Social-engineering ett hot mot informationssäkerheten?

Palmqvist, Stefan

January 2008

<p>Den här rapporten tar upp ett annorlunda hot mot informationssäkerheten, som inte hårdvara</p><p>eller mjukvara kan stoppa. Detta hot kallas för social-engineering, och det som gör detta hot</p><p>farligt är att de anställda och chefer i en organisation, kan hjälpa utövaren av socialengineering</p><p>utan att de själva vet om det.</p><p>Det går inte att förhindra att dessa attacker sker, men man kan förhindra de negativa</p><p>konsekvenserna av en sådan attack. Denna rapport tar upp hur man ska göra för att en</p><p>organisation ska kunna fortsätta med sin verksamhet, efter en attack av social-engineering. I</p><p>värsta fall kan en attack av social-engineering innebära att ett företag aldrig återhämtar sig.</p><p>Detta kan bero på att organisationen har förlorat alla sina kunder, förlorat marknads andelar,</p><p>eller för att de ansvariga och viktiga personerna i organisationen har blivit dömda för</p><p>oaktsamhet och sitter i fängelse.</p><p>Denna rapport ska informera och få er att vara uppmärksamma och medvetna om dessa</p><p>hot, som ni kanske inte vet finns. Ni ska få kunskap och lära er känna igen de olika</p><p>förklädnaderna en utövare av social-engineering antar.</p> / <p>This paper discusses a different threat against information security, which can not be</p><p>prevented by either hardware or software. This Threat is called social engineering and the</p><p>main issue that makes this threat so dangerous is that the victims, like executives and the</p><p>employees in an organization are not aware that they actually helps the practician of social</p><p>engineering.</p><p>These attacks can not be avoided, but there is a way to prevent negative consequences of</p><p>such an attack. This paper discusses how an organization can manage to continue with the</p><p>activity, despite an attack of social engineering. In worse case the scenarios of an attack of</p><p>social engineering can mean that an organization never fully recovers. The different scenarios</p><p>of this can be as following. The organization could lose all the clients, they could have lost</p><p>market share or the responsible important people in the organization could be convicted and</p><p>sent to jail.</p><p>This paper will make you aware of these threats that you might even don’t know exists.</p><p>You will be given the knowledge to be able to recognize de different disguises a practician of</p><p>social engineering can assume.</p>

social engineering

information security

hacker

policy for security work

risk

social-engineering

informationssäkerhet

hacker

säkerhetspolicy

riskanalys

Computer science

Datalogi

Social-engineering ett hot mot informationssäkerheten?

Palmqvist, Stefan

January 2008

Den här rapporten tar upp ett annorlunda hot mot informationssäkerheten, som inte hårdvara eller mjukvara kan stoppa. Detta hot kallas för social-engineering, och det som gör detta hot farligt är att de anställda och chefer i en organisation, kan hjälpa utövaren av socialengineering utan att de själva vet om det. Det går inte att förhindra att dessa attacker sker, men man kan förhindra de negativa konsekvenserna av en sådan attack. Denna rapport tar upp hur man ska göra för att en organisation ska kunna fortsätta med sin verksamhet, efter en attack av social-engineering. I värsta fall kan en attack av social-engineering innebära att ett företag aldrig återhämtar sig. Detta kan bero på att organisationen har förlorat alla sina kunder, förlorat marknads andelar, eller för att de ansvariga och viktiga personerna i organisationen har blivit dömda för oaktsamhet och sitter i fängelse. Denna rapport ska informera och få er att vara uppmärksamma och medvetna om dessa hot, som ni kanske inte vet finns. Ni ska få kunskap och lära er känna igen de olika förklädnaderna en utövare av social-engineering antar. / This paper discusses a different threat against information security, which can not be prevented by either hardware or software. This Threat is called social engineering and the main issue that makes this threat so dangerous is that the victims, like executives and the employees in an organization are not aware that they actually helps the practician of social engineering. These attacks can not be avoided, but there is a way to prevent negative consequences of such an attack. This paper discusses how an organization can manage to continue with the activity, despite an attack of social engineering. In worse case the scenarios of an attack of social engineering can mean that an organization never fully recovers. The different scenarios of this can be as following. The organization could lose all the clients, they could have lost market share or the responsible important people in the organization could be convicted and sent to jail. This paper will make you aware of these threats that you might even don’t know exists. You will be given the knowledge to be able to recognize de different disguises a practician of social engineering can assume.

