Hantering av IT-incidenter : En fallstudie på ICAs IT-avdelning Operations

Lindström, Lena-Maria, Karlsson, Anna, Wretlund, Magnus

January 2008

<p> </p><p><strong>Date: </strong>2008-10-06</p><p><strong></strong></p><p><strong>Level: </strong>Bachelor thesis within Information Technology and business economics, 15p, EIK021</p><p><strong></strong></p><p><strong>Authors:</strong> Anna Karlsson, akn05009@student.mdh.se</p><p>Lena-Maria Lindström, llm05002@student.mdh.se</p><p>Magnus Wretlund, mvd05001@student.se</p><p><strong></strong></p><p><strong>Tutor: </strong>Marie Mörndal</p><p> </p><p><strong>Title: </strong>Managing IT-incidents, a case study at ICAs IT department                            Operations</p><p><strong></strong></p><p><strong>Keywords:</strong> IT-incident management, IT-incident management process, IT-incident, ITIL, CCTA</p><p> </p><p><strong>Problem: </strong>An organization can benefit by having an established management process of handling IT-incidents. But how can this be achieved? Are there step-by-step procedures? What´s included in the management process of IT-incidents? Is the size of the organization relevant to which model is to be chosen? Can the work of the writers of this essay result in a recommendation of a specific model for IT-incident management? These questions lead to the following essay question; <strong>How are IT-incidents managed?</strong></p><p><strong>Purpose: </strong>The purpose of this thesis is to describe and discuss how IT incidents can be managed.</p><p><strong>Method:</strong> The writers of this essay have performed a case study at ICA, a Swedish food retail company. Eleven interviews with nine different persons have been carried out. The interviews are analyzed in the chapter called Resultat och analys.</p><p><strong>Conclusion: </strong>Our conclusion is that there are both similarities and differences in Dept. Operations´ management process for handling IT-incidents compared to what is stated in the CCTA-model. Another conclusion is that it is of highest importance for a business to implement a standard procedure for handling IT-incidents. The lack of such a model could result in e.g. financial losses.</p>

Informatics

Informatik

Hantering av IT-incidenter i vårdmiljö

Svedjerot, Pierré, Romoi, Maria

January 2006

<p>Hantering av IT-incidenter är ett växande problem då utvecklingen av datorsystem i företag växer fortare än vad själva organisationerna för att hantera dessa gör. I denna studie kommer IT-incidenter i Landstinget Gävleborg att undersökas. I denna miljö är det extra viktigt att IT-incidenterna behandlas på ett korrekt och effektivt sätt eftersom personers liv bokstavligt talat kan vara beroende av systemen. Trots detta finns inga övergripande rutiner för hur IT-incidenter skall hanteras. Genom gemensamma rutiner kan såväl data- som patientsäkerhet ökas. Genom intervjuer av ett antal nyckelpersoner och studier av de interna riktlinjerna hittades några faktorer som bidrar till att incidenthanteringen inte fungerar i alla faser av arbetet. En bidragande orsak kan vara att olika termer används för att beskriva oönskade händelser vilket gör att det råder oklarheter angående vad som skall rapporteras, även hur och till vem. En annan upptäckt är att uppföljningsarbetet i många fall saknas och i de fall det görs inte sker väldokumenterat och på ett strukturerat sätt. Att kategorisera incidenterna försvåras ytterligare eftersom medicinsk utrustning i många fall datoriserats och anslutits till datanätet.</p>

