Informationssäkerhetsmedvetenhet : En kvalitativ studie på Skatteverket i Linköping

Jutehag, Per, Nilsson, Torbjörn

January 2007

<p>Informationssäkerhet är något väldigt aktuellt i dagsläget då mer och mer information och arbetsuppgifter datoriseras. Det är därför viktigt att de som arbetar med datorer har en god informationssäkerhetsmedvetenhet. Denna studie är utförd på Skatteverkets kontor i Linköping genom främst ett antal intervjuer. Studien inriktar sig på personalens informations- säkerhetsmedvetenhet samt hur Skatteverkets åtgärder påverkar personalens informations- säkerhetsmedvetenhet.</p><p>Den teoretiska referensramen byggs till största del upp av teori kring informationssäkerhet och informations- säkerhetsmedvetenhet, samt även till viss del av organisationsteori. Teorin har sedermera fått utgöra hur informationssäkerheten bör se ut, generellt sett, i en organisation. Genom intervjuer och Skatteverkets interna informationsmaterial har vi tagit reda på hur informationssäkerheten ska se ut enligt Skatteverkets policy. Efter intervjuerna med personalen på Skatteverket har vi sedan tolkat hur den faktiska informationssäkerhets- medvetenheten bland personalen på Skatteverket i Linköping avspeglar sig.</p><p>Det som har framkommit i denna studie är att personalen på Skatteverket har en informationssäkerhetsmedvetenhet som är på en nivå som inte leder till några speciellt verksamhetskritiska situationer. Det har även framkommit att Skatteverkets åtgärder i teorin är väl genomtänkta, men att alla åtgärder tyvärr inte alltid uppfattats av personalen. Detta framför allt på grund av bristande kommunikation och den organisation som Skatteverket har i form av en linjestabsorganisation.</p>

Informationssäkerhetsmedvetenhet

informationssäkerhet

informationssystem

organisation

informationssäkerhetsriktlinjer

Skatteverket

Informatics and systems science

Informatik och systemvetenskap

Informationssäkerhetsmedvetenhet : En kvalitativ studie på Skatteverket i Linköping

Jutehag, Per, Nilsson, Torbjörn

January 2007

Informationssäkerhet är något väldigt aktuellt i dagsläget då mer och mer information och arbetsuppgifter datoriseras. Det är därför viktigt att de som arbetar med datorer har en god informationssäkerhetsmedvetenhet. Denna studie är utförd på Skatteverkets kontor i Linköping genom främst ett antal intervjuer. Studien inriktar sig på personalens informations- säkerhetsmedvetenhet samt hur Skatteverkets åtgärder påverkar personalens informations- säkerhetsmedvetenhet. Den teoretiska referensramen byggs till största del upp av teori kring informationssäkerhet och informations- säkerhetsmedvetenhet, samt även till viss del av organisationsteori. Teorin har sedermera fått utgöra hur informationssäkerheten bör se ut, generellt sett, i en organisation. Genom intervjuer och Skatteverkets interna informationsmaterial har vi tagit reda på hur informationssäkerheten ska se ut enligt Skatteverkets policy. Efter intervjuerna med personalen på Skatteverket har vi sedan tolkat hur den faktiska informationssäkerhets- medvetenheten bland personalen på Skatteverket i Linköping avspeglar sig. Det som har framkommit i denna studie är att personalen på Skatteverket har en informationssäkerhetsmedvetenhet som är på en nivå som inte leder till några speciellt verksamhetskritiska situationer. Det har även framkommit att Skatteverkets åtgärder i teorin är väl genomtänkta, men att alla åtgärder tyvärr inte alltid uppfattats av personalen. Detta framför allt på grund av bristande kommunikation och den organisation som Skatteverket har i form av en linjestabsorganisation.

