Global ETD Search

211	Framework For Enabling Structured Communication of Security Vulnerabilities in the Production Domain in Industry 4.0 Michel, Hannes, Christensson, Emil January 2021 (has links) As industries are increasingly adapting to new technological trends for data collection and production efficiency, they are fulfilling the description of being part of the industry 4.0 (I4.0) paradigm. This swift development has led to unforeseen consequences concerning managerial and strategic aspects of security. In addition, threats and sophisticated attacks have increased, emphasizing a greater demand for information security management in the industrial setting. For smaller industrial manufacturers, information security management is not always available due the cost of resources, placing them in a challenging position. In addition, I4.0 introduces the area of OT/IT (Operational Technology and Information Technology) convergence, which is often heavily complex, creating the need for cross-competence. Furthermore, consequences from cyber attacks in the production domain can be catastrophic as they may endanger the safety and health of personnel. Thus, smaller manufacturing industries need to utilize existing resources to enable the prerequisites of managing security issues that may come with I4.0. Structuring and effectivizing the communication of security issues is needed to ensure that suitable competence can address security issues in a timely manner. The aspects of communication and competence are not addressed by current security standards and frameworks in the industrial context, nor are they equally applicable for smaller industrial organizations. This study aims to contribute to the research field of information security in I4.0 by investigating how security vulnerabilities should be communicated at a smaller manufacturing industry that does not have an information security management system. The framework is based on a traditional incident response information flow and was designed at a Swedish manufacturing industry through the narrative of OT or production personnel. OT and IT Convergence Risk Communication Vulnerabilities Manufacturing Industry Industry 4.0 Information Security Riskkommunikation Sårbarheter Tillverkningsindustri Industri 4.0 Informationssäkerhet Other Computer and Information Science Annan data- och informationsvetenskap Computer Systems Datorsystem
212	Internet of Things inom integrerad vård för äldre : En kvalitativ studie ur ett säkerhetsperspektiv / Internet of Things in integrated care for the elderly : A qualitative study from a security perspective Filip, Tomas, Kirill, Kobets January 2020 (has links) I samma takt som den äldre populationen i de flesta länder fortsatt växer så ökar efterfrågan för äldrevård. Samtidigt har Internet of Things (IoT) snabbt blivit ett av det mest välkända och omtalade begreppet kring företag och teknologi. Ett tillämpningsområde som IoT idag riktar sig mot är hälso- och sjukvården. IoT förväntas inom detta område kunna förse äldre med integrerad vård som i framtiden kan minska sjukvård och kostnader. Teknologins alla fördelar har dock även medfört nackdelar i form av nya säkerhetsattacker och sårbarheter i hälso- och sjukvårdssystemen. Problemet med IoT teknologin är att den i dagsläget inte stöds av adekvata åtgärder för sekretess och säkerhet. Syftet med studien var att undersöka hur frågor kring säkerhet påverkar utvecklingen av IoT lösningar riktade mot integrerad vård för äldre. Via semi-strukturerade intervjuer med fem informanter med erfarenhet och kompetens inom området för integrerad vård för äldre, IoT och säkerhet kunde empirin för studien samlas in. Vidare analyserades det empiriska resultatet tillsammans med litteraturen vilket resulterade i att ett antal faktorer som påverkar utvecklingen av IoT lösningar riktade mot integrerad vård för äldre identifierades. Resultatet för studien visar att faktorerna tid, ekonomi och användarvänlighet påverkar aktörers val av att prioritera funktionalitet före säkerhet under utveckling. Aktörer tvingas istället göra ett antal avvägningar och arbeta på olika sätt för att implementera tillräcklig säkerhet i sina IoT lösningar. Vidare visar resultatet att bristen på tydliga riktlinjer och standarder är en faktor som påverkar aktörers förenlighet med lagar och regler som ställer hårda krav på säkerheten. Utöver detta visar resultatet att det är viktigt att definiera ägandefrågan under utvecklingsstadiet eftersom frågan i dagsläget är otydlig och diffus. / As the elderly population in most countries continues to grow, the demand for elderly care is increasing. At the same time, the Internet of Things (IoT) has quickly become one of the most well-known and widely spoken concept of business and technology. One area of use that IoT is currently addressing is healthcare. In this area, IoT is expected to be able to provide the elderly with integrated care that in the future can reduce healthcare and costs. All the advantages of IoT have also brought disadvantages in the form of new security attacks and vulnerabilities