Informationssäkerhet : Interna och externa hot i mindre företag / Information security : Internal and external threats in smaller business

Petersson, Alexander

January 2019

Informationssäkerhet är en viktig aspekt i dagens samhälle då information i alla former är väsentligt för företag att förvalta och använda för att driva verksamheten vidare. Inom informationssäkerhet existerar det interna och externa hot. Syftet med denna rapport är att undersöka hur mindre företag upplever interna respektive externa informationssäkerhetshot samt hur de hanterar dem. Frågeställningen till studien presenteras nedan. Till vilken grad påverkas mindre företag av informationssäkerhetshot? Den primära frågeställningen är uppdelad i två frågor som presenteras nedan Till vilken grad upplever mindre företag interna hot? Till vilken grad upplever mindre företag externa hot? I studien beskrivs shadow security, brist på utbildning och stöld på informationstillgångar som tre största interna informationssäkerhetshot. Ransomware, phishing och bring your own devices beskrivs som tre av de största externa informationssäkerhetshoten. Detta resultat förväntas att kunna ge kunskap och bidra till identifieringen och försåtelsen av olika informationssäkerhetshot mot mindre företag. De respondenterna som har deltagit i semistrukturerade intervjuerna under denna studie hade alla någon slags roll som IT-ansvarig på respektive företag. Alla intervjuer genomfördes med företag från Hälsingland. / Information security is an important aspect of today's society as information in all forms is essential for companies to manage and use to drive the business further. Within information security, internal and external threats are two aspects that exist. The purpose of this report is to examine how smaller companies experience internal and external information security threats and how they manage these threats. The question to the study is presented below.  To what extent are smaller companies affected by information security threats?  The primary question is divided into two questions presented below To what extent do smaller companies experience internal threats? To what extent do smaller companies experience external threats? The study describes shadow security, lack of education and theft of information assets as three largest internal information security threats. Ransomware, phishing and bring your own devices are described as three of the largest external information security threats. This result is expected to provide knowledge and contribute to the identification and neglect of various information security threats to smaller companies. The respondents who have participated in the semi-structured interviews during this study all had some sort of role as IT manager at each company. All interviews were done with respondents with companies from Hälsingland.

Information security

internal threats

small businesses

Informationssäkerhet

interna hot

externa hot

mindre företag

Information Systems

Att förebygga det interna hotet med IT-regler / Preventing internal threats with IT-policy

Olsson, Martin, Ring, Max, Sabbagh, Hassan

January 2018

Uppsatsen ämnar undersöka det interna hotet inom organisationer som medförs av mänskliga misstag och ovarsamhet hos anställda. Syftet med uppsatsen är att identifiera orsaker bakom misstagen och ovarsamheten, redogöra för några konsekvenser av det och även undersöka hur utformningen och arbetet med IT-regler, som är regler och riktlinjer för IT-säkerhetsarbete, bör utföras för att minimera misstag och ovarsamhet. Till det har en undersökning av tidigare litteratur och en kvalitativ datainsamling gjorts, den kvalitativa undersökningen innefattade intervjuer med ett E-handelsföretag, ett IT-konsultföretag samt en IT-säkerhetskonsult. Teori och insamlad data har analyserats och genererat ett antal förslag, där bland annat ett anpassat språkbruk och kategorisering av IT-regler men även kontinuerlig utbildning av anställda förespråkas för att förebygga anställdas misstag och ovarsamhet. Därigenom förebyggs det interna hotet. Uppsatsens framförda förslag kan användas av alla typer av företag som vill förbättra sin IT-säkerhet genom att förebygga det interna hotet som orsakas av de anställda. / The study aims to investigate the internal threat within organizations caused by human mistakes and negligence amongst employees. The purpose of this paper is to identify reasons for the mistakes and the negligence, describe some of the consequences and also investigate how the design of and work with IT policies, which is a set of rules and guidelines for IT security work, should be performed to minimize mistakes and negligence. A survey of previous literature has been conducted and a qualitative data collection has been made. The qualitative data collection included interviews with an e-commerce company, an IT consulting company and an IT security consultant. Previous literature and collected data have been analysed which resulted in a set of suggestions, for instance that customized language usage and categorization of IT policies, together with continuous training of employees is advocated to help prevent employees' mistakes and negligence. Thereby minimizing the internal threat. Any type of company that wants to improve its IT security by preventing the internal threat caused by its employees will benefit from these suggestions.

Human mistakes and negligence

IT security

IT-policies

information systems

internal threats

employees

cyber threats

Mänskliga misstag och ovarsamhet

IT-säkerhet

IT-regler

Interna hot

Informationssystem

Anställda

IT-hot

Information Systems

Řešení interních hrozeb v managementu bezpečnosti informací / Solution of Internal Threats in the Information Security Management System

Trčka, Martin

January 2013

This diploma thesis deals with internal threats in the organization and their restriction with the assistance of DLP system. The first part of the thesis discusses the information security management system and describes requirements for the introduction of the ISO/IEC 27000 standards series. Next chapters detail internal threats and technical description of the DLP system. The second part of the thesis analyzes the organization and describes the process of implementation of DLP solution, which aims to reduce internal threats. The conclusion of the thesis describes acceptance agreement and financial evaluation of the implementation.