IT-incident

incidenthantering

systemförvaltning

patientsäkerhet

medicintekniska produkter

Computer science

Datavetenskap

Hantering av IT-incidenter i vårdmiljö

Svedjerot, Pierré, Romoi, Maria

January 2006

Hantering av IT-incidenter är ett växande problem då utvecklingen av datorsystem i företag växer fortare än vad själva organisationerna för att hantera dessa gör. I denna studie kommer IT-incidenter i Landstinget Gävleborg att undersökas. I denna miljö är det extra viktigt att IT-incidenterna behandlas på ett korrekt och effektivt sätt eftersom personers liv bokstavligt talat kan vara beroende av systemen. Trots detta finns inga övergripande rutiner för hur IT-incidenter skall hanteras. Genom gemensamma rutiner kan såväl data- som patientsäkerhet ökas. Genom intervjuer av ett antal nyckelpersoner och studier av de interna riktlinjerna hittades några faktorer som bidrar till att incidenthanteringen inte fungerar i alla faser av arbetet. En bidragande orsak kan vara att olika termer används för att beskriva oönskade händelser vilket gör att det råder oklarheter angående vad som skall rapporteras, även hur och till vem. En annan upptäckt är att uppföljningsarbetet i många fall saknas och i de fall det görs inte sker väldokumenterat och på ett strukturerat sätt. Att kategorisera incidenterna försvåras ytterligare eftersom medicinsk utrustning i många fall datoriserats och anslutits till datanätet.

IT-incident

incidenthantering

systemförvaltning

patientsäkerhet

medicintekniska produkter

Computer Sciences

Datavetenskap (datalogi)

Hantering av IT-incidenter : En fallstudie på ICAs IT-avdelning Operations

Lindström, Lena-Maria, Karlsson, Anna, Wretlund, Magnus

January 2008

Date: 2008-10-06 Level: Bachelor thesis within Information Technology and business economics, 15p, EIK021 Authors: Anna Karlsson, akn05009@student.mdh.se Lena-Maria Lindström, llm05002@student.mdh.se Magnus Wretlund, mvd05001@student.se Tutor: Marie Mörndal   Title: Managing IT-incidents, a case study at ICAs IT department                            Operations Keywords: IT-incident management, IT-incident management process, IT-incident, ITIL, CCTA   Problem: An organization can benefit by having an established management process of handling IT-incidents. But how can this be achieved? Are there step-by-step procedures? What´s included in the management process of IT-incidents? Is the size of the organization relevant to which model is to be chosen? Can the work of the writers of this essay result in a recommendation of a specific model for IT-incident management? These questions lead to the following essay question; How are IT-incidents managed? Purpose: The purpose of this thesis is to describe and discuss how IT incidents can be managed. Method: The writers of this essay have performed a case study at ICA, a Swedish food retail company. Eleven interviews with nine different persons have been carried out. The interviews are analyzed in the chapter called Resultat och analys. Conclusion: Our conclusion is that there are both similarities and differences in Dept. Operations´ management process for handling IT-incidents compared to what is stated in the CCTA-model. Another conclusion is that it is of highest importance for a business to implement a standard procedure for handling IT-incidents. The lack of such a model could result in e.g. financial losses.