in the health care systems. The problem with the IoT technology is that it is not currently supported by adequate privacy and security measures. The purpose of the study was to investigate how security issues affect the development of IoT solutions aimed at integrated care for the elderly. Through semi-structured interviews with five informants with experience and competence in the field of integrated care for elderly, IoT and security, the empirical data for the study could be collected. Furthermore, the empirical result was analyzed together with the literature, and a number of factors were identified that have influence on the development of IoT solutions aimed at integrated care for the elderly. The results of the study show that the factors of time, economy and user friendliness affect the actors' choice of prioritizing functionality before security during development. Instead, actors are forced to make a number of tradeoffs and work in different ways to implement adequate security in their IoT solutions. Furthermore, the results show that the lack of clear guidelines and standards is a factor that influences actors' compliance with laws and regulations that impose strict safety requirements. In addition, the results show that it is important to define the ownership issue during the development stage, as the issue is currently unclear and diffuse. Internet of Things IoT CIA Triad Security by design säkerhet informationssäkerhet integrerad vård för äldre Information Systems, Social aspects
213	En studie om hur väl svenska internetanvändare upptäcker phishing på svenska jämfört med engelska / A study on how well swedish internet users detect phishing in swedish compared to english Pettersson, Rickard January 2020 (has links) Denna studie har undersökt ett relativt outforskat område inom phishing; språkets inverkan på människors mottaglighet för phishing. Syftet med studien var att undersöka hur stor skillnaden är mellan hur bra svenska Internetanvändare kan upptäcka phishing-mejl på svenska jämfört med engelska. För detta ändamål skapades en webbenkät med 32 mejl på både svenska och engelska. De 32 mejlen delades in i fyra lika stora grupper baserat på mejlets typ och språk. Deltagarna blev sedan tillfrågade att kategorisera mejlen som antingen legitima eller phishing. Målgruppen för studien bestod av Internetanvändare mellan 18–81 år med svenska som modersmål. En kvantitativ metod tillämpades på frågeformuläret, varpå statistiska analyser användes för att besvara syftet med studien. Studiens resultat visar en signifikant skillnad (p = 0,039) mellan hur väl svenska Internetanvändare upptäcker phishing på svenska jämfört med engelska. Deltagarna identifierade felaktigt 20 % av de engelska phishing-mejlen och 17 % av de svenska phishing-mejlen som legitima. Resultatet visar svaga indikationer på att svenska Internetanvändare är bättre på att upptäcka phishing på svenska jämfört med engelska. Resultatet i studien visar även starka indikationer på att engelsk språkförmåga och IT-kompetens är betydande faktorer vid identifiering av engelska legitima mejl. Det fanns inga tecken som tyder på att dessa faktorer gjorde deltagarna bättre på att upptäcka engelska phishing-mejl. Däremot tyder resultatet på att deltagarna kan ha nyttjat icke-språkliga ledtrådar till att identifiera de engelska phishing-mejlen. / This study has examined a relatively unexplored area of phishing; the impact of language on people's susceptibility to phishing. The purpose of the study was to investigate how big the difference is between how well Swedish Internet users can detect phishing emails in Swedish compared to English. For this purpose, an online questionnaire was created containing 32 emails in both Swedish and English. The 32 emails were divided into four equally large groups based on the type and language of the email. Participants were then asked to categorize the emails as either legitimate or phishing. The target group of the study consisted of Internet users between the ages of 18 and 81 with Swedish as their native language. A quantitative method was applied to the questionnaire, whereupon statistical analyses were used to answer the purpose of the study. The results of the study show a significant difference (p = 0,039) between how well Swedish Internet users detect phishing in Swedish compared to English. The participants incorrectly identified 20% of the English phishing emails and 17% of the Swedish phishing emails as legitimate. This result shows a weak indication that Swedish internet users are better at detecting phishing in Swedish compared to English. Furthermore, the results strongly indicate that English language skills and IT-competence are important factors when identifying English legitimate emails. There were no signs indicating that those two factors made the participants better at detecting English phishing emails. However, findings in the study suggests that the participants may have used non-language cues to identify the English phishing emails. Anti-phishing information security phishing survey Anti-phishing enkät informationssäkerhet phishing Information Systems, Social aspects
