Arbete med behörighetsadministration och åtkomstkontroll i större företag

Hansson, Mikael, Lindberg, Oscar

January 2005

<p>I takt med att IT har brett ut sig har det uppstått nya former av hot och risker. Arbetet med behörighetsadministration och åtkomstkontroll är en central del av säkerhetsarbetet vid ett företag. Detta arbete innebär bland annat upprättande av rättigheter för användare så att dessa enbart får åtkomst till den information och de applikationer som de behöver i sitt dagliga arbete.</p><p>Denna studie är utförd på CSC i Linköping, samt Saab AB Linköping och behandlar det säkerhetsarbete som utförs avseende behörighetsadministration och åtkomstkontroll. Inom båda företagen är säkerhetsmedvetenheten hög, vilket till stor del beror på att det återfinns mycket information av sekretessbelagd karaktär och till och med rena försvarshemligheter.</p><p>Framkommit i denna studie är att både CSC och Saab har väl dokumenterade rutiner för behörighetsadministration. Problematiken vad gäller behörighetsadministration på CSC och Saab ligger i att överblickbarheten inte är särskilt tillfredställande då de har många applikationer, var och en med sitt eget åtkomstkontrollsystem.</p>

Informationssäkerhet

behörighetsadministration

åtkomstkontroll

lösenordshantering

säkerhetsmedvetande

Informatics

Informatik

Arbete med behörighetsadministration och åtkomstkontroll i större företag

Hansson, Mikael, Lindberg, Oscar

January 2005

I takt med att IT har brett ut sig har det uppstått nya former av hot och risker. Arbetet med behörighetsadministration och åtkomstkontroll är en central del av säkerhetsarbetet vid ett företag. Detta arbete innebär bland annat upprättande av rättigheter för användare så att dessa enbart får åtkomst till den information och de applikationer som de behöver i sitt dagliga arbete. Denna studie är utförd på CSC i Linköping, samt Saab AB Linköping och behandlar det säkerhetsarbete som utförs avseende behörighetsadministration och åtkomstkontroll. Inom båda företagen är säkerhetsmedvetenheten hög, vilket till stor del beror på att det återfinns mycket information av sekretessbelagd karaktär och till och med rena försvarshemligheter. Framkommit i denna studie är att både CSC och Saab har väl dokumenterade rutiner för behörighetsadministration. Problematiken vad gäller behörighetsadministration på CSC och Saab ligger i att överblickbarheten inte är särskilt tillfredställande då de har många applikationer, var och en med sitt eget åtkomstkontrollsystem.

Informationssäkerhet

behörighetsadministration

åtkomstkontroll

lösenordshantering

säkerhetsmedvetande

Informatics

Informatik

Organisationskultur ur säkerhetsperspektiv : en fallstudie utifrån Cultural Theory / Organizational culture from a security perspective : a case study using Cultural Theory

Månsson, Christian, Vintén, Johan

January 2007

The aim of this master’s thesis is to identify differences and similarities, regarding security, in two goods terminals in an organisation in the transport and goods sector. In this thesis we use Cultural Theory as an analytical instrument to investigate organizational culture, as seen from a security perspective. Cultural Theory is a theory seen from two perspectives, the stable perspective and the mobile perspective. These two perspectives concentrate on different research areas. In the thesis we choose to present two representations of both perspectives. A case study was designed to collect the empirical material. Interviews were held, both with individuals and with focus groups at both terminals. The two perspectives of Cultural Theory were also implemented when we collected our material. Our analysis of the empirical material, made from the representations of the stable- and mobility perspectives of Cultural Theory, shows that both terminals have tendencies towards a hierarchical bias, but the terminal named B shows a somewhat higher degree of group – level than the terminal named A. We propose that the size of the terminals and the relationships between the employees can make a difference and can explain the higher degree of group level in terminal B, but the result of this thesis can not entirely confirm this. An analysis of factors that affect violations also shows that terminal A has a higher potential risk of fiddling than terminal B. This conclusion is also a topic that needs further research if it is to be confirmed. / Uppsatsnivå: D

cultural theory

godshantering

hierarki- och integrationsmodell

säkerhetsmedvetande

Social Sciences

Samhällsvetenskap

Det trådlösa samhället : En utredning av rättsläget, säkerhetsläget och säkerhetsmedvetandet vid användning av trådlöst hemmanätverk.

