IT-säkerhet : Användarbeteenden, orsaker och åtgärder / IT security : User behavior, causes and actions

Andersson, Sanna, Schiöld, Ellinor

January 2021

Organisationer står idag inför flera olika hot mot deras IT-säkerhet där ett av de vanligaste hoten är skadliga användarbeteenden som främst orsakas av interna användare. Det kan vara svårt att veta för organisationer vad för användarbeteenden som kan utgöra ett hot samt vilka orsaker som kan bidrar till dessa beteenden. Det är i dagens samhälle viktigt för organisationer att förbereda sig samt vara medvetna om de hot en användare utgör för att kunna vidta de rätta åtgärderna om det skulle uppstå. Syftet med denna studie är att undersöka vilka orsaker till användarnas beteenden som utgör ett hot för en organisations IT-säkerhet och vilka åtgärder som har vidtagits. En kvalitativ metod i form av fem olika intervjuer har valts där en intervjuguide låg som grund till intervjufrågorna. En individuell intervju hölls med en användare av Högskolan i Borås samt en gruppintervju med IT-avdelningen från Högskolan i Borås. Studien resulterade i att 10 användarbeteenden, 25 orsaker och 22 vidtagna åtgärder framkom samt att det finns relationer mellan dem. Det kan vara svårt för organisationer att vara helt förberedda på hot men det är enligt vår studie möjligt att identifiera användarbeteenden, orsaker samt åtgärder. Med utbildning kan organisationer göra sina användare mer säkerhetsmedvetna och därmed minska riskerna för de skador användarbeteenden kan utgöra. / Organizations today are facing several different threats to their IT security where one of the most common threats is malicious user behaviors that are mainly caused by internal users. It can be difficult for organizations to know what user behaviors can pose a threat and what causes can contribute to these behaviors. In today's society, it is important for organizations to prepare and be aware of the threats a user poses in order to be able to take the right measures if they should arise. The language of this study is written in swedish and the purpose of this study is to investigate what causes in users' behavior constitute a threat to an organization's IT security and what measures have been taken. A qualitative method in the form of five different interviews has been chosen where an interview guide was the basis for the interview questions. An individual interview was held with a user of the University of Borås and a group interview with the IT department from the University of Borås. The study resulted in 10 user behaviors, 25 causes and 22 measures taken and that there are connections and relationships between them. It can be difficult for organizations to be fully prepared for threats, but according to our study it is possible to identify user behaviors, causes and measures. With education, organizations can make their users more security-conscious and thus reduce the risks of the damage that user behavior can cause.

IT-security

information security

insider threats

human factors

user behavior

causes

actions

IT-säkerhet

informationssäkerhet

insiderhot

mänskliga faktorer

användarbeteende

orsaker

åtgärder

Computer and Information Sciences

Data- och informationsvetenskap

Informationssäkerhet i en pandemivärld: En analys av omställningen till hemarbete

Lerdell, Andrea, Rengholt, Emma

January 2023

När COVID-19 pandemin slog till över hela världen i början av 2020 tvingades företag snabbt agera för att hantera medarbetarna och deras arbete. Denna studie undersöker hur företag hanterade informationssäkerhet när arbete flyttades från kontor till hem, och vilka lärdomar som kan dras för att identifiera framgångsfaktorer och fallgropar vid framtida hantering av krissituationer. En stor utmaning vid övergången till distansarbete var bristen på säkerhetsspecialister och utbildning inom säkerhet, samt en bristande förståelse för de risker som följer med hanteringen av företagsinformation och data. Syftet med studiens frågeställning ”Vilka lärdomar kan dras gällande informationssäkerhet från omställningen från kontor till hemarbete i samband med pandemin?” är att ge företag och organisationer en djupare förståelse och medvetenhet för att undvika tidigare misstag och ta efter andra företags framgångsrika metoder för hantering av krissituationer. Studien har utförts i form av en ansikte-mot-ansikte-undersökning och data har samlats in genom sju semi-strukturerade intervjuer. För att analysera den insamlade data har en tematisk analys genomförts. Resultaten av studien visat att förberedelser, hög medvetenhet och förståelse för säkerhet hos medarbetare, kontinuerlig utbildning, placering av säkerhetsansvariga på rätt plats och ett effektivt samspel mellan chefer och medarbetare markant ökar chanserna att hantera en krissituation utan större påverkan. / When the COVID-19 pandemic hit the world in early 2020, companies were forced to act quickly to manage employees and their work. This study examines how companies handled information security when work moved from the office to the home, and what lessons can be learned to identify success factors and pitfalls in future crisis management. A major challenge in the transition to remote work was the lack of security specialists and training in security, as well as a lack of understanding of the risks that come with handling company information and data. The purpose of the study's question "What lessons can be learned regarding information security from the transition from office to working from home in connection with the pandemic?" is to give companies and organizations a deeper understanding and awareness to avoid past mistakes and to imitate other companies' successful methods of handling crisis situations. The study has been carried out in the form of a face-to-face-survey and data has been collected through seven semi-structured interviews. To analyse the collected data, a thematic analysis has been carried out. The results of the study showed that preparation, high awareness and understanding of security among employees, continuous training, placement of security officers in the right place and an effective interaction between managers and employees significantly increase the chances of handling a crisis without major impact.

