participating hospitals. Areas that were covered were, sharing, saving, changing and strength of passwords and if the employees had been informed about the guidelines regarding password management at the workplace. After analysis of the result the conclusion was made that whether or not the hospitals followed the guidelines depended on the covered area. The strength of the passwords were generally good and they were changed often, but informing the employees about guidelines, saving and sharing of passwords did not follow the guidelines.

hospital

password

following guidelines

password management

sjukhus

lösenord

efterlevnad av riktlinjer

lösenordshantering

Information Systems

Efterlevnad av riktlinjer hos emittenter av gröna obligationer

Lindström, Oscar, Oskarsson, Hampus

January 2021

Den gröna obligationen som finansiellt instrument har de senaste åren haft en kraftigt ökad efterfrågan och tillväxt, varför gemensamma riktlinjer för emittenterna tagits fram, “The Green Bond Principles”. Tidigare studier visar att ett viktigt problem kvarstår. De riktlinjer som tagits fram är som de benämns, enbart riktlinjer. Företagen kan välja att följa dem eller inte eller tolka dem på sitt eget sätt. Frivilligheten i riktlinjerna kan även skapa så kallad “Greenwashing”. Företeelsen är inte bara ett problem för klimatet utan även för finansieringsformen. Denna studie har genom kvalitativ fallstudie av sex svenska emittenter sökt skapa förståelse för hur dessa företag presenterat sin klimatomställning och även analyserat hur företagen behandlat och efterlevt de riktlinjer som finns. Resultatet visar att riktlinjerna följs i stort men ett fallstudieföretag har påvisat brister i efterlevnaden. Riktlinjerna behöver därför utvecklas ytterligare för att säkra ett fortsatt förtroende och en legitimitet för finansieringsformen, vilket kan öka omställningstakten och trygga både sunda emitterande och investerande parter. / The green bond as a financial instrument has in recent years had a sharp increase in demand and growth, which is why common guidelines for issuers have been developed, "The Green Bond Principles". Previous studies show that an important problem remains. The guidelines that have been developed are, as they are called, only guidelines. Companies can choose to follow them or not or interpret them in their own way. The optionality in the guidelines can also create so-called "Greenwashing". The phenomenon is not only a problem for the climate but also for the form of financing. Through a qualitative case study of six Swedish issuers, this study has sought to create an understanding of how these companies have presented their climate change and also analyze how the companies have treated and complied with the existing guidelines. The results show that the guidelines are largely followed, but a case study company has shown shortcomings in compliance. The guidelines therefore need to be further developed to ensure continued confidence and legitimacy in the form of financing, which can increase the pace of change and secure both sound issuing and investing parties.

green bonds

compliance

guidelines

financing

reporting

gröna obligationer

efterlevnad

riktlinjer

finansiering

rapportering

Business Administration

Företagsekonomi

Economics and Business

Ekonomi och näringsliv