Engström, Mattias, Arneng, Karl

January 2006

<p>Användningen av trådlöst nätverk blev under början av 2000-talet mycket populärt bland privatpersoner, genom dess mobila fördelar, Tekniken medförde många fördelar, men också många nackdelar och frågan var hur många som verkligen hade blivit uppmärksammade på eller kände till dessa och därefter valt att skydda sina trådlösa nätverk.</p><p>Det främsta syftet med denna uppsats var därmed att undersöka på vilken nivå säkerhetsmedvetandet låg i samhället vid användning av trådlöst nätverk vid gällande tidpunkt. Vidare handlade det också om att reda ut gällande rättsläge , vid handlingar mot eller via ett trådlöst nätverk, och mäta hur utbredd säkerhetsanvändningen var bland trådlösa hemmanätverk. För att besvara detta utgick vi från ett positivistiskt och deduktivt synsätt, med kvalitativa intervjuer för att reda ut gällande rättsläge, pejling av trådlöst nätverk för att mäta säkerhetsläget och kvantitativa enkätintervjuer, för att få fram typer av säkerhetsmedvetande, bland användare av trådlöst hemmanätverk. Innehållet i alla intervjuer baserades på fastställd fakta kring trådlöst nätverk, risker med tekniken, riskförebyggande säkerhetsrutiner och Svensk lag.</p><p>Vi konstaterade slutligen att gällande rättsläge för närvarande var föråldrat och inte anpassat att hantera de risker som trådlöst nätverk hade medfört. Vidare visade resultatet på ökad säkerhetsanvändning bland trådlösa nätverk i samhället, och att det överlag var yngre användare som stod för denna ökning. Yngre användare visade sig även överlag ha ett högre säkerhetsmedvetande, än äldre, och då särskilt hög teknisk kunskap</p> / <p>The usage of Wireless local area networks (WLAN) became very popular amongst private citizens, during the beginning of the 21 century, because of its mobile advantages. The technology brought many advantages, but also many disadvantages and the question was how many had noticed or knew that these existed and afterwards had chosen to secure their WLAN.</p><p>The main purpose of this thesis was to examine the current level of security awareness, in the community, when using WLAN. Other goals were to investigate the current general legal context, about actions against or through a WLAN, and measure the widespread usage of security within WLAN. To answer this we used a positivistic and deductive approach, with qualitative interviews to sort out the current general legal context, Wardriving to find and measure the current state of security within WLAN's and quantitative questionnaires to find out the most common types of security awareness amongst users of WLAN. The content of all this was based on facts about the WLAN technology, the risks that comes with it, risk preventing security routines and the Swedish law.</p><p>Finally we established that the current general legal context was out-of-date and not adapted to handle the new risks that WLAN had brought. Further on the result also showed a increased usage of security amongst WLAN in the community and that the main reason for this was the younger WLAN owners. Younger users also turned out to have higher security awareness, than older users, and particularly very high technical knowledge.</p>

Wireless local area network

security awareness

WLAN

trådlöst nätverk

säkerhetsmedvetande

Wardriving

Informatics and systems science

Informatik och systemvetenskap

Det trådlösa samhället : En utredning av rättsläget, säkerhetsläget och säkerhetsmedvetandet vid användning av trådlöst hemmanätverk.