Information security

Pandemic

Home work

Remote work

Human factors

Technical factors

Informationssäkerhet

Pandemi

Hemarbete

Distansarbete

Mänskliga faktorer

Tekniska faktorer

Computer Sciences

Datavetenskap (datalogi)

Acceptans av Självkörande bilar : Faktorer som bidrar till att studenter i en ort i Västsverige accepterar självkörande bilar

Maparzadeh, Milad, Geda Elias, Eyobed

January 2020

The main purpose of the study was to analyze whether age, gender and integrity affect the acceptance of self-driving cars. The theoretical framework TAM (Technology AcceptanceModel) is used as a starting point for acceptance where we set our variables against Perceived Usefulness and Perceived Ease of Use that are the main variables in the model. A quantitative method has been applied and a survey was used for data collection. The survey was sent to 140 students. The response rate was 82 % involving a total of 116 respondents, of which 60 were women and 53 were men, where age ranged between 18-60 years old. The results of a T-test showed that there was a correlation between gender and acceptance of self-driving cars. The remaining variables could not be linked to acceptance in our study. The conclusion that we could make from this study was that there was a correlation between gender and acceptance of self-driving cars based on the cognitive mindset that is separated between the sexes. / Det huvudsakliga syftet med studien var att analysera ifall ålder, kön och integritet påverkar acceptans av självkörande bilar. Det teoretiska ramverket TAM (Technology AcceptanceModel) används som utgångspunkt för acceptans där vi ställde våra variabler gentemot den Uppfattade Användbarheten och den Uppfattade Användarvänligheten som är huvudvariableri modellen. En kvantitativ metod har använts och där ett frågeformulär skickades till 140 studenter. Svarsfrekvensen låg på 82% där totalt 116 respondenter, varav 60 kvinnor och 53 män i åldrarna mellan 18–60. Resultatet från ett T-test visade att det fanns samband mellan kön och acceptans av självkörande bilar. Resterande variabler kunde inte kopplas till acceptans i studien. Slutsatsen vi kunde dra utifrån denna studie var att det fanns ett samband mellan kön och acceptans av självkörande bilar, baserat på det kognitiva tankesättet som skiljs åt mellan könen.

Acceptance

Self-driving cars

TAM-Model

Percevied Usefulness

Perceived Ease of Use

Human factors.