Informationssäkerhetsmedvetenhet

informationssäkerhet

informationssystem

organisation

informationssäkerhetsriktlinjer

Skatteverket

Informatics and systems science

Informatik och systemvetenskap

Mikroträning som utbildningsmetod inom informationssäkerhet / Micro training as a education approach in information security

Skärgård, Marie

January 2017

Cyberbrott har idag blivit en multimiljard-industri och det utövas mer och mer sofistikerade attacker där människan är måltavlan. Det är därför dags att ta utbildning och träning inom informationssäkerhet till en ny nivå. Detta för att skapa högre grad av medvetenhet gällande säkerhetsrisker. Det finns redan fungerande metoder, men bara för de som är motiverade att lära sig. Detta arbete har undersökt hur mikroträning uppfattas som utbildningsmetod inom informationssäkerhet. En studie som utförts med hjälp av både kvalitativa och kvantitativa metoder. Mikroträningsmaterial har tagits fram i form av videoklipp som på ett kort, koncist och konkret sätt presenterar olika områden inom informationssäkerhet på 60 sekunder. Dessa har sedan utvärderats av 198 subjekt i en enkätundersökning där subjektens attityd både till materialet och till mikroträning som koncept har analyserats. Studiens resultat visar att mikroträning är en uppskattad metod för att träna och lära ut specifika områden inom informationssäkerhet. Denna studie ska bidra till ett framtida forskningsprojekt som vill undersöka om mikroträning i den stund som användaren behöver den kommer bidra till högre grad av informationssäkerhetsmedvetenhet. Detta för att se om medvetenhetsträningen ger den eftersträvade effekt som önskas, att klokare och säkrare beslut fattas i en riskfylld situation. / Cybercrime has become a multimillion industry and it is practicing more and more sophisticated attacks where the human is the main target. Thus it is time to take education and training in information security to a new level, to create a higher degree of awareness about security risks. There are already working methods, but only for those who are motivated to learn. This work has investigated how micro training is perceived as an education method of information security, a study conducted using both qualitative and quantitative methods. Micro training material has been developed in the form of video clips that briefly, concisely and concretely present various areas of information security in 60 seconds. These have been evaluated by 198 subjects in a questionnaire survey where the subject's attitude to the material and micro training as concept has been analysed. The study's findings show that micro training is an appreciated method for training and learning specific areas of information security. This study will contribute to a future research project that wants to investigate whether micro training in the moment the user needs it will contribute a greater degree of information security awareness. This to see whether awareness training will provide the desired effect, that a wiser and safer decision is made in a risky situation.

information security

information security awareness

micro training

informationssäkerhet

informationssäkerhetsmedvetenhet

mikroträning

Information Systems

ISO 27001-certifieringars påverkan på informationssäkerhets-medvetenhet i ett SMF : Förändringar till följd av en certifieringsprocess för ett företag inom IT-sektorn / The effect of an ISO 27001 certification on information security awareness in a SME : Changes following a certification process in a company within the IT sector