Engström, Mattias, Arneng, Karl

January 2006

Användningen av trådlöst nätverk blev under början av 2000-talet mycket populärt bland privatpersoner, genom dess mobila fördelar, Tekniken medförde många fördelar, men också många nackdelar och frågan var hur många som verkligen hade blivit uppmärksammade på eller kände till dessa och därefter valt att skydda sina trådlösa nätverk. Det främsta syftet med denna uppsats var därmed att undersöka på vilken nivå säkerhetsmedvetandet låg i samhället vid användning av trådlöst nätverk vid gällande tidpunkt. Vidare handlade det också om att reda ut gällande rättsläge , vid handlingar mot eller via ett trådlöst nätverk, och mäta hur utbredd säkerhetsanvändningen var bland trådlösa hemmanätverk. För att besvara detta utgick vi från ett positivistiskt och deduktivt synsätt, med kvalitativa intervjuer för att reda ut gällande rättsläge, pejling av trådlöst nätverk för att mäta säkerhetsläget och kvantitativa enkätintervjuer, för att få fram typer av säkerhetsmedvetande, bland användare av trådlöst hemmanätverk. Innehållet i alla intervjuer baserades på fastställd fakta kring trådlöst nätverk, risker med tekniken, riskförebyggande säkerhetsrutiner och Svensk lag. Vi konstaterade slutligen att gällande rättsläge för närvarande var föråldrat och inte anpassat att hantera de risker som trådlöst nätverk hade medfört. Vidare visade resultatet på ökad säkerhetsanvändning bland trådlösa nätverk i samhället, och att det överlag var yngre användare som stod för denna ökning. Yngre användare visade sig även överlag ha ett högre säkerhetsmedvetande, än äldre, och då särskilt hög teknisk kunskap / The usage of Wireless local area networks (WLAN) became very popular amongst private citizens, during the beginning of the 21 century, because of its mobile advantages. The technology brought many advantages, but also many disadvantages and the question was how many had noticed or knew that these existed and afterwards had chosen to secure their WLAN. The main purpose of this thesis was to examine the current level of security awareness, in the community, when using WLAN. Other goals were to investigate the current general legal context, about actions against or through a WLAN, and measure the widespread usage of security within WLAN. To answer this we used a positivistic and deductive approach, with qualitative interviews to sort out the current general legal context, Wardriving to find and measure the current state of security within WLAN's and quantitative questionnaires to find out the most common types of security awareness amongst users of WLAN. The content of all this was based on facts about the WLAN technology, the risks that comes with it, risk preventing security routines and the Swedish law. Finally we established that the current general legal context was out-of-date and not adapted to handle the new risks that WLAN had brought. Further on the result also showed a increased usage of security amongst WLAN in the community and that the main reason for this was the younger WLAN owners. Younger users also turned out to have higher security awareness, than older users, and particularly very high technical knowledge.

Wireless local area network

security awareness

WLAN

trådlöst nätverk

säkerhetsmedvetande

Wardriving

Information Systems

Kommuner i interorganisatorisk samverkan : Att säkert och effektivt styra informationssäkerhetsarbete / Municipalities in interorganizational cooperation : Effective and efficient information security governance