Acceptans

Självkörande bilar

TAM-Model

Uppfattad Användbarhet

Uppfattad Användarvänlighet

Mänskliga faktorer

Information Systems

Cybersäkerhet : Distansarbetets påverkan på cybersäkerhet inom företag

Håman, Philip, Kasum, Edin, Klingberg, Olof

January 2022

Digitaliseringen och den konstanta utvecklingen av teknologi i vårt samhälle har medfört många förändringar de senaste åren. I olika områden inom yrkeslivet har rutiner och system behövt uppdaterats för att hålla jämna steg med digitaliseringen. Idag är det inte ovanligt för anställda att arbeta på distans, vanligtvis från sina egna hem. Utöver detta, har Covid-19-pandemin som drabbade världen under 2020, endast utökat och påskyndat processen där företag behöver anpassa sig till denna typ av arbete. Trots att möjligheten att kunna jobba hemifrån reflekterar en modern arbetsplats såväl som ett modernt samhälle, öppnar det även upp frågan om potentiella cyberhot. På grund av detta undersöker nuvarande studie forskningsfrågan: Hur har cybersäkerhet inom företag påverkats av utökat distansarbete? Som avgränsning fokuserar studien specifikt på den finansiella sektorn. Forskningsmetoden som valts ut för studien har varit kvalitativ, i form av primär datainsamling genom semistrukturerade intervjuer som sedan analyserats med hjälp av tematisk analys. Samtliga respondenter arbetar med och har erfarenhet av cybersäkerhet samt har en koppling till finanssektorn. Vidare fokuserar dessa intervjuer på olika aspekter av hur säkerheten inom företag har påverkats av det ökade distansarbetet hemifrån. För att kunna besvara detta, ställdes en rad specifika frågor angående förändringar, kommunikation, cyberhot och utmaningar på grund av distansarbete till respondenterna. Det insamlade och analyserade resultatet visar på att majoriteten av respondenterna anser att jobba hemifrån betyder en ökad mängd förändringar i form av hantering av information, inloggningsrutiner, behörigheter, utrustning och ibland även förändring av IT-infrastrukturen i företagen. Resultaten visar även på hot och utmaningar som kan uppstå vid distansarbete. En slutsats som därmed kan dras från studien är att företagens cybersäkerhet påverkas och hanteras på olika sätt när det kommer till det ökade distansarbetet. Dessa bemöts enligt respondenterna med olika strategier, rutiner och riskminimering. För att vidare minimera cyberhoten vid arbete hemifrån i framtiden, är den generella uppfattningen i studien att företag behöver arbeta förebyggande och utbilda personal i frågan om cybersäkerhet när man inte befinner sig på ordinarie arbetsplats. Trots att respondenterna tillsammans med föregående studier anser att cyberhoten har ökat de senaste åren, håller de med varandra om svårigheten att fastställa om det är ett faktum att de har ökat på grund av just ökat distansarbete. Eftersom det inte alltid rapporteras om hoten som finns mot finanssektorn på grund av anseende- och trovärdighetsskäl, har det varit en utmaning att få tillräckliga svar i de i utförda intervjuerna. / The digitalization and constant development of technology in our society has brought many changes over the last few years. In various areas of the work field, routines and systems have been updated to keep up with the digitalization. Nowadays it is not unusual for employees to be teleworking, most commonly to work from their own homes. On top of that, the global Covid-19-pandemic that hit the world in 2020, has only increased and speeded up the process for companies to adjust to this type of work. Even though being able to work from home reflects a modern workplace as well as society, it does open the question about possible online threats. Therefore, this current study examines the question: How does the increasing teleworking trend affect cybersecurity in organizations? As a demarcation, the study specifically focuses on the financial sector. The research method selected for the study has been of qualitative nature, during which primary data was collected through semi-structured interviews which further were analyzed using thematic analysis. The respondents are all employees and have experience within cybersecurity, related to the financial sector. Furthermore, these interviews focus on different aspects of how the cybersecurity of companies has been affected by the recent increase in teleworking from home. To shed light on the matter, the respondents were asked a specific set of questions regarding changes in; communication, cyber threats and challenges all due to telework. The results gathered and analyzed do show that the majority of the respondents believe that working from home does mean an increased amount of changes in ways of handling information, login-routines, competence, equipment and sometimes even the infrastructure of their IT-systems. Additionally, the results also show threats and challenges that may occur due to increased teleworking, such as larger attack surfaces. Therefore, a conclusion that can be drawn from the study is that there are different ways in which the cybersecurity of companies can be affected by the increasing teleworking trend. According to the respondents, these challenges are met with different strategies, routines and risk minimization. To further minimize future cyberthreats when working from home, the general perception drawn from the study is that companies have to work preventively and as well as educate staff on threats and risks associated with increased teleworking. However, while the respondents and previous studies believe that threats have increased over the last couple of years, they do agree on the difficulty of determining whether it is in fact due to the increased amount of telework. Since the cyberthreats against the financial sector are not always spoken about or reported for reasons of reputation and credibility, there were also respondents who have been hersistant in providing full answers to the interviews.