Lundgren, Viktor, Holm, Ludvig

January 2021

Cyberrelaterad brottslighet drabbar företag i allt större omfattning och en grupp företag som är särskilt drabbade är små- och medelstora företag (SMF). En anledning till denna ökning anses vara svag informationssäkerhet hos företag tillhörande kategorin. En hög informationssäkerhetsmedvetenhet bland anställda på ett företag kan enligt forskning minska cyberrelaterad brottslighet. Vidare saknas nödvändig teori inom området informationssäkerhetsmedvetenhet för att förstå mänskliga intentioner och hur ett önskat beteende uppnås. Ett sätt att komma till rätta med riktlinjer och policy för informationssäkerhet är att upprätta ett ledningssystem med hjälp av ISO 27001-certifiering. Nödvändig forskning saknas kring hur ISO 27001-certifieringsprocessen påverkar informationssäkerhetsmedvetenhet i ett SMF och vilka förändringar som uppkommer till följd av en certifieringsprocess. Studien undersöker därför hur ISO 27001-certifieringar påverkar informationssäkerhetsmedvetenhet och vilka förändringar som uppkommer till följd av en certifieringsprocess. En semistrukturerad intervjustudie har utförts i ett ISO 27001-certifierande svenskt SMF. Baserat på insamlade data och teoretiskt ramverk har fem olika beståndsdelar av informationssäkerhetsmedvetenhet identifierats och resultat har analyserats i relation till dem. Resultaten visar att svenska SMF får en förhöjd informationssäkerhetsmedvetenhet till följd av en ISO 27001-certifiering. Vidare visar resultaten att svenska SMF får tydligare processer och riktlinjer för säkerhetsrelaterat arbete till följd av en ISO 27001-certifieringsprocess. / Cyber-related crime is affecting companies to an increasing extent and a group of companies that are particularly affected are Small and Medium-sized Enterprises (SME). One reason for this increase is weak information security in companies falling into the category. According to research, a high level of information security awareness among employees at a company can reduce successful cyber-related crime. Furthermore, necessary theory in the field of information security awareness is missing. One way to deal with guidelines and policies for information security is to establish an information security management system using ISO 27001 certification. Necessary research is lacking on how the ISO 27001 certification process affects information security awareness in an SME and what changes arise following the certification process. This study examines how an ISO 27001-certification affects information security awareness and which changes occur following the certification process. A semi-structured interview has been conducted in an ISO 27001-certifiying Swedish SME. Based on gathered data and our theoretical framework, five different components of information security awareness have been identified and results have been analyzed in relation to them. The results indicate that swedish SME gets a heightened level of information security awareness following an ISO 27001-certification. Furthermore, the results show that Swedish SMEs get more distinct processes and guidelines for security-related work following an ISO 27001-certification process.

Informationssäkerhet

Informationssäkerhetsmedvetenhet

SMF

ISO

IEC

27001

Information Systems

Efterlevnad av informationssäkerhetspolicyer inom svenska kommunala förvaltningar

Claesson, Theo, Derneborg, Nathanael

January 2023

Cyberattacker blir allt vanligare och inget pekar på att denna trend kommer att vända.Samtidigt är vi mer beroende av våra IT system än vi någonsin varit, och att förlorakontrollen över dessa kan få förödande konsekvenser. En betydande majoritet avlyckade cyberangrepp mot organisationer börjar med snedsteg bland personalen. Informationssäkerhetspolicyer finns till för att motverka dessa angrepp och stärkaorganisationers informationssäkerhet. En av nyckeldelarna för att dessa ska varaeffektiva är att efterlevnaden är god bland personalen. Studiens syfte är därför attundersöka vilka aspekter som påverkar efterlevnaden och med insamlade data kommamed rekommendationer och förslag för förbättrad hantering och kommunikation avinformationssäkerhetspolicyer. Data samlades in i kommunala förvaltningar viasemistrukturerade intervjuer med 14 respondenter. Intervjudata kodades ochanalyserades för att komma fram till de slutliga resultaten. Genom intervjuerna undersöktes personalens ISP medvetenhet, hur de kommunicerasoch hur ofta de repeteras. Samma gäller för utbildningar sett till informationssäkerhet.Den insamlade data visar att personalen förstår vikten av den säkerhetsklassadeinformationen de har tillgång till på deras arbetsplats. Utbildning och repetition av dessaär bristfällig på de flera av kommunerna medan personalen är positivt inställda till ökadrepetition och utbildning. Studiens slutsats lägger fram rekommendationer över hur kommuner i Sverige kanarbeta för att uppnå förbättring av personalens efterlevnad avinformationssäkerhetspolicyer.