214	Olika perspektiv på informationssäkerhet : En fallstudie på ett universitet Wallin, Emma, Andersson, Ellinor January 2022 (has links) Utbildningssektorn har sedan en tid tillbaka varit extra utsatt för cyberattacker, dels på grund av dess öppna nätverk och det stora antalet användare, men ofta också på grund av ett bristande informationssäkerhetsarbete (Wood 2014). Syftet med uppsatsen är att undersöka vad ett svenskt universitet och dess anställda har för uppfattning av informationssäkerhet samt om och i så fall hur dessa syner skiljer sig åt. Det med hjälp av teorin Technological frames (Orlikowski & Gash 1994). I studien har sex anställda och enheten för informationssäkerhet på universitetet intervjuats. Författarna har även utfört en deltagande observation vid en internutbildning i informationssäkerhet. Resultaten visar att de två grupperna bland annat har en samsyn om att människan är det största hotet för infektioner och attacker, att information i olika former är viktig att skydda, att den fysiska säkerheten samt lösenord är viktiga, att organisationen måste hitta en lagom nivå av informationssäkerhet och att ansvar för informationssäkerhetsutbildning för anställda främst ligger hos organisationen men att det trots allt också finns ett ansvar hos individen att själv ta reda på information. Det förelåg olika syner på huruvida phishing-mejl skulle raderas direkt eller rapporteras och vilka kommunikationsvägar som bör användas mellan enheten för informationssäkerhet och de anställda. De anställda hade dessutom en snävare syn på vad informationssäkerhet är jämfört med enheten för informationssäkerhet. / The education sector has recently been particularly exposed to cyber attacks, partly due to its open networks and the large number of users, but also due to a lack of information security (Wood 2014). The purpose of the thesis is to investigate what image a Swedish university and its employees have of information security and if these views differ, and in that case how. This study draws on the theory Technological frames (Orlikowski & Gash 1994). In the study, six employees and the information security unit at the university were interviewed. We also performed participatory observation during an internal course in information security. The results show that the two groups agree that humans are the biggest threat when it comes to cyber attacks, that information in various forms is important to protect, that physical security and passwords are important, that the organization must find a reasonable level of information security and that the organization should have the primary responsibility for information security training for employees, but that individuals also have a responsibility. There were different views on whether phishing emails should be deleted directly or reported. The views differ when it comes to which communication channels should be used between the unit of information security and the employees. The employees also had a narrower view of what information security is compared to the unit for information security. Information security Information Security Awareness ISA Information Security Training IST Technological frames Informationssäkerhet Information Security Awareness ISA Information Security Training IST Technological frames Information Systems
215	Granskning av konceptet ”Double Key Encryption” : En riskanalys utförd på en datakrypteringstjänst Brandt, Clemens, Mollgren, Theodor January 2023 (has links) Detta arbete bedömer risker associerade med implementeringen av en modifierad licensierad produkt, känd som Double Key Encryption (DKE), som tjänar till att kryptera interna dokument. DKE är en metodik framtagen av Microsoft, vilken kräver två nycklar för att dekryptera data. En av dessa nycklar innehas av tjänstägaren medan den andra tillhandahålls av Microsoft. En Managed Security Service Provider (MSSP) har givit uppdraget att utföra en riskanalys av deras befintliga DKE-tjänst för att identifiera potentiella sårbarheter och hot, vilka kan ha en inverkan på tjänstens prestanda och säkerhet. Analysen finner risker kopplade till tekniska säkerhetsbrister, underhåll och uppgradering av tjänsten, personalrelaterade risker, samt risker förknippade med användning.Studien identifierar totalt 10 olika hotscenarion, inklusive risk för stöld av DKE-nycklar, sårbarheter inom koden, möjlighet för attacker mot ohärdade DKE-servrar, samt risker associerade med underhåll och uppgradering av DKE-tjänsten. Andra risker inkluderar förlust av kunskap i samband med personalomsättning och användarrisker gällande potentiell överträdelse av lagar och regler. Riskutvärderingen genomförs genom att bedöma sannolikhet och konsekvens. Sannolikheten bedöms med hjälp av expertutlåtanden, medan konsekvensen bedöms baserat på potentiell skada på företagets rykte, ekonomisk påverkan och eventuella juridiska konsekvenser. Avslutningsvis kopplas identifierade risker till de tre grundläggande aspekterna av informationssäkerhet: konfidentialitet, integritet