Cybersecurity

telework

information security

cyber threats

cyber threat intelligence

human factors

Covid-19

safety risks

Cybersäkerhet

distansarbete

informationssäkerhet

dataintrång

underrättelser om cyberhot

mänskliga faktorer

Covid-19

säkerhetsrisker

Computer and Information Sciences

Data- och informationsvetenskap

Computer Engineering

Datorteknik

The Human Error : En analys av forskningsläget kring mänskliga faktorer som sårbarhet inom IT-säkerhet / The Human Error : An analysis of the current research on human factors as vulnerabilities in IT security

Olofsson, Emilia, Rasaratnam, Sangeetha

January 2024

Ett samhälle som snabbt förändras av digitaliseringens transformerande kraft är en omfattande och debatterad fråga i vår nutid. Trots de möjligheter den ger, kvarstår utmaningar, särskilt inom IT-säkerhet. Befintlig forskning betonar främst de tekniska aspekterna och försummar det avgörande mänskliga inslaget inom IT-säkerhet. Det rådande forskningsgapet belyser det mänskliga elementet som en betydande sårbarhet för att upprätthålla säkra digitala miljöer. Medan teknologiska skydd är nödvändiga visar de sig ofta otillräckliga utan hänsyn till mänskliga faktorer. Den tänkta studien syftar till att undersöka forskningsläget kring mänskliga faktorer inom IT-säkerhet. Genom en kvalitativ litteraturstudie som primär forskningsstrategi granskas och analyseras vetenskaplig forskning och litteratur systematiskt inom det valda ämnesområdet. Resultatet presenterar i vilken omfattning olika koncept relaterade till mänskliga faktorer inom IT-säkerhet undersöks. Studien bidrar således till en teoretisk kunskapsutveckling för att stärka och skydda digital information och infrastruktur genom att identifiera områden som forskningen är begränsad kring. Denna studie strävar efter att fylla forskningsgapet genom att belysa mänskliga sårbarheter inom IT-säkerhet och vilka koncept som bör undersökas vidare. På så sätt kan studien bidra till en holistisk förståelse av IT-säkerhet, med en balans mellan teknologiska och människocentrerade tillvägagångssätt. / A society rapidly transformed by the transformative power of digitization is a comprehensive and debated issue in our contemporary times. Despite the opportunities it presents, challenges persist, particularly in IT security. Existing research primarily emphasizes the technical aspects while neglecting the crucial human element within IT security. The current research gap highlights the human element as a significant vulnerability in maintaining secure digital environments. While technological safeguards are necessary, they often prove insufficient without consideration of human factors. The intended study aims to investigate the current state of research on human factors in IT security. Through a qualitative literature review as the primary research strategy, scientific research and literature within the chosen subject area are systematically examined and analyzed. The findings present the extent to which various concepts related to human factors in IT security are explored. Thus, the study contributes to theoretical knowledge development to strengthen and protect digital information and infrastructure by identifying areas where research is limited. This study seeks to fill the research gap by highlighting human vulnerabilities in IT security and which concepts should be further investigated. In doing so, the study may contribute to a holistic understanding of IT security, balancing technological and human-centered approaches.

human factors

human error

user error

IT-security

vulnerabilities

risks

prevention measures

security design

user context

mänskliga faktorer

mänskliga fel

användarfel

IT-säkerhet

sårbarheter

risker

förebyggande åtgärder

säkerhetsdesign

användarkontexter

Information Systems, Social aspects

People, Workplaces and Technology : A study of the practice of user experience in workplaces among tech companies in San Francisco Bay Area, California, USA. / Människor, arbetsplatser och teknologi : En studie om praktiserande av användarupplevelse på arbetsplatser bland teknikföretag i San Francisco Bay Area, Kalifornien, USA.