social engineering

information security

hacker

policy for security work

risk

social-engineering

informationssäkerhet

hacker

säkerhetspolicy

riskanalys

Computer Sciences

Datavetenskap (datalogi)

Auktorisering i system för digitalt bevarande

Dyk, Olivia

January 2019

The purpose is to investigate, analyze and clarify the relationship between authorization and security policy for digital preservation system. Information security comes into focus when digital preservation systems are discussed. The handling of electronic documents in digital preservation systems is now widespread and a large part of many activities. This means that the business must ensure that it protects against the loss of information stored in the digital preservation system. Authorization and security policy are relevant to archive and information science because digital objects in digital preservation system are to be protected from unauthorized access. With a qualitative method the research will go through security policy, systems and models for access architecture. With open approach and open questions, the research will be summarized with a discussion on the most important conclusions for access management for digital preservation system, which are mainly built on roles. It is of great importance that the company uses roles and authorization levels to ensure that everyone knows with certainty what to do and what they cannot do. / Syftet är att undersöka, analysera och klargöra relationen mellan auktorisering och säkerhetspolicy för system för digitalt bevarande. Informationssäkerhet kommer i fokus när system för digitalt bevarande diskuteras. Hanteringen av elektroniska dokument i system för digitalt bevarande är nu utbrett och en stor del av många aktiviteter. Det innebär att verksamheten måste se till att den skyddar mot förlust av information som lagras i system för digitalt bevarande. Auktorisering och säkerhetspolicy är relevant för arkiv- och informationsvetenskap eftersom digitala objekt i system för digitalt bevarande ska skyddas mot obehörig åtkomst. Med en kvalitativ metod kommer forskningen att gå igenom säkerhetspolicy, system och modeller för åtkomstarkitektur. Med öppet tillvägagångssätt och öppna frågor kommer forskningen slutligen att sammanfattas med en diskussion om de viktigaste slutsatserna för åtkomsthantering för system för digitalt bevarande, som huvudsakligen bygger på roller. Det är av stor vikt att företaget använder roller och auktoriseringsnivåer för att säkerställa att alla med säkerhet vet vad de ska göra och vad de inte får göra.

Authorization

Security Policy

Access Control

Information system

Digital preservation system

Auktorisering

Säkerhetspolicy

Åtkomstkontroll

Informationssystem

System för digitalt bevarande

Information Systems, Social aspects

Säkerhetspolicyer på svenska företag : Hur efterlevnad säkerställs bland anställda / Security policies at Swedish companies

Cederstrand, Christopher, Berg, Elias

January 2023

I den digitala världen som vi lever i är vi mer uppkopplade och hanterar mer information än någonsin tidigare. Informationen, som i fel händer kan leda till katastrofala händelser för dagens företag. En viktig aspekt som ofta diskuteras är de anställda som ofta regleras av företagsspecifika policyer för att hålla företaget på en säker väg. Efterlevnad från de anställda är inte så enkelt som att bara tala om för dem att följa företagets regler, det måste finnas något mer för att motivera de anställda och därigenom skapa en säker miljö att arbeta inom. Denna rapport presenterar en studie där forskning har utförts för att analysera hur företag i Sverige arbetar för att höja efterlevnaden av företagets policyer med fokus påinformationssäkerhet och medvetenhet om informationssäkerhet. Genom att använda grounded theory i kombination med kvalitativa, semistrukturerade intervjuer med en representant från varje företag som har ansvar för företagets informationssäkerhet, har vi studerat vilka metoder företag använder för att öka efterlevnaden av deras policyer. Resultaten visar att utbildning är en viktig metod som tillämpas, men det finns fleraolika variationer av utbildning och företagen skiljer sig åt i hur de informerar sina anställda om risker som är kopplade till policyer. En annan upptäckt som har kommit fram i denna forskning är att ansvaret för utbildning och policyer är snarlika blandföretagen. I slutsatsen av denna rapport presenteras rekommendationer som potentiellt kan hjälpa företag att öka efterlevnaden av sina IT-policyer. Dessa rekommendationer baseras på de metoder som har framