Initiativ, regelefterlevnad, policyer och riktlinjer… : En kvalitativ studie om informationssäkerhet och mätpraktiker i svenska offentliga organisationer.

Jonsson, Sandra, Ekström, Vidar

January 2023

Informationssäkerhet är ett ämnesområde som berör hur olika typer av information ska hanteras på ett säkert sätt. En av de större utmaningarna berör hur de individer som arbetar med informationssäkerhet ska förmås att följa de regler, riktlinjer och rutiner som etablerats. Studien syftar till att studera detta fenomen närmare, och framförallt undersöka det uppföljande arbetet som sker kring de insatser som görs. Det görs inom en kontext av offentliga organisationer. Forskningsfrågan är: Hur arbetar svenska offentliga organisationer med (1) efterlevnad av riktlinjer inom informationssäkerhet och (2) hur mäts eller utvärderas detta? Studiens empiri består av 10 semistrukturerade intervjuer med centralt placerade personer från olika offentliga organisationer, samtliga med ansvar för verksamhetens informationssäkerhet. Data har analyserats med hjälp av teoribildning om organisatoriska rutiner varvid tre övergripande teman har identifierats: säkerhetsarbete, förändring och utvärdering. Studiens diskussion klargör att eftersom arbetet med efterlevnad av informationssäkerhet till stor del handlar om att utveckla rutiner som svarar mot de organisatoriska behoven måste praktiken ges ett tydligt företräde framför teorin. Det är med andra ord nödvändigt att utvärderingar och mätningar utformas så att dessa ges möjlighet att fånga upp faktiska förhållanden och inte endast policyer och riktlinjer. / Information security is a field that describes how different types of information should be handled in a secure manner. One of the major challenges concerns how the individuals working with information security should be encouraged to follow the rules, guidelines and routines which have been established. The study aims to study this phenomenon more closely, and above all, to examine how the different efforts made are evaluated. This is done within the context of public organisations. The research question is: How do Swedish public organisations work with (1) compliance with information security guidelines and (2) how is this measured or evaluated? The study's empirical data consists of 10 semi-structured interviews with centrally located people from different public organisations, all of whom are responsible for the organisation's information security. The data has been analysed with the help of theory of organisational routines whereby three themes have been identified: security work, change, and evaluation.  The study's discussion clarifies that since information security compliance work is largely about developing routines that respond to organisational needs, practice must be given clear precedence over theory. In other words, it is essential that assessments and measurements are designed to capture actual conditions and not just policies and guidelines.

Information security

compliance

measurement and evaluation

public sector

organisational routines

Informationssäkerhet

efterlevnad

mätning och utvärdering

offentlig sektor

organisatoriska rutiner

Information Systems, Social aspects

Business Administration

Företagsekonomi

Informationssäkerhetsmedvetenhet inom mikro- och småbolag : Medvetenhetsåtgärder hos svenska mikro- och småbolag inom IT-branschen / Information security awareness in micro and small companies.

Vukovic, Alexander, Samet, Özcelik

January 2022

All organizations, regardless of size, are affected by information security awareness. Information security awareness is an important component, especially for organizations in the IT industry, to be able to respond to new cyber threats but also comply with requirements and regulations for handling customer data. The purpose of the study is to improve awareness-raising measures used by Swedish micro and small companies in the IT industry to increase information security awareness among employees. The study is performed through semi-structured interviews and then analyzed using the Grounded theory-method. The study highlights the awareness measures used in the IT industry and how they are used among companies to make employees aware of information security. In addition, the companies' underlying motives for their choice of awareness measure and their perspective on adapting the measure are examined. The study's conclusions present recommendations that can be used by micro and small companies in the IT industry to improve their awareness-raising measures. The study highlights the importance of adapting training measures, but also that companies should present reality-based scenarios to employees. In addition, it is also emphasized that incentives should be used by information security officers for employees to ensure compliance. / Alla organisationer, oavsett storlek påverkas av informationssäkerhetsmedvetenhet. Medvetenhet om informationssäkerhet är en viktig komponent i synnerhet för organisationer inom IT-branschen för att kunna bemöta nya cyberhot men också efterleva krav och regleringar för hantering av kunddata. Syftet med studien är att förbättra medvetenhetshöjande åtgärder som används av svenska mikro- och småbolag inom IT-branschen för att öka informationssäkerhetsmedvetenheten bland anställda. Studien utförs genom semistrukturerade intervjuer och analyseras sedan med hjälp av Grundad teori-metoden. Studien synliggör vilka medvetenhetsåtgärder som används inom IT-branschen och hur de används bland bolagen för att göra anställda medvetna gällande informationssäkerhet. Dessutom framgår bolagens bakomliggande motiv för deras val av medvetenhetsåtgärd samt deras perspektiv på anpassning av åtgärd. Studiens slutsatser presenterar rekommendationer som kan användas av mikro- och småbolag inom IT-branschen för att förbättra deras medvetenhetshöjande åtgärder. Studien lyfter fram betydelsen av anpassning av utbildningsåtgärder, men även att bolagen bör presentera verklighetsförankrade scenarier till de anställda. Därtill framhävs även att incitament bör användas av informationssäkerhetsansvariga till anställda för att säkerställa efterlevnad.

Information security

information security awareness

awareness measures

training measures

compliance

IT industry

micro and small companies

Informationssäkerhet

informationssäkerhetsmedvetenhet

medvetenhetsåtgärder

utbildningsåtgärder

efterlevnad

IT-branschen

mikro- och småbolag

Information Systems

Mot En Grön Framtid : En intervjustudie om implementering av CSRD hos svenska organisationer

Shadman, Hossain, Simon, Sultan

January 2024

This study examines the implementation of the EU's new sustainability directive, the Corporate Sustainability Reporting Directive (CSRD), within Swedish organizations. The CSRD aims to enhance transparency in sustainability reporting by requiring organizations to disclose their environmental and social impacts. The study employs a qualitative methodology with semi-structured interviews with key personnel from various large companies, as well as consultants, to gain insights into how organizations adapt to the requirements set by the CSRD. The empirical material has been analyzed using a theoretical framework based on institutional theory. The findings show that organizations primarily focus on complying with the CSRD by improving their reporting processes and adapting their digital infrastructure to manage data collection and analysis. CSRD is seen as a driving force for integrating sustainability within organizations. Key challenges include decentralized data sources, difficulties in measuring Scope three emissions, and the increased administrative burden. The study concludes that the companies are in the early stages of CSRD implementation and must continue to develop their reporting routines to fully meet the directive's requirements. Future research should investigate the long-term effects of CSRD compliance on organizations' sustainability practices and performance. / Denna studie undersöker implementeringen av EU:s nya hållbarhetsdirektiv, Corporate Sustainability Reporting Directive (CSRD), inom svenska organisationer. CSRD syftar till att öka transparensen i hållbarhetsrapporteringen genom att kräva att organisationer redovisar sin miljömässiga och sociala påverkan på samhället. Studien använder en kvalitativ metod med semistrukturerade intervjuer med nyckelpersoner från olika stora företag samt konsulter för att få insikter kring organisationers anpassning till kraven som CSRD ställer på organisationerna. Det empiriska materialet har analyserats med hjälp av det teoretiska ramverket som består av teorier från den institutionella teorin. Resultaten visar att organisationer främst fokuserar på att följa CSRD genom att förbättra sina rapporteringsprocesser och anpassa sin digitala infrastruktur för att hantera datainsamling och att CSRD är en pådrivande faktor för att integrera hållbarhet inom organisationerna. Centrala utmaningar inkluderar decentraliserade datakällor, svårigheter att mäta Scope tre utsläpp och den ökade administrativa bördan. Studien drar slutsatsen att organisationer befinner sig i ett tidigt skede av CSRD-implementeringen och måste fortsätta att utveckla sina rapporteringsrutiner för att fullt ut uppfylla direktivets krav. Framtida forskning bör undersöka de långsiktiga effekterna av CSRD-efterlevnad på organisationernas hållbarhetspraxis och prestationer.

CSRD

sustainability reporting

data collection

digital infrastructure

institutional theory

legitimacy

CSRD

hållbarhetsrapportering

datainsamling

digital infrastruktur

institutionell teori

organisatorisk efterlevnad

Business Administration

Företagsekonomi

Information Systems, Social aspects

Social Sciences Interdisciplinary

Mänskligt beteende - ett ofrånkomligt hot mot informationssäkerhet?

Swartz, Erik

January 2021

Information har idag kommit att bli så viktigt att det av många aktörer kallas för den nya digitala oljan, och med anledning av just detta är information idag en av de främsta tillgångar en organisation kan besitta. För att skydda informationen lägger organisationer massiva summor pengar på tekniska och fysiska åtgärder. Tillsammans med dessa åtgärder utfärdas även interna bestämmelser och riktlinjer för hur IT-system och information får eller inte får hanteras. Trots detta sker både intrång och andra säkerhetsrelaterade incidenter som kan härledas till mänskligt felaktigt beteende, eller den så kallade mänsklig faktorn. I den här uppsatsen har därför författaren gjort en djupdykning i ämnet för att studera vilka samband som kan finnas mellan beteendevetenskapliga teorier och efterlevnad av informationssäkerhet. Med kvalitativa metoder har bland annat litteraturstudier genomförts för att ta reda på vilka teorier som är mest relevanta i sammanhanget. Intervjuer har sedan nyttjats för att bredda författarens uppfattning om vilka faktorer som kan påverka mänskligt beteende. De personer som intervjuats har bland varit yrkesverksamma som säkerhetschefer, säkerhetskyddshandläggare och ledande forskare inom det specifika området.

Information security

compliance

security culture

human behavior

general deterrence theory

protection motivation theory

social learning theory

neutralization techniques

Informationssäkerhet

efterlevnad

säkerhetskultur

mänskligt beteende

general deterrence theory

protection motivation theory

social learning theory

neutralization techniques

Computer and Information Sciences

Data- och informationsvetenskap

Information Systems, Social aspects

Human Aspects of ICT

Mänsklig interaktion med IKT

Adoption of New Technology for Identifying Money Laundering : An Exploration of Artificial Intelligence’s Usability in Banks to Combat Money Laundering and Terrorist Financing / Anta ny teknik för identifiering av penningtvätt : Utforskning av AI:s användbarhet i banker för bekämpning av penningtvätt och finansiering av terrorism

Hagopian, Patrik, Persson, Axel

January 2024

As money laundering is a global threat, with approximately US$800 billion to US$2 trillion being laundered yearly, it is important to come up with new and stronger solutions to combat illicit activities. Among the most exploited entities for money laundering are financial institutions, and more specifically banks. Therefore, the purpose of this thesis has been to investigate the usability of Artificial Intelligence (AI) as a decision-maker in the Anti-Money Laundering (AML) department to combat money laundering and terrorist financing. Moreover, the main research question was to explore the usability of AI as a decision-maker within AML operations. To enable this, an important aspect was to understand what regulatory and compliance requirements are demanded on AI from the AML departments. Thereafter, it was necessary to understand AI’s technical functionalities to facilitate the department’s daily operations. The literature review presented the fundamentals of AML and their precautionary actions. Furthermore, in the second phase of the literature review, the fundamentals of AI were investigated. Lastly, a combination of the topics of AML and AI were reviewed to identify techniques that the AML department can implement. Moreover, the methodology of the thesis consisted of a qualitative research design with an inductive approach. In the findings, a framework was constructed from the obtained results (second order themes). Subsequently, those themes were further developed into aggregated dimensions, which were extensively elaborated on in the conclusion. Thereafter, the dimensions were categorized into either the compliance criteria or the functional criteria. Also, the dimensions were presented in the order of priority based on how critical they are. To answer the main research question, AI is usable in the AML department as a decision-maker when considering the aggregated dimensions. Essentially, AI can successfully be implemented into the AML department’s daily operations when all the dimensions are achieved. / Då penningtvätt är ett globalt hot, där det uppskattas att det årligen tvättas 800 miljarder till 2 biljoner amerikanska dollar, är det viktigt att komma med nya och motståndskraftigare lösningar som bekämpar illegala verksamheter. Finansiella institutioner är bland de mest utsatta enheterna för penningtvätt, däribland banker som är mest exponerade. Därför var syftet med masterexamensarbetet att undersöka användbarheten av artificiell intelligens (AI) som beslutsfattare på avdelningen som bekämpar penningtvätt och finansiering av terrorism. Vidare var huvudfrågeställningen att utforska användbarheten av AI som beslutsfattare inom arbetsuppgifterna för avdelningen som bekämpar penningtvätt. För att möjliggöra detta var en viktig aspekt att förstå vilka lagstadgade- och efterlevnadskrav som ställdes på AI från avdelningen som bekämpar penningtvätt. Därefter måste man förstå AI:s tekniska funktioner för att underlätta avdelningens dagliga verksamhet. I litteraturstudien presenterades de grundläggande faktorerna för bekämpning av penningtvätt och deras försiktighetsåtgärder. Vidare i den andra fasen av litteraturstudien undersöktes de grundläggande faktorerna för AI. Slutligen granskades litteratur som behandlade en kombination av ämnena bekämpning av penningtvätt och AI för att identifiera tekniker som avdelningen för bekämpning av penningtvätt kan implementera. Dessutom bestod masterexamensarbetet av en kvalitativ forskningsdesign med en induktiv forskningsprocess. I resultatdelen framställdes ett ramverk utifrån de erhållna resultaten (andra ordningens teman). Därefter utvecklades dessa teman vidare till aggregerade dimensioner, som beskrevs utförligt i slutsatsen. Därpå blev dimensionerna kategoriserade i antingen efterlevnadskriterier eller funktionella kriterier. Dimensionerna presenterades även i prioritetsordning baserat på deras kritiska innebörd. Studien föreslog att AI är användbart på avdelningen som bekämpar penningtvätt som beslutsfattare när de aggregerade dimensionerna tas i beaktning. I huvudsak kan AI framgångsrikt implementeras i avdelningens dagliga verksamhet för att bekämpa penningtvätt när alla dimensioner har uppnåtts.

AI

AML

Decision-Maker

Compliance

Anomaly Detection

Transaction Monitoring

Alert Classification

Machine Learning

Black box

XAI

AI

bekämpning av penningtvätt

beslutsfattare

efterlevnad

detektering av avvikelser

transaktionsmonitorering

varningsklassificering

maskininlärning

svart låda

förklarbar AI

Other Engineering and Technologies

Annan teknik

Economics and Business

Ekonomi och näringsliv

Streamlining Certification Management with Automation and Certification Retrieval : System development using ABP Framework, Angular, and MongoDB / Effektivisering av certifikathantering med automatisering och certifikathämtning : Systemutveckling med ABP Framework, Angular och MongoDB

Hassan, Nour Al Dine

January 2024

This thesis examines the certification management challenge faced by Integrity360. The decentralized approach, characterized by manual processes and disparate data sources, leads to inefficient tracking of certification status and study progress. The main objective of this project was to construct a system that automates data retrieval, ensures a complete audit, and increases security and privacy.  Leveraging the ASP.NET Boilerplate (ABP) framework, Angular, and MongoDB, an efficient and scalable system was designed, developed, and built based on DDD (domain-driven design) principles for a modular and maintainable architecture. The implemented system automates data retrieval from the Credly API, tracks exam information, manages exam vouchers, and implements a credible authentication system with role-based access control.  With the time limitations behind the full-scale implementation of all the planned features, such as a dashboard with aggregated charts and automatic report generation, the platform significantly increases the efficiency and precision of employee certification management. Future work will include these advanced functionalities and integrations with external platforms to improve the system and increase its impact on operations in Integrity360.

Certification Management

Automation

Certification Retrieval

ABP Framework

Angular

MongoDB

Credly API

Exam Information

Exam Vouchers

Authentication

Role-Based Access Control

Data Retrieval

Audit

Security

Privacy

Efficiency

Accuracy

Scalability

Maintainability

Domain-Driven Design

Software Development

User Interface

Data Encryption

HTTPS

Input Validation

Identity Management

Audit Logging

Cybersecurity

Education

Training

Employee Certification

Study Progress

Centralized Platform

Data Integration

Consolidated View

Graphs

Bar Charts

Manual Data Entry

Information Silos

Decision Making

Compliance

Industry Standards

Partner Levels

Financial Penalties

Reputation Damage

Business Opportunities

NoSQL Database

Unstructured Data

Semi-structured Data

Software Architecture

Layered Architecture

Presentation Layer

Application Layer

Domain Layer

Entities

Value Objects

Aggregates

Repositories

Domain Services

Data Transfer Objects (DTOs)

Business Logic

Domain Semantics

Modern Web Applications

User Authentication

Authorization

Audit Logging

Dynamic Web Applications

Component-Based

TypeScript

Type Safety

Code Quality

Maintainability

Active Community

Charts

Graphs

Secure Submission

LeptonX Lite

Responsive Design

Navigation Sidebar

Menu Bar

Tabs

Table

Attributes

Properties

Buttons

Modal Dialogs

Profile Settings

System Admin Panel

Account Management

Permissions

System Settings

Certifikathantering

Automatisering

Certifikathämtning

ABP Framework

Angular

MongoDB

Credly API

Examinformation

Examenvouchers

Autentisering

Rollbaserad åtkomstkontroll

Datahämtning

Granskning

Säkerhet

Integritet

Effektivitet

Noggrannhet

Skalbarhet

Underhållbarhet

Domändriven design

Programvaruutveckling

Användargränssnitt

Datakryptering

HTTPS

Indata validering

Identitetshantering

Granskningsloggning

Cybersäkerhet

Utbildning

Träning

Medarbetarcertifiering

Studie Framsteg

Centraliserad plattform

Dataintegration

Konsoliderad vy

Grafer

Stapeldiagram

Manuell datainmatning

Informationssilos

Beslutsfattande

Efterlevnad

Branschstandarder

Partnernivåer

Ekonomiska påföljder

Ryktesskada

Affärsmöjligheter

NoSQL-databas

Ostrukturerad data

Semistrukturerad data

Programvaruarkitektur

Skiktad arkitektur

Presentationslager

Applikationslager

Domänlager

Entiteter

Värdeobjekt

Aggregat

Repositories

Domäntjänster

Dataöverföringsobjekt (DTO)

Affärslogik

Domänsemantik

Moderna webbapplikationer

Användarautentisering

Auktorisering

Granskningsloggning

Dynamiska webbapplikationer

Komponentbaserad

TypeScript

Typsäkerhet

Kodkvalitet

Underhållbarhet

Aktiv gemenskap

Diagram

Grafer

Säker inlämning

LeptonX Lite

Responsiv design

Navigering Sidofält

Menyrad

Flikar

Tabell

Attribut

Egenskaper

Knappar

Modala dialogrutor

Profilinställningar

Systemadministratörspanel

Kontohantering

Behörigheter

Systeminställningar

Software Engineering

Programvaruteknik