Informationssäkerhet

ISP

informationssäkerhetsmedvetenhet

informationssäkerhetspolicy

cybersäkerhet

kommuner

efterlevnad

utbildning

förvaltningspersonal

it-säkerhet

Engineering and Technology

Teknik och teknologier

Informationssäkerhetsmedvetenhet : Hur kan små och medelstora företag inom tillverkningsindustrin arbeta för att öka informationssäkerhetsmedvetenhet hos anställda / Information security awareness : How can small and medium-sized enterprises within the manufacturing industry enhance information security awareness among employees

Paulsson, Tim, Johansson, Kevin

January 2021

Information security awareness among employees is something all organizations work with, and which must be constantly improved as new threats arise. The manufacturing industry is particularly vulnerable as they have recently begun to move towards a data-intensive industry. The purpose of the study is to investigate how small and medium-sized companies in the manufacturing industry can increase their knowledge and awareness of information security. The study is conducted via semi-structured interviews which then underwent a thematic analysis. The study describes the information security controls used in the manufacturing industry and in which way organizations use them to make employees information security aware. Information security managers describe the motives behind their choice of information security controls and how they adapt the training to increase information security awareness among employees. The employees describe how they feel that the information security controls work and how they could be changed. The study's conclusion contributes with recommendations for how organizations should proceed in order to make their employees aware of information security in the most effective way. The study also clarifies structural attributes that must be considered when introducing information security controls. The authors also draw attention to the importance of a simplified language within the organization, but also that it is important to create a safe work environment where employees can present incidents without feeling humiliated. / Informationssäkerhetsmedvetenhet hos anställda är något alla organisationer arbetar med och som ständigt måste förbättras eftersom nya hot uppkommer. Detta arbete är centralt och utmanande inom samtliga industrier, tillverkningsindustrin är extra utsatt eftersom de på senaste tid börjat gå mot en alltmer dataintensiv industri. Syftet med studien är att undersöka hur små och medelstora företag inom tillverkningsindustrin kan öka sin kunskap om- och medvetenhet avseende informationssäkerhet. Undersökningen genomförs via semi-strukturerade intervjuer som sedan genomgår en tematisk analys. Studien beskriver de informationssäkerhetåtgärder som används inom tillverkningsindustrin och på vilket sätt organisationerna använder de för att göra anställda informationssäkerhetsmedvetna. Informationssäkerhetsansvariga beskriver de motiven som ligger bakom deras informationssäkerhetsåtgärdsval och hur de anpassar utbildningen för att öka informationssäkerhetsmedvetenheten hos anställda. De anställda beskriver hur de upplever att informationssäkerhetsåtgärderna fungerar och berättar hur de tycker att utbildningarna ska förändras. Studiens slutsats bidrar med rekommendationer för hur organisationer bör gå till väga för att på det mest effektiva sättet få sina anställda informationssäkerhetsmedvetna. Studien tydliggör även för de struktursattribut som måste övervägas vid införandet av informationssäkerhetsåtgärder. Författarna uppmärksammar också betydelsen av ett förenklat språk inom organisationen, men även att det är viktigt att skapa en trygg arbetsmiljö där anställda kan framföra incidenter utan att känna sig uthängda.

Informationssäkerhet

informationssäkerhetsmedvetenhet

tillverkningsindustrin

små och medelstora företag

informationssäkerhetsåtgärder

träningsåtgärder

medvetenhetsåtgärder

utbildningsåtgärder

Övrig annan teknik

Säkerhetsmedvetenhet och integration av IoT : En kvantitativ studie på konsumenters säkerhetsmedvetenhet och syn på integration av IoT / Security awareness and integration of IoT : A quantitative study of consumers safety awareness and views on the integration of IoT