och tillgänglighet. En betydande mängd risker kategoriseras inom området för tillgänglighet, som utforskas ytterligare i arbetets diskussion. / The report assesses risks associated with the implementation of a modified licensed product ofMicrosoft’s Double Key Encryption (DKE), which serves to encrypt internal documents. DKE is a methodology developed by Microsoft that requires two keys to decrypt data. One key is held by the service provider while the other is provided by Microsoft. An MSSP has entrusted the authors with the task of conducting a risk analysis of their existing DKE service to identify potential vulnerabilities and threats that may impact the performance and security of the service. The analysis identifies risks related to technical security flaws, service maintenance and upgrades, personnel-related risks, and risks associated with usage. The study identifies a total of 10 risk scenarios, including risk of DKE key theft, vulnerabilities within the code, the possibility of attacks against non-hardened DKE servers, as well as risks associated with service maintenance and upgrades. Other risks include the loss of knowledge due to personnel turnover and user risks concerning potential violations of laws and regulations. The risk assessment is conducted by evaluating likelihood and consequences. Likelihood is assessed using expert opinions, while consequences are assessed based on potential harm to the company's reputation, financial impact, and potential legal consequences. In conclusion, the report links the identified risks to the three fundamental aspects of information security: confidentiality, integrity, and availability. A significant number of risks are categorized within the realm of availability. Double key encryption Encryption Case Study Risk Analysis Risk Assessment Information Security Kryptering Fallstudie Riskanalys Riskutvärdering Informationssäkerhet Engineering and Technology Teknik och teknologier
216	Cyberkrig under förstoringsglaset : En kvalitativ studie som utreder begreppet cyberkrig utifrån olika aspekter samt delger privata och statliga aktörers perspektiv på området. Ahlandsberg, Natalie, Berntsson, Lisa January 2023 (has links) I en alltmer digitaliserad värld blir den virtuella verkligheten lika viktig som den fysiska. Sverige ligger i framkant när det kommer till digitalisering, men samtidigt halkar landet efter i cybersäkerhet. Sammantaget kan det innebära att krig även kan förekomma i den virtuella verkligheten. I svensk media har begreppet cyberkrig fått en ökad uppmärksamhet men det har visat sig att begreppet inte har en gemensam definition i Sverige. Vilka anledningar ligger bakom det, hur kan cyberkrig alternativt definieras och hur förhåller sig begreppet cyberkrig till statliga myndigheter ur ett informations-och cybersäkerhetsperspektiv i en alltmer digitaliserad värld? Denna kvalitativa studie syftar till att utreda dessa frågetecken genom att delge privata och statliga aktörers perspektiv för att bidra med en fördjupad förståelse för begreppet cyberkrig. Studiens litteratur- och artikelstudie, samt semistrukturerade intervjuer ger en möjlighet att undersöka individuella perspektiv, doktriner och rapporter från olika myndigheter i både Sverige och internationellt. Utifrån resultatet i detta arbete dras slutsatsen att begreppet cyberkrig används i det offentliga rummet men att det inte nödvändigtvis brukas bland statliga aktörer och i formella sammanhang. Statliga aktörer såsom Försvarsmakten, MSB och FOI föredrar i stället att använda sig av begreppet cyberoperationer.Ett annat begrepp som visat sig vara fundamental för att kunna skapa en förståelse för begreppet cyberkrig är cyberdomänen. Författarna till detta arbete har tillsammans framställt en alternativ definition av cyberkrig enligt följande ”Cyberkrig innebär att en nation eller organisation inom cyberdomänen angriper eller försöker skada en annan nations digitala infrastruktur. Konsekvenserna ska kunna likställas med ett väpnat angrepp i enlighet med artikel 2(4) i FN-stadgan”. / In an increasingly digitalized world, the virtual reality is becoming as significant as the physical one. Sweden is at the forefront of digitalization, but at the same time, it is slipping behind in cybersecurity. Together, this may mean that warfare also can occur in virtual reality. The concept of cyberwarfare has received increased attention in Swedish media; however, it has become clear that the concept does not have a definition in Sweden. What are the reasons behind this, how can cyberwarfare be alternatively defined, and how does the concept of cyberwarfare relate to Swedish authorities’ defense work in an increasingly digitalized world? This qualitative study aims to investigate these questions by sharing the perspectives of private and state actors to contribute to a deeper understanding of the concept of cyberwarfare. This study’s literature and article study, as well as semi-structured interviews, provide an opportunity to examine individuals’ perspectives and other material such as doctrines and reports