Donnerin, Oscar, Mouwafi, Adham

January 2015

Samverkan mellan kommuner är något som varit en aktuell fråga för svenska myndigheter under en längre tid. Mer specifikt har en tydlig ökning identifierats sedan kommunallagen trädde i kraft 1991 och samverkansformen visade sig möta reella politiska behov på ett positivt sätt. Samtidigt har offentliga organisationer de senaste 15 åren gått från att förespråka skyddandet av information till att bli mer öppna och utbyta information över organisatoriska gränser. Denna kvalitativa fallstudie undersöker informationssäkerhet i en interorganisatorisk samverkan mellan svenska kommuner. Teorier som behandlas i uppsatsen är informationssäkerhet, information security governance och samverkan. Studiens syfte är att undersöka utmaningarna med styrning av informationssäkerhetsarbete i en interorganisatorisk samverkan mellan svenska kommuner. Vi ämnar således bidra till forskningen genom att dels förfina befintliga teorier kring de separata ämnesområdena men även utveckla teori där dessa ämnen möts. Vi syftar även till att bidra till praktiken genom att generera värdefull kunskap för de studerade organisationerna men även generalisera resultatet för liknande organisationer. Resultatet visar att vi identifierat ett antal centrala utmaningar där vissa är svårare att hantera än andra. En central utmaning är att det politiska självstyret är tydligt uttalat vilket sätter begräsningar för vad som är möjligt att realisera gemensamt. Vi kan även konstatera att resurser och prioriteringar påverkas av detta. Vi har presenterat ett antal förslag på behov som kan beaktas, både internt i kommunerna men även gemensamt över kommunala gränser. De rekommendationer vi har till kommunerna är att ta ett steg tillbaka gällande samverkan, detta då de ligger på så pass olika nivåer och kan få svårt att skapa en gemensam grund. Kommunerna bör även fokusera på den interna verksamheten och öka säkerhetsmedvetandet för att bli mer redo för att ingå i en samverkan. Uppfylls detta kan de börja fokusera på att anta principer och andra gemensamma aktiviteter som till exempel utbildningar. Detta gör att informationssäkerhetsarbetet går från att vara reaktivt till att bli mer proaktivt. Detta är något som vi anser att både offentliga- och privata organisationer borde sträva mot men även forskare borde ta hänsyn till.

Interorganisatorisk samverkan

informationssäkerhet

informationsutbyte

offentlig sektor

policy

information security governance

säkerhetsmedvetande

Information Systems

Autentisering och Riskmedvetande : En studie om Lösenordshantering och Risktagande / Authentication and Risk Consciousness : A study on password management and risk taking

Håkansson, Daniel Clarke, Lundström, Markus

January 2018

Efter regelbundna diskussioner om huruvida autentisering med statiska lösenord är ett bra tillvägagångssätt växte en idé fram om att undersöka hur människor hanterar sina autentiseringsuppgifter. Detta arbete tar sig an uppgiften att kartlägga svagheter i samband med autentisering vad gäller metoden, samt människors säkerhetsmedvetande och risktagande. Under studien genomfördes en enkätundersökning där 100 personer med varierande ålder och sysselsättning svarade fullständigt. Vi frågade hur de värderar, skapar och hanterar lösenord. De svarande fick även ta ställning till ett antal påståenden, vad gäller deras säkerhetsmedvetande och risktagande i samband med autentisering.Resultatet från studien visar att en majoritet återanvänder lösenord i mycket hög grad. Det framkommer också att en övervägande majoritet använder sig av memorering som huvudsaklig teknik för hantering av lösenord. Resultatet visar även att de svarande i hög utsträckning tycker lösenordets komplexitet är viktigare än dess längd. Dessutom kände sig endast 22% av de svarande ej trygga med ett lösenord som är 8 tecken långt, vilket är en låg procentandel eftersom 8 tecken är för svagt idag. Ämnet är dock komplext, en kombination av längd och komplexitet är önskvärt för att skapa ett starkt lösenord, samtidigt som lösenorden skall vara unika för varje enskild tjänst. Att använda memorering som sin huvudsakliga metod är dessvärre i dessa fall ej applicerbart. En bättre strategi är att använda sig av exempelvis en lösenordshanterare eller att memorera en ramsa. Exempelvis ta förstabokstaven från varje ord i en mening, Min katt heter Glenn han har 3 ben Vit nos &amp; Rött koppel vilket kan resultera i MkhGhh3bVn&amp;Rk. En bra början för att förbättra sin lösenordshantering är att först och främst värdera sina autentiseringsuppgifter som värdefulla, läsa på om ämnet, samt därefter ta fram en egen strategi som är lämplig. / After regular discussions about whether authentication with static passwords is a good approach, an idea emerged to investigate how people handle their authentication credentials. This report tackles the task of mapping weaknesses associated with authentication regarding the method, as well as human security awareness and risk taking. During the study, a survey was conducted in which 100 people completely responded, all with varying age and employment. We asked how they value, create, and manage their passwords. The respondents were also tasked to take a position on a number of allegations, regarding their security awareness and risk-taking in connection with authentication.The result of the study shows that the majority reuse passwords to a very high extent. It also appears that a large majority uses memorization as the maintechnique for password management. The result also shows that respondents to a great extent think the complexity of the password is more important than its length. In addition, only 22% of respondents felt unsafe with a password that is 8 characters long, which is a low percentage since 8 characters are too weak today.Though the subject is complex, a combination of length and complexity is desirable to create a strong password. In addition to that the passwords must be unique to each service. Using memorization as its main method is unfortunately not applicable in these cases. A better strategy is to use, for example, a password manager or to generate a memorandum chant. For example, take the first letter of each word in one sentence, My cat is called Glenn he has 3 legs White nose &amp; Redlink which can result in McicGhh3lWn&amp;Rl. A good start to improve one’s password management is to firstly evaluate authentication credentials as valuable, read upon the subject, and then develop a strategy that is appropriate to one’s needs.