Information Systems

Incidenthantering i molnmiljö

Nilsson, Niklas, Lindell, John, Möller, Linus

January 2012

Incident response plans are faced with new challenges as organisations expands to the cloud, this thesis aims to highlight these challenges and their potential solutions. Our work has focused on managing the incident response in contrast to earlier work that has been focusing on preventing them.As with any development, security is seldom prioritized. Instead the focus are often aimed towards usability and functionality, which means incident response plans are written, implemented, forgotten and finally becomes obsolete. This could result in an organization losing their ability to produce acceptable forensic images, avoid severe downtime, or prevent similar incidents in the future, which are all important parts of incident response.Traditional incident response plans does not address incidents in the cloud. Thus, an absence of guidelines for managing incidents in the cloud becomes apparent. By compiling literature and performing practical experiments, this thesis exposes weaknesses in traditional incident response plans and demonstrates a need for cloud-specific incident response plans.Based on the conducted experiments, we can conclude that with our cloud-specific incident response plan as a basis, a forensic recovery from a cloud instance can be done in such a way that privacy and confidentiality is maintained. The experiments have also provided a forensically sound method for connecting tools to a cloud instance, we call this approach "Virtual Incident Response Disk" (VIRD). / Incidenthanteringsplaner ställs inför nya utmaningar vid en expandering till molnmiljö, detta arbete ämnar att belysa de problem som uppstår vid hantering av incidenter i molnmiljö samt potentiella lösningar. Incidenthantering i denna nya miljö har inte behandlats i någon större utsträckning i tidigare arbeten då forskningens fokus har legat på att förhindra incidenter istället för att hantera dessa.Som med all utveckling är det lätt att säkerhetsarbetet hamnar på efterkälken till förmån för användarvänlighet och funktion. Detta visar sig ofta inom incidenthantering där planer för incidenthantering skrivs och implementeras för att sedan glömmas bort och sedermera bli förlegade. Detta kan medföra att en organisation förlorar förmågan att producera forensiskt godtagbara avbilder vilket är en viktig del av incidenthantering.Då incidenthanteringsplaner ämnade för traditionell servermiljö inte behandlar hanteringen av incidenter i molnmiljö fungerar det inte att applicera dessa på ny teknik såsom molnmiljö. Genom att sammanställa litteratur och utföra praktiska experiment har vi i detta arbete exponerat svagheter i traditionell incidenthantering och påvisat behovet av en molnspecifik incidenthanteringsplan.Utifrån våra utförda experiment kan vi konstatera att med vår molnspecifika incidenthanteringsplan som grund kan en forensisk utvinning från en molninstans ske på så sätt att bevisets integritet och konfidentialitet bibehålls. Baserat på erfarenheter utifrån våra experiment har även en forensiskt godtagbar metod för att ansluta verktyg till en molninstans arbetats fram, vi kallar detta tillvägagångssätt “Virtual Incident Response Disk” (VIRD).

Cloud

Cloud forensic

forensic

IaaS

Incident response

VIRD

Moln

Forensik

IaaS

Incidenthantering

VIRD

Computer Engineering

Datorteknik

Rutiner, rapportering och system avseende incidenthantering på Saab Aerospace / Routines, reporting and working procedures concerning incident handling at Saab Aerospace

Sjösten, Christian

January 2003

Säkerhetsincidenter kan vara av många olika typer, från IT-relaterade incidenter till inci-denter som påverkar exempelvis brandskyddet. På något sätt måste dessa incidenter tas om hand. Detta kan ske genom manuella procedurer eller med stöd av databaserade incident-hanteringssystem. Denna studie är utförd på Saab Aerospace i Linköping och behandlar primärt företagets hantering av incidenter. Jag har undersökt hur företaget bedriver säker-hetsarbete och hanterar säkerhetsincidenter både vad avser informationssäkerhet som jag anser är nära associerat med sekretess av information, men även säkerhet som är associerad till företagets anläggning (skalskydd). Företaget har planer på att implementera ett informationssystembaserat stöd för incident-hanteringen, ett incidenthanteringssystem. Det primära syftet med studien var att undersöka de olika intressenternas inställning till ett sådant system för att se om detta var något som efterfrågades eller om nuvarande hantering ansågs tillfredsställande. Säkerhetstänkandet inom företaget är högt, vilket till stor del beror på företagets känsliga inriktning med utveckling av bland annat militära stridsplan, och delar till dessa. Av den anledningen blir säkerhetsmomenten för att minimera risken för incidenter av betydelse. Viktiga moment som det arbetas med är incidenthantering, informationsklassning, loggning kontinuitetsplanering och säkerhetskopiering. Vad som framkom i studien var att nuvarande incidenthanteringsrutiner fungerar ostandar-diserat, osystematiskt och decentraliserat. Detta svar är dock generellt och några intressen-ter anser att det för dem fungerar tillfredsställande även om dessa också anser att det finns aspekter av incidenthanteringen som borde ses över. Med ostandardiserat menas att proce-durer varierar mycket mellan olika verksamhetsområden. Med decentraliserat avses att det inte finns någon övergripande funktion för sammanställning och hantering av incidenter, det är således ingen på företaget som har helhetsbilden av incidenthanteringen. Behov av att åtgärda ovannämnda problem finns, ett incidenthanteringssystem skulle såle-des kunna vara en möjlig lösning. Intressenterna är emellertid oense om att ett gemensamt incidenthanteringssystem är något som eftersträvas. Det framförs krav att ett sådant system skulle vara väl sektionerat till de olika verksamhetsområdena för att medarbetare endast ska kunna komma åt relevant information, något som även är bra ur en sekretess och behörig-hetsaspekt. Incidenthanteringssystemet skulle sedan kunna ha en övergripande funktion för sammanställning av incidentrapporter från de olika intressenternas verksamhetsområden.