Lindström, Oskar, Magnusson, August

January 2021

Internetuppkopplade apparater blir allt vanligare att se i våra hem. Samlingsordet för dessa enheter är Internet of Things (IOT). Med införande av IoT i våra hem skapas fler accesspunkter till internet, vilket även skapar en större attackyta. I kombinationmed den ständigt växande cyberkriminalliteten och införandet av IoT i våra hem ökar risken för att utsättas för en attack. Tidigare forskning inom området gällande konsumenters informationssäkerhetsmedvetenhet visar att konsumenterna har låg medvetenhet och bristande kunskaper för de hot som tillkommer vid integrationen av en IoT-enhet ihemmet. Det finns även tidigare forskning som undersökt vilka faktorer som påverkar individernas inställning till att anta ny teknologi. Mycket av den tidigare forskningen inom området har fokuserat på de tekniska aspekterna och fokuset har inte varit på konsumenternas informationssäkerhetsmedvetenhet och deras inställning till den ökande integrationen av IoT. Den här studien syftade till att undersöka svenska konsumenters informationssäkerhetsmedvetenhet och deras inställning till den ökande integrationen av IoT. Studien avsåg att undersöka hur medvetna konsumenterna är för de informationssäkerhetsrisker som tillkommer vid integreringen av IoT i hemmet i kombination med att undersöka deras syn på den ökade integrationen av IoT ivardagen. Studien har fokuserat på två olika enheter. Dessa enheter genererar data via ljudupptagning samt videoinspelning. En kvantitativ metod med en enkätundersökning tillämpades för att se ifall den låga kunskapen hos respondenter fanns, men även för att lättare nå ut till fler respondenter. För att förstå konsumenternas beteende utformades enkätfrågorna utifrån den allmänt tillämpade beteendemodellen Theory of planned behavior (TPB). Studien fann att majoriteten av respondenterna hade en låg medvetenhet för de risker som tillkommer med integreringen av IoT-enheter, samt låga kunskap för de säkerhetsåtgärder som går att implementera. Trots den låga medvetenheten för riskerna visade det sig att respondenterna hade en mycket positiv inställning till den ökade integrationen av IoT och att de funderar på att införskaffa fler IoT-enheter. / Internet-connected devices are becoming more common to see in our homes. The collective word for these devices is Internet of Things (IoT). With the introduction of IoT in our homes, more access points to the internet are created, which also creates alarger attack area. Combined with the ever-growing cybercrime and the introduction of IoT in our homes, the risk of being attacked increases. Previous research in the field of consumer information security awareness shows that consumers have low awareness, and lack of knowledge about the threats posed by the integration of an IoT device in the home. Previous research has examined the factors that influence individuals attitudes towards adopting new technology. Much of the previous research in the field has focused on the technical aspects and the focus has not been on consumers information security awareness and their attitude to the increasing integration of IoT. This study aimed to examine Swedish consumers' information security awareness and their attitude towards the increasing integration of IoT. The study aimed to examine how aware consumers are of the information security risks that arise from the integration of IoT in the home in combination with examining their stand on the increased integration of IoT in their everyday life. The study has focused on two specific IoT-devices. These devices generate data via audio recording and video recording. A quantitative method with a survey was applied to examine how aware the consumers where of the information security risks, but also to be able to include more respondents in the study. To understand consumer behavior, the questionnaires were designed based on the generally applied behavioral model Theory of plannedbehavior (TPB).The study found that the majority of respondents had a low awareness of the risks involved with the integration of IoT devices, as well as low knowledge of the security measures that can be implemented. Despite the low awareness of the risks, it turnedout that the respondents had a very positive attitude towards the increased integrationof IoT, and that they also are considering acquiring more IoT devices.

Information security

information security awareness

Internet of Things

IoT

IoT integration

Informationssäkerhet

informationssäkerhetsmedvetenhet

Internet of Things

IoT

IoT integration

Computer Systems

Datorsystem

Communication Systems

Kommunikationssystem

Information Systems

Hur ISO 27001 certifierade företag utvecklar sina anställdas Kunskap, Attityd och Beteende mot Informationssäkerhetsmedvetenhet / How ISO 27001 certified companies develop their employees´Knowledge, Attitude and Behavior towards Information Security Awareness