Redtzer, Rebecca

January 2023

This thesis focuses on the user experience in facilities and primary workplaces. In short, the purpose was to investigate what user experience is if applied in workplaces and also how to work with user experience in workplaces.  Initially, the literature indicated that the practice of user experience is known in the application in digital settings, yet it is still quite undiscovered when applied to physical settings. Or as to say, it's not particularly referred to as user experience if practiced. There is research touching on the area of study. However, there is room for further research on the real application of user experience methods and procedures. A pre-study with a representative from the research field of this topic was presented early on, followed by an extensive literature and theories review of the area of study. In addition, the study included numerous interviews with representatives from workplace teams (with different roles and perspectives) and users (employees). The interviewees worked for tech companies located in the San Francisco Bay Area, California, USA – an area known for its high density of tech companies with an innovative culture. Study visits, with the purpose of real scenario observation of how the workplaces were designed and operated, were another important contributor to the empirical findings.  The results showed applications of user experience in workplaces. That included perspectives of users, physical attributes, intangibles (such as feelings of connection and community created), and also external incitements. Additionally, to empathize with the diverse work among users and management, the workplace teams needed to be composed of various areas of expertise. Methods for empathizing included surveys, interviews, apps, service platforms, workshops, storytelling/listening sessions, ‘space champions’, and experiments. However, there was also an expressed need for improvement in the empathizing procedures. To summarize, there was an agreement of the exploratory time ahead in terms of workplaces, and users, which was further discussed in the reflection part of the thesis. / Avhandlingen fokuserar på användarupplevelsen (user experience) i byggnader och primärt arbetsplatser. Syftet har varit att undersöka vad användarupplevelse är om tillämpat på arbetsplatser och även hur man kan arbeta med användarupplevelse på arbetsplatser. Initialt indikerade litteraturen att tillämpandet av användarupplevelser främst associeras med digitala miljöer, men är fortfarande ganska outforskat när den tillämpas på fysiska miljöer. Och om tillämpat, inte alltid refererat som användarupplevelse. Det finns en del forskning som berör studieområdet, men ett stort utrymme finns för ytterligare studier om den verkliga tillämpningen av metoder och procedurer för användarupplevelser. En förstudie med en representant från forskningsområdet för detta ämne presenterades tidigt, följt av omfattande studier av litteratur och teorier i syfte att beskriva studieområdet. Dessutom inkluderade studien ett flertal intervjuer med representanter från arbetsplatsteam (med olika roller och perspektiv) och användare (anställda). Intervjupersonerna arbetade på tech-företag i San Francisco Bay Area, Kalifornien, USA – ett område känt för mängden av denna typ av företag med en innovativ företagskultur. Studiebesök, med syfte att realisera scenarioobservationer av hur arbetsplatserna utformades och förvaltades, var en annan viktig bidragande faktor till de empiriska iakttagelserna. Resultaten visade tillämpningar av användarupplevelse på arbetsplatser, vilket inkluderade användarperspektiv, fysiska attribut, immateriella faktorer (såsom känslor av anknytning och gemenskap), och även olika externa incitament. Därtill behövde arbetsplatsteamen vara sammansatta av olika expertområden för att praktisera empati med såväl olika användare som företagsledning. Metoder för detta inkluderade undersökningar, intervjuer, appar, tjänsteplattformar, workshops, berättande/lyssningssessioner, 'space-champions' och experiment. Det fanns dock även ett uttalat behov av förbättring av den praktiserade metodiken. Avslutningsvis indikerade intervjuerna, att det fanns en enighet kring den utforskande framtid, vad gällande arbetsplatser och användare, som vi står inför; vilket även var ett av de teman som diskuterades vidare i reflektionsdelen av uppsatsen.

"User Experience"

"UX"

"Human Factors"

"Workplace Environment"

"Workplace Balance"

"Physical"

"Virtual"

"Remote"

"Hybrid"

"Workplace"

"Workplace Management"

"Facility Management"

"Technology"

"Digitalization"

"Innovation"

"Användarupplevelse"

"UX"

"mänskliga faktorer"

"arbetsmiljö"

"fysisk"

"virtuell"

"distans"

"hybrid"

"arbetsplats"

"workplace management"

"facility management"

"teknologi"

"digitalisering"

"innovation"

Civil Engineering

Samhällsbyggnadsteknik