Authentication

Authorization

Security Consciousness

Password

Risk Detection

Identity

Identification

Compromise

Study

Survey

Autentisering

Auktorisering

Säkerhetsmedvetande

Lösenord

Risktagande

Identitet

Identifiering

Kompromettering

Studie

Enkät

Information Systems

Har vi verkligen ett säkert beteende på internet? : En kvalitativ studie om hur användare hanterar lösenord på internet och varför de gör som de gör. / Is our behavior on Internet secure? : A qualitative study on how users manage their online password and why they do as they do

Ahlqvist, Klas, Norell, Per-Ivar

January 2022

Introduktion: För att kunna använda möjligheterna som internet erbjuder krävs i många fall ett användarkonto som identifierar och autentiserar användaren. En förutsättning för att det ska vara säkert är att ingen annan har tillgång till användarens kontouppgifter, vilket ställer krav på att användaren har komplexa och unika lösenord. Syfte: I denna studie har vi undersökt vilken kunskap användare har kring säkra lösenord, hur de agerar samt undersökt varför de agerar som de gör. Metod: Studien är genomförd som en kvalitativ intervjustudie med 12 respondenter i varierande ålder och bakgrund. Resultat: Våra resultat visar att användarens kunskaper ofta bygger på äldre, ej längre aktuella, rekommendationer. De har även bristande kunskaper om vad en lösenordsgenerator eller lösenordshanterare är och hur de fungerar. Kunskapsbristerna, kombinerat med önskan om att det ska gå snabbt, medför att användarna ej genomför korrekta hot- och konsekvensbedömningar av riskerna på internet. Diskussion/Slutsats: Kunskaperna hos användarna behöver höjas för att minska riskerna de utsätter sig för. Teknikutvecklingen går fort och ökad kunskap och medvetenhet krävs för ett säkert agerande på internet. / Introduction: An account, that identify and authorize the user, is nowadays almost a condition for the user’s ability to use the many services Internet provides. If the account shall remain safe, only the user should have access to the user account. The user needs to create unique and complex passwords. Aim: In this study we have examined the end-user’s knowledge regarding safe passwords, how they act. We have also examined why they act as they do. Method: This qualitative study was made through interviews with 12 respondents of varying age. Results: Our findings show that the user’s knowledge often is based on older recommendations. They also lack knowledge about what a password generator, or a password manger, is and how they work. The lack of knowledge combined with a high wish of swift Internet usage leads to inadequate threat and impact assessments of Internet risks. Conclusion: The end-user’s knowledge, regarding security online needs to be improved, to reduce their risk exposure. The development of technology is moving fast so a raised awareness is mandatory for a safe Internet behavior.

Internet security

Passwords

Security awareness. Security behavior

User accounts

Användarkonton

Internetsäkerhet

Lösenord

Säkerhetsbeteende

Säkerhetsmedvetande

Computer Sciences

Datavetenskap (datalogi)

Computer and Information Sciences

Data- och informationsvetenskap