Förändringar i informationssäkerhetspolicys under pandemin : En kvalitativ studie av svenska Telecom-bolag / Changes in information security policys during the pandemic : A qualitative study of Swedish telecom companies

Åkerblom, Kristoffer

January 2023

Pandemin skakade om världen och svenska företag var inte ett undantag. Företag i Sverige och runt om i världen tvingades att göra förändringar i allt från arbetsprocesser till digitala verktyg. Men med nya processer och verktyg kommer nya regler, eller? Forskning visar på stora brister att skydda informationstillgångar under pandemin, något som i sin tur ledde till en ökning i lyckade cyberattacker. Detta arbete syftar på att skapa en förståelse för hur förändringar hanterades i ett informationssäkerhetsperspektiv genom att undersöka vilka förändringar svenska Telecom-bolag gjorde i sin informationssäkerhetspolicy. Med en kvalitativ forskningsmetod och en induktiv ansats intervjuades sju anställda med olika roller på olika företag. Arbetets resultat pekar på att svenska Telecom-bolag ligger i framkant i sitt informationssäkerhetsarbete. Genom välfungerande arbetsrutiner och- processer, där informationssäkerhetsarbete är inbakad i det dagliga arbetet, redan innan pandemins start, kunde nya lösningar smidigt implementeras. Dessutom kunde processerna till största del bibehållas vilket ledde till en arbetsdag likt den på kontoret. Eftersom stora delar av företagen kunde fortsätta som vanligt syntes inte den ökning av lyckade cyberattacker som lyfts i forskningen. / <p>Stavningsvarierad titel:</p><p>Förändringar i informationssäkerhetspolicys under pandemin</p><p>Changes in information security policies during the pandemic</p>

Pandemi

Covid-19

cyberattacker

informationssäkerhet

informationssäkerhetspolicys

Information Systems, Social aspects

Vårdanställdas efterlevnad av informationssäkerhetspolicys : faktorer som påverkar efterlevnaden / Health care professionals' compliance with information security policies : variables influencing the compliance

Franc, Karolina

January 2014

Informationssäkerhet är ett område som kommit att sättas alltmer i fokus hos organisationer. Tidigare har främst tekniska lösningar för att skydda viktig information fått uppmärksamhet, det är först på senare tid som informationssäkerhet har börjat uppfattas som ett komplext område som innefattar såväl tekniska, som organisatoriska och mänskliga faktorer. För att eftersträva en god informationssäkerhet inom organisationen bör ett grundligt arbete läggas på att utveckla informationssäkerhetspolicys och säkerhetsansvariga måste kontinuerligt utbilda och skapa medvetenhet hos anställda kring vilka hot som finns mot organisationen ifall informationssäkerhetsbestämmelser inte efterlevs. Huvudsyftet i föreliggande studie har varit att undersöka vilka faktorer som styr anställdas efterlevnad av informationssäkerhetspolicys. Ytterligare delsyfte har varit att undersöka hur den faktiska efterlevnaden av informationssäkerhetsbestämmelser avspeglar sig inom två vårdverksamheter i Landstinget i Östergötland. För att uppfylla studiens syfte har fallstudier genomförts där såväl observationer som intervjuer med personal legat till grund för datainsamlingen. Resultatet visar att säkerhetsmedvetandet och efterlevnaden av säkerhetsbestämmelser inom de undersökta organisationerna är tämligen god, men det finns skillnader i graden av efterlevnad. Resultaten visar att anställda i viss mån hoppar över säkerhetsbestämmelser för att effektivisera sitt arbete. Den vanligaste säkerhetsbestämmelsen som visade på bristande efterlevnad var att en del anställda slarvade med att logga ut eller låsa datorn då denna lämnades oövervakad. Faktorer som visat sig vara avgörande för ifall säkerhetsbestämmelser efterlevs eller inte är bland annat ifall den anställde anser att beteendet övervakas, hur väl medveten man är kring konsekvensen av att säkerhetsbestämmelser inte efterlevs, samt hur stor sannolikhet man anser det vara att hotet realiseras. Ytterligare faktorer som visat sig spela roll är ifall den anställde anser att säkerhetsbestämmelsen ligger i konflikt med andra intressen, såsom effektivitet eller bekvämlighet. För att kunna införa effektiva policyåtgärder krävs det därmed att policyutvecklare förstår vad som motiverar anställda till att följa säkerhetsbestämmelser och vilka värderingar som ligger bakom deras beteende. / Information security has grown into a field of study that has gained increasingly attention within organizations. In the early days focus of the field has primerly been on technical solutions in order to protect information. Only recently information security has come to be seen as a complex area including both technical, organizational and human factors. In order to strive for a high degree of information security within the organization, emphasis has to be placed on developing a functional information security policy. Just as important is that security managers continually educate and create awareness amongst employees with regards to existing threats if information security rules are not respected. The main purpose in regards to this study has been to investigate the determinants of employees' compliance with information security policies. A further aim of the study has been to examine how the actual compliance of information security regulations is reflected in two healthcare clinics in the county council of Östergötland. In order to fulfill the purpose of the study, case studies were carried out in the clinics, where both filed studies and interviews with staff members formed the basis for data collection. The results show that security awareness and compliance with safety regulations within the surveyed organizations are fairly good, but there are differences in the level of compliance. The results show that employees to some degree overlook safety rules in order to make their work more efficient. The most common security rule that showed non-compliance was where employees occasionally did not logg off or lock the computer as it was left unattended. Determinants that showed to have an influence on whether or not employees comply with information security policys are among other factors to what extent the employee belives that the behavior is being monitored, awareness about conseqences from not complying with the security rules, as well as to what extent one belives that the actual threat occurs. Additional determinants that were found to have an influence on the actual behavior with regards to compliance is to what extent the employee considers the regulations to be in conflict with other interests, such as efficiency or convenience. In order to introduce effective policy measures knowledge is needed where policy makers understand what motivates employees to comply with safety rules, as well as the values that underlie their behavior.