Istiphan, Sebastian, Biller, Alexander

January 2023

Många företag har idag ett stort ansvar att hålla information säker. Med människor som jobbar med informationen hos företag följer därför arbetet med att stärka informationssäkerhetsmedvetenheten, vilket kan göras genom att bland annat implementera ett ledningssystem för informationssäkerhet efter standarden ISO 27001. Det finns däremot flera sätt att påverka informationssäkerhetsmedvetenheten och bland dessa är det genom att påverka kunskap, attityd eller beteende. Denna studie har därför undersökt hur företag arbetar med dessa aspekter i ett företag certifierat genom ISO 27001. För studien har semistrukturerade intervjuer utförts hos ISO 27001-certifierade företag med vidare analys för att besvara studiens frågeställning. Resultaten visar att företagen enhetligt har ett stort fokus på kunskapsaspekten av arbetet med informationssäkerhetsmedvetenhet samt att beteende är något som sällan är problematiskt men följes upp med åtgärder beroende på incidenten. Slutsatserna som presenteras är rekommendationer som när applicerbara ökar informationssäkerhetsmedvetenheten hos företag.  Studien har främst undersökt kunskap, attityd och beteende hos ISO 27001-certifierade företag i Sverige vilket gör att kulturella och dylika faktorer möjligtvis saknas, vilket kan påverka hur applicerbara rekommendationer är för företag utanför Sverige. / Many companies today have a big responsibility to keep their information secure. As there are employees working with information, there is also a need for improvement of the employee’s information security awareness. This can be done through implementation of a management system for information security of the ISO 27001 standard. There are multiple ways to improve the information security awareness and some of these are through improving the knowledge, attitude, and behavior of the employee. This study has investigated how companies that have an ISO 27001 certification improve their employee’s knowledge, attitude, and behavior. The study identified this improvement through a qualitative method using semi-structured interviews, where the respondents are employees at companies that are ISO 27001 certified, the interviewees answers were then analyzed to answer the study’s question at issue. The results show that the companies uniformly focus on the knowledge aspect of information security awareness and that behavior is rarely an issue but that in the case of an incident is investigated. The conclusion presents recommendations as to how companies can improve their employee’s knowledge, attitude, and behavior to information security. The study mainly studied the knowledge, attitude, and behavior of Swedish companies that are ISO 27001 certified, which makes cultural and similar factors are missing which might affect how applicable the recommendations are for companies outside Sweden.

KAB

Knowledge

Attitude

Behavior

Information Security Awareness

ISO 27001

Information Security.

KAB

Kunskap

Attityd

Beteende

Informationssäkerhetsmedvetenhet

ISO 27001

Informationssäkerhet.

Information Systems

Känslig hälsoinformation i händerna på oerfarna studenter : En enkätstudie om läkarstudenters kunskap, attityd och beteende gällande informationssäkerhet

Säfström, Märta, Ereback, Estrid

January 2021

The more digital the healthcare sector gets, the more considerable is the need for good information security within the sector. A group that, already during its education, gets in contact with sensitive information is medical students. Previous studies show that medical students run a significant risk of mishandling sensitive information during their medicinal internship. The goal of this study is to investigate what level of knowledge the medicinal students possess about information security and to see to what extent that affects their attitude towards information security and behavior in information security contexts. A survey based research method is used with an online questionnaire and the study has its theoretical base in the knowledge-attitude-behavior model and in prior studies performed within the same area of research. The questionnaire is created with inspiration from the HAIS-Q, which is an already tested questionnaire that is used to examine information security awareness. The result shows that the medicinal students have a higher level of knowledge about information security compared to their attitude towards information security and behavior in information security contexts. The result also indicates that higher levels of knowledge lead to better attitudes and behaviors. A recommendation for further studies within the topic is suggested, preferably on a larger sample where researchers can look at differences between universities in order to get a more holistic picture of the situation. The HAIS-Q should be evaluated more thoroughly as a research method since this study identifies shortcomings associated with the method. / Med ökad digitalisering inom vården ökar behovet av god informationssäkerhet inom hälso- och sjukvård. Läkarstudenter är en grupp som redan under sin utbildning kommer i kontakt med mycket känslig information och studier visar på att studenter inom hälso- och sjukvård löper stor risk att hantera känslig information felaktigt under sin praktik. Syftet med den här studien är att mäta hur bra kunskap läkarstudenter har om informationssäkerhet och hur stor inverkan detta har på deras attityd och beteende i informationssäkerhetsfrågor. För att testa detta utförs en enkätundersökning online med teoretisk utgångspunkt i kunskap-attityd-beteende-modellen samt tidigare studier gjorda inom samma område. Enkäten utformas med stor inspiration från HAIS-Q, vilket är en beprövad enkätmetod för att mäta informationssäkerhetsmedvetenhet. Resultatet visar på att läkarstudenterna uppvisar bättre kunskap än attityd och beteende i informationssäkerhetsfrågor. Genom studien identifieras även att kunskap har en positiv inverkan på attityd och beteende, där det går att se att ökad kunskap leder till bättre attityd och beteende. Slutsatserna innefattar bland annat rekommendationer om fortsatta undersökningar inom området med större urvalsgrupp där jämförelser mellan olika lärosäten bör göras för att få en med holistisk bild av situationen. En mer noggrann utvärdering av HAIS-Q som enkätmetod bör också genomföras då denna undersökning identifierar brister med metoden.