from various authorities in Sweden and internationally. Based on the results of this work, it is concluded that the concept of cyberwarfare is used in the public sphere, but not in a formal context and among state actors. State actors such as the Swedish Armed Forces, MSB, and FOI prefer to use the concept of cyberoperations. Another concept that has proved to be fundamental to creating an understanding of the concept of cyber war is the cyber domain. The authors of this study have defined cyberwarfare as when “a nation or organization in the cyber domain attacks or attempts to damage the digital infrastructure of another nation. The consequences must be equivalent to an armed attack following Article 2(4) of the UN Charter”. Cyberwarfare warfare cyberdomain cyberoperation cybersecurity information security Cyberkrig krigföring cyberdomän cyberoperation cybersäkerhet informationssäkerhet Information Systems, Social aspects
217	Nappar ditt företag på falskt bete? : En undersökning om hur små- och medelstora företag i Sverige skyddar sig mot phishing-mejl. Hägg, Filip, Johansson, Filip January 2023 (has links) Mängden phishing-mejl har ständigt ökat under de senaste åren, i synnerhet mot företag och organisationer. Syftet med denna studie är att undersöka hur små- och medelstora IT-mogna företag (SMF:er) i Sverige skyddar sig mot phishing-mejl, deras största utmaningar med detta, och hur de upplevt att deras utsatthet förändrats under de senaste åren. Genom denna undersökning har brister i hur SMF:erna skyddar sig identifierats och säkerhetsåtgärder som hanterar SMF:ernas utmaningar tagits fram. Data samlades in genom både litteraturstudie och semistrukturerade-intervjuer med sju respondenter från enskilda företag, där samtliga hade ansvar för någon del i informationssäkerhetsarbetet. Resultatet visar att verksamheterna skyddar sig främst genom att sprida information, medan enbart en minoritet av respondenterna utbildar sina anställda. Ingen av respondenterna hade någon policy som berör hantering av phishing, och användandet av grundläggande tekniska skydd är något som var en gemensam nämnare. Gällande utmaningar visar resultatet främst en svårighet i att upprätthålla medvetenheten bland de anställda, samt att identifiera vilka tekniska skyddslösningar som ska anpassas. Majoriteten av respondenterna upplever även en ökad utsatthet av phishing-mejl, vilket de flesta också tror kommer att öka i framtiden. Med den insamlade data från intervjuerna och befintlig litteratur har sedan en rekommendationslista med säkerhetsåtgärder tagits fram som bemöter de utmaningar som SMF:erna belyser. / The number of phishing emails has been constantly increasing in recent years, especially towards businesses and organizations. The purpose of this study is to investigate how small and medium-sized IT-mature enterprises (SMEs) in Sweden protect themselves against phishing emails, their biggest challenges regarding this, as well as how they perceive that their exposure to phishing emails has changed in recent years. Through this study, gaps in how SMEs protect themselves have been identified and as a result, a list of security measures that address the SMEs' challenges have been produced. Data was gathered by conducting a literature study in conjunction with semistructured interviews with seven respondents, all whom where from individual companies and had some responsibility for the information security work. The results show that all SMEs rely on information sharing as their primary method of protection against phishing emails, while only a small proportion invest in employee education. In addition, the SMEs use only basic technical security solutions and none of them have any dedicated policy for managing phishing. Regarding challenges, the results mainly show difficulties in maintaining awareness among employees and identifying which technical security solutions that should be adapted. Furthermore, most of the respondents perceive that the exposure to phishing emails has increased and believe it will continue doing so in the future. With the collected data from the interviews and the literature study, a list of recommended security measures has compiled which addresses the challenges highlighted by the SMEs. phishing phishing-emails social engineering social awareness education information security phishing phishing-mejl social engineering medvetenhetsutbildning informationssäkerhet Computer and Information Sciences Data- och informationsvetenskap