Säkerhetsincident

incidenthantering

incidentrapportering

incidenthanteringssystem

informationssäkerhet

datasäkerhet

IT-säkerhet

Communication Systems

Kommunikationssystem

Information Systems

Utveckling av incidenthantering genom simulation : En fallstudie om hur simulationsbaserad processanalys kan nyttjas för utveckling av processen för incidenthantering / Improving incident management through simulation : A case study investigating the possibility to utilize simulation based process analysis to further develop the process of incident management

Grape, Andreas

January 2022

Offentlig verksamhet har historiskt legat i den digitala utvecklingens kölvatten. Delvis på grund av ett lägre intresse för effektivisering och lönsamhet, men också på grund av dess komplexitet i form av storlek, politiska förutsättningar och regulatoriska ramar. Denna utveckling har i olika grad börjat vända och offentlig verksamhet lägger allt större vikt vid intern utveckling och underhåll av digitala processer, vilket föranleder ett ökat intresse för hur metoder och verktyg som uppstått ur den privata sektorn, kan tillämpas inom offentlig verksamhet. Studien utgår från hur verktyg och metoder inom Business Process Management (BPM) tidigare använts i forskningssyfte för att förbättra processer inom offentlig sektor, också skulle kunna användas i ett fall av incidenthanteringsprocess i en medelstor svensk kommun. Denna fallstudie bygger på en kvalitativ metodansats för att få djupare insikt i processen och förstå sambandet mellan olika faktorer som påverkar möjligheten att nyttja simulationsbaserad processanalys enligt BPM. Resultatet visar på vilka förutsättningar som finns eller behövs för att använda simulationsbaserad processanalys, i syfte att förstå och vidare utveckla processen för incidenthantering i fallet. Det framgår av resultatet att en god grund finns för anammandet av verktyget, med potential att vidare utveckla processen i syfte att uppnå centrala nyckeltal. Resultatet visar också på relevanta nyckeltal att utgå från vid simulationer alternativt andra utvecklingssyften. Dock fanns processen ha vissa potentiella hinder, i form av begränsad loggning av de aktiviteter som utförs.

Business process management (BPM)

simulation

incidenthantering

nyckeltal

offentlig sektor

Information Systems

Kravställning på Incidenthanteringssystem / Requirements definition for an Incident Management System

Ahlqvist, Petter, Vagiström, Johan

January 2015

Användandet av IT relaterade tjänster har ökat kraftigt de senaste åren och visar inga tecken på att avstanna. Men i takt med att användningen ökar så ökar även riskerna, för vad händer egentligen när de IT-tjänster som så många företag och privatpersoner förlitar sig på plötsligt fallerar eller på annat sätt blir oåtkomliga? För att skydda sig mot sådana scenarier så blir det allt vanligare bland företag som driver IT-tjänster att använda sig incidenthantering, vars syfte är att genom fördefinierade processer återställa IT-tjänster till fungerande läge när en incident väl inträffar. För att implementera en incidenthanteringsprocess är det vanligt att verksamheter använder någon form av ramverk eller metod för att underlätta och effektivisera arbetet, i skrivande stund heter de mest använda ramverken ITIL och COBIT. Det är mycket vanligt att en incidenthanteringsprocess i en verksamhet bygger på någon form av system eller applikation vars syfte är att underlätta och effektivisera hanteringen av incidenter, ett sådant system benämns ofta som incidenthanteringssystemet. Trots att ramverk som ITIL och COBIT är använda i stor utsträckning världen över så uppstår det ett problem i att de båda saknar fokus på incidenthanteringssystemet och vad ett sådant system skall klara av. För när ramverken inte tar upp en sådan central del av incidenthanteringsprocessen så innebär det att den implementerande verksamheten själva måste lägga tid och resurser på att reda ut hur ett sådant system skall fungera. Denna studie adresserar problemet med att de vanligast använda ramverken för incidenthantering inte behandlar det, för processen, så centrala incidenthanteringssystemet genom att undersöka och besvara följande forskningsfrågor. Vilka implicita och explicita krav bör ett incidenthanteringssystem uppfylla?  Vilka krav på incidenthanteringssystemet går att utläsa från de mest använda ramverken för incidenthantering?  Hur matchar de framtagna kraven de krav som ställts av en verksamhet ur näringslivet? Denna studie riktar sig framförallt till de verksamheter eller individer som anser sig ha nytta av en sammanställning av de krav som ett incidenthanteringssystem bör uppfylla och kan fungera som ett stöd vid implementering eller inköp av ett nytt incidenthanteringssystem. Genom att identifiera kraven som ställs på ett incidenthanteringssystem utifrån de mest använda ramverken för incidenthantering så bidrar studien med resurser för implementationen av nämnt system drastiskt minskar. Samt genom att presentera ett konkret exempel, fallstudien, och jämföra det med kraven från ramverken bidrar studien med en referenspunkt för verksamheter att utgå ifrån när de implementerar eller köper ett nytt incidenthanteringssystem. / The use of IT-related services has increased massively over the past years and it shows no signs to stop. But alongside the usage increasing the risks also increases, because what will happen when the IT-services that so many rely upon suddenly cease to function, or in other ways become inaccessible? To protect against such scenarios it is increasingly more common for IT-service businesses to use incident management, whose purpose is to recover IT-services to their functional state, using predefined processes, should an event occur. It is common for IT-service businesses when implementing an incident management process to use some kind of framework or method to facilitate and streamline its work process, and as of writing this paper, the most used frameworks are ITIL and COBIT. It is very common for an IT-service business that in the incident management process develop a system or application whose purpose is to facilitate and streamline the incident management, and these are commonly referred to as Incident Management Systems. Even though ITIL and COBIT being widely used worldwide, there are some weaknesses in them, regarding Incident Management Systems, since both of the frameworks lack focus and depth of what an Incident Management System should manage. Such lack of focus and depth of a vital and central part of the Incident Management process, may prove expensive to IT-service businesses since the business needs to investigate what the system needs to manage, and how to manage it. This paper address the problem with ITIL and COBIT lack of focus and depth regarding the central part of the incident management process, the Incident Management System by investigating and reciprocate the following questions. Which implied and explicit requirements should an Incident Management System meet?  Which Incident Management System requirements can be found from the most used frameworks regarding Incident Management?  How well does the identified requirements match those requirements made by a real world company? The target audience for this paper is mainly IT-service business or individuals that considers themselves in need of a compilation of requirements that an Incident Management System should meet and can be used as a supporting tool when implementing or purchasing a new Incident Management System. By identifying requirements that an Incident Management Systems should meet from the most used framework regarding Incident Management, this paper will contribute with means for the implementation of the Incident Management System, reducing the costs for the investigation of demands of such a system. It will also present interested parties with a concrete example, the single case study, to compare with the requirements from the frameworks, contributing with a benchmark for IT-service business to start from when implementing or purchasing an Incident Management System.

Incident Management

Incident Management Systems

IT Frameworks

ITIL

COBIT

Incidenthantering

Incidenthanteringssystem

IT Ramverk

ITIL

COBIT

Computer and Information Sciences

Data- och informationsvetenskap

Informationssäkerhetsarbetet: Praktiskt och teoretiskt, vilka är skillnaderna?