informationssäkerhet

KAB-modellen

kunskap-attityd-beteende

HAIS-Q

informationssäkerhetsmedvetenhet

ISM

läkarstudent

PLS modelling

PLS-SEM

Information Systems, Social aspects

Informationssäkerhetsmedvetenhet inom mikro- och småbolag : Medvetenhetsåtgärder hos svenska mikro- och småbolag inom IT-branschen / Information security awareness in micro and small companies.

Vukovic, Alexander, Samet, Özcelik

January 2022

All organizations, regardless of size, are affected by information security awareness. Information security awareness is an important component, especially for organizations in the IT industry, to be able to respond to new cyber threats but also comply with requirements and regulations for handling customer data. The purpose of the study is to improve awareness-raising measures used by Swedish micro and small companies in the IT industry to increase information security awareness among employees. The study is performed through semi-structured interviews and then analyzed using the Grounded theory-method. The study highlights the awareness measures used in the IT industry and how they are used among companies to make employees aware of information security. In addition, the companies' underlying motives for their choice of awareness measure and their perspective on adapting the measure are examined. The study's conclusions present recommendations that can be used by micro and small companies in the IT industry to improve their awareness-raising measures. The study highlights the importance of adapting training measures, but also that companies should present reality-based scenarios to employees. In addition, it is also emphasized that incentives should be used by information security officers for employees to ensure compliance. / Alla organisationer, oavsett storlek påverkas av informationssäkerhetsmedvetenhet. Medvetenhet om informationssäkerhet är en viktig komponent i synnerhet för organisationer inom IT-branschen för att kunna bemöta nya cyberhot men också efterleva krav och regleringar för hantering av kunddata. Syftet med studien är att förbättra medvetenhetshöjande åtgärder som används av svenska mikro- och småbolag inom IT-branschen för att öka informationssäkerhetsmedvetenheten bland anställda. Studien utförs genom semistrukturerade intervjuer och analyseras sedan med hjälp av Grundad teori-metoden. Studien synliggör vilka medvetenhetsåtgärder som används inom IT-branschen och hur de används bland bolagen för att göra anställda medvetna gällande informationssäkerhet. Dessutom framgår bolagens bakomliggande motiv för deras val av medvetenhetsåtgärd samt deras perspektiv på anpassning av åtgärd. Studiens slutsatser presenterar rekommendationer som kan användas av mikro- och småbolag inom IT-branschen för att förbättra deras medvetenhetshöjande åtgärder. Studien lyfter fram betydelsen av anpassning av utbildningsåtgärder, men även att bolagen bör presentera verklighetsförankrade scenarier till de anställda. Därtill framhävs även att incitament bör användas av informationssäkerhetsansvariga till anställda för att säkerställa efterlevnad.

Information security

information security awareness

awareness measures

training measures

compliance

IT industry

micro and small companies

Informationssäkerhet

informationssäkerhetsmedvetenhet

medvetenhetsåtgärder

utbildningsåtgärder

efterlevnad

IT-branschen

mikro- och småbolag

Information Systems