218	Hur ISO 27001 certifierade företag utvecklar sina anställdas Kunskap, Attityd och Beteende mot Informationssäkerhetsmedvetenhet / How ISO 27001 certified companies develop their employees´Knowledge, Attitude and Behavior towards Information Security Awareness Istiphan, Sebastian, Biller, Alexander January 2023 (has links) Många företag har idag ett stort ansvar att hålla information säker. Med människor som jobbar med informationen hos företag följer därför arbetet med att stärka informationssäkerhetsmedvetenheten, vilket kan göras genom att bland annat implementera ett ledningssystem för informationssäkerhet efter standarden ISO 27001. Det finns däremot flera sätt att påverka informationssäkerhetsmedvetenheten och bland dessa är det genom att påverka kunskap, attityd eller beteende. Denna studie har därför undersökt hur företag arbetar med dessa aspekter i ett företag certifierat genom ISO 27001. För studien har semistrukturerade intervjuer utförts hos ISO 27001-certifierade företag med vidare analys för att besvara studiens frågeställning. Resultaten visar att företagen enhetligt har ett stort fokus på kunskapsaspekten av arbetet med informationssäkerhetsmedvetenhet samt att beteende är något som sällan är problematiskt men följes upp med åtgärder beroende på incidenten. Slutsatserna som presenteras är rekommendationer som när applicerbara ökar informationssäkerhetsmedvetenheten hos företag. Studien har främst undersökt kunskap, attityd och beteende hos ISO 27001-certifierade företag i Sverige vilket gör att kulturella och dylika faktorer möjligtvis saknas, vilket kan påverka hur applicerbara rekommendationer är för företag utanför Sverige. / Many companies today have a big responsibility to keep their information secure. As there are employees working with information, there is also a need for improvement of the employee’s information security awareness. This can be done through implementation of a management system for information security of the ISO 27001 standard. There are multiple ways to improve the information security awareness and some of these are through improving the knowledge, attitude, and behavior of the employee. This study has investigated how companies that have an ISO 27001 certification improve their employee’s knowledge, attitude, and behavior. The study identified this improvement through a qualitative method using semi-structured interviews, where the respondents are employees at companies that are ISO 27001 certified, the interviewees answers were then analyzed to answer the study’s question at issue. The results show that the companies uniformly focus on the knowledge aspect of information security awareness and that behavior is rarely an issue but that in the case of an incident is investigated. The conclusion presents recommendations as to how companies can improve their employee’s knowledge, attitude, and behavior to information security. The study mainly studied the knowledge, attitude, and behavior of Swedish companies that are ISO 27001 certified, which makes cultural and similar factors are missing which might affect how applicable the recommendations are for companies outside Sweden. KAB Knowledge Attitude Behavior Information Security Awareness ISO 27001 Information Security. KAB Kunskap Attityd Beteende Informationssäkerhetsmedvetenhet ISO 27001 Informationssäkerhet. Information Systems
219	Betydelsen av informella processer i köpare-leverantörsrelationer vid offentlig upphandling av IT-säkerhetsprodukter / The role of informal processes within buyer-supplier relationships in public procurement of IT security Strömberg, Matilda, Gustafsson, Alexander January 2023 (has links) Contracts are the most common method of service delivery. The knowledge about how to effectively implement deliveries through contracts is limited. Therefore, the work examines the role of informal processes within buyer-supplier relationships in public procurement of IT security products in Sweden to better understand this issue. The work also highlights how different types of products, both simple and complex, affect the nature of these relationships. Additionally, information security is discussed as an adaptive and complex system, and transaction cost economics is presented as a theoretical framework for understanding buyer-supplier relationships in public procurement. Semi-structured interviews with decision-makers responsible for the procurement of IT security products were used to understand the subject. As a result, a gap in competence within IT security was identified in the public sector. Employees' technical expertise and informal relationships with suppliers can affect the objectivity of the procurement process. The results also demonstrate that informal relationships and individual perceptions can introduce subjectivity, despite the procurement process in Sweden being characterized by formal regulations and legally mandated objectivity. The work also discusses the role and influence of both formal and informal contracts, emphasizing the importance of informal control mechanisms such as authority and trust rather than price in the procurement of IT security products. The work highlights that informal control mechanisms are utilized to manage risks within the field of information security. To ensure an objective, efficient, and integrity-preserving procurement process, there is a need to address informal factors and promote transparent guidelines in public procurement of IT security products in Sweden. / Kontrakt är den vanligaste metoden för tjänsteleverans. Det råder delvis en brist på kunskap om hur man effektivt genomför leveranser genom kontrakt. Arbetet undersöker därför