Rådemar, Joakim

January 2014

No description available.

informationssäkerhet

informationssäkerhetsarbete

LIS

riskhantering

incidenthantering

kontinuitetsplanering

ledningens ansvar

kommunikation

SIS

ISO

Swedish Standards Organisation

International Standards Organisation

Information Systems

Webbaserat informationssystem för rapportering och analys av arbetsmiljöärenden : En studie ur systemperspektiv / Web-based information system for reporting and managing work environment occurrences : A study from a system perspective

Veiret, Ingrid

January 2019

Forskning visar att traditionella rotorsaksanalyser har begränsningar när det gäller att utreda händelser i komplexa system. För de komplexa system som utgör dagens moderna arbetsliv krävs att analyser sker på en övergripande systemnivå, organisationsnivå, där till exempel tekniska, organisatoriska och sociala faktorer som påverkar arbetssystemet beaktas. I takt med att rapporteringen av händelser och tillbud ökar blir mängden rapporter att hantera allt större, det krävs tekniska system och hjälpmedel för att bearbeta data. Är Informationssystem om Arbetsmiljö (IA) ett ärendehanteringssystem för att hantera enstaka ärenden eller går det att upptäcka trender och använda systemet förebyggande på en övergripande organisationsnivå i det systematiska arbetsmiljöarbetet? Syftet med studien var att visa om användningen av ett incidentrapporteringssystem ger ett företag möjlighet att analysera arbetsmiljöbrister ur ett systemperspektiv och på så sätt öka kunskapen om risker inom företaget. En kvalitativ fallstudie utfördes, på ett verkstadsföretag, med en abduktiv ansats med växling mellan empiri och teoretisk reflektion. Studien bygger på såväl data från IA-systemet som underlag från intervjuer av händelseansvariga på det studerade företaget samt en litteraturstudie. Analysen visar att IA-systemet stödjer analys ur ett Människa-Teknik-Organisation-perspektiv (MTO-perspektiv) men saknar en strikt taxonomi kopplad till förståelsen av bakomliggande orsaker till händelser. Det saknas stöd för att på ett tillförlitligt sätt analysera händelser på en övergripande system- eller organisationsnivå. Inkonsekvent kategorisering av incidentrapporter försvårar effektivt utnyttjande av incidentrapporteringssystem och utvärdering av analyser påverkas negativt. Ett alternativ skulle kunna vara att utöka IA-systemet med en textanalysdel som kan hantera fritext i databasen och söka efter nyckelord. Genom att kombinera fritextanalys med taxonomi kan trender påvisas ur en stor mängd data. / Research reveals traditional root cause analysis to have limitations when used to analyse incidents in complex systems. For complex systems like modern work life environment analysis is required to be carried out on overall system level, organisational level, where technical, organizational and social factors impacting the system of work are considered. As reporting of incidents and near misses are increasing, the corresponding number of reports to be handled are larger, which requires the assistance of technical systems in order to handle all data. Is Occupational Health and Safety Information System (IA-system) an incident reporting system just for single incidents or will it facilitate detection of trends to use the system for preventive actions on a higher organizational level to support systematic work environment management? The purpose of the study was to show whether the use of an incident reportingsystem gives a company the opportunity to analyse work environment deficiencies from a system perspective and thus increase knowledge about risks within the company. A qualitative case study was carried out, at a manufacturing company, with an abductive approach supported by switching between empirical and theoretical reflection. The study is based on data from the IA-system and interviews from people responsible for handling issues at the studied company as well as a literature study. The analysis shows that the IA-system supports analysis from a Human-Technology-Organization (HTO) perspective, but lacks a strict taxonomy linked to the understanding of underlying causes of incidents. There is no support to reliably analyses of incident at an overall system or organization level. Inconsistent categorization of incident reports makes effective use of incident reporting systems difficult and evaluation of analyses is adversely affected. A solution could be to expand the IA-system with a text analysis part that can handle free text in the database and search for keywords. By combining free text analysis with taxonomy, trends can be demonstrated from a large amount of data.

Reporting system

incident handling

IA-system

Analysis method

Systematic work environment management

manufacturing industry

HTO

Rapporteringssystem

incidenthantering

IA-systemet

analysmetod

systematiskt arbetsmiljöarbete

tillverkningsindustrin

MTO