betydelsen av informella processer inom upphandling av IT-säkerhetsprodukter inom den offentliga sektorn i Sverige för att bättre förstå denna problematik. Arbetet analyserar specifikt köpare-leverantörsrelationer för IT-säkerhetsprodukter och diskuterar hur olika typer av produkter, både enkla och komplexa, påverkar dessa relationers karaktär. Dessutom diskuteras informationssäkerhet som ett adaptivt och komplext system samt transaktionskostnader som en teoretisk ram för att förstå köpare-leverantörsrelationer inom offentlig upphandling. Genom semistrukturerade djupintervjuer med beslutsfattare som är ansvariga för upphandling av IT-säkerhetsprodukter identifierar arbetet ett kompetensgap inom offentliga organisationer. Anställdas tekniska kompetens och informella relationer med leverantörer kan påverka objektiviteten i upphandlingsprocessen. Resultatet visar även att informella relationer och individuella uppfattningar kan introducera subjektivitet, trots att upphandlingsprocessen i Sverige präglas av formella regelverk och lagstadgad objektivitet. Arbetet diskuterar även rollen och inflytandet av både formella och informella kontrakt och betonar vikten av informella styrmekanismer, såsom auktoritet och tillit, snarare än pris vid upphandling av IT-säkerhetsprodukter. Arbetet påvisar att informella styrmekanismer används för att hantera risker inom informationssäkerhetsområdet. För att säkerställa en objektiv, effektiv och integritetsbevarande upphandlingsprocess betonas behovet av att hantera informella faktorer och främja transparenta riktlinjer inom offentlig upphandling av IT-säkerhetsprodukter i Sverige. Offentlig upphandling IT-säkerhet informationssäkerhet säkerhetsskyddslagen informella processer köpare-säljarerelationer inköp produktkomplexitet objektivitet Övrig annan teknik
220	Informationssäkerhet i en pandemivärld: En analys av omställningen till hemarbete Lerdell, Andrea, Rengholt, Emma January 2023 (has links) När COVID-19 pandemin slog till över hela världen i början av 2020 tvingades företag snabbt agera för att hantera medarbetarna och deras arbete. Denna studie undersöker hur företag hanterade informationssäkerhet när arbete flyttades från kontor till hem, och vilka lärdomar som kan dras för att identifiera framgångsfaktorer och fallgropar vid framtida hantering av krissituationer. En stor utmaning vid övergången till distansarbete var bristen på säkerhetsspecialister och utbildning inom säkerhet, samt en bristande förståelse för de risker som följer med hanteringen av företagsinformation och data. Syftet med studiens frågeställning ”Vilka lärdomar kan dras gällande informationssäkerhet från omställningen från kontor till hemarbete i samband med pandemin?” är att ge företag och organisationer en djupare förståelse och medvetenhet för att undvika tidigare misstag och ta efter andra företags framgångsrika metoder för hantering av krissituationer. Studien har utförts i form av en ansikte-mot-ansikte-undersökning och data har samlats in genom sju semi-strukturerade intervjuer. För att analysera den insamlade data har en tematisk analys genomförts. Resultaten av studien visat att förberedelser, hög medvetenhet och förståelse för säkerhet hos medarbetare, kontinuerlig utbildning, placering av säkerhetsansvariga på rätt plats och ett effektivt samspel mellan chefer och medarbetare markant ökar chanserna att hantera en krissituation utan större påverkan. / When the COVID-19 pandemic hit the world in early 2020, companies were forced to act quickly to manage employees and their work. This study examines how companies handled information security when work moved from the office to the home, and what lessons can be learned to identify success factors and pitfalls in future crisis management. A major challenge in the transition to remote work was the lack of security specialists and training in security, as well as a lack of understanding of the risks that come with handling company information and data. The purpose of the study's question "What lessons can be learned regarding information security from the transition from office to working from home in connection with the pandemic?" is to give companies and organizations a deeper understanding and awareness to avoid past mistakes and to imitate other companies' successful methods of handling crisis situations. The study has been carried out in the form of a face-to-face-survey and data has been collected through seven semi-structured interviews. To analyse the collected data, a thematic analysis has been carried out. The results of the study showed that preparation, high awareness and understanding of security among employees, continuous training, placement of security officers in the right place and an effective interaction between managers and employees significantly increase the chances of handling a crisis without major impact. Information security Pandemic Home work Remote work Human factors Technical factors Informationssäkerhet Pandemi Hemarbete Distansarbete Mänskliga faktorer Tekniska faktorer Computer Sciences Datavetenskap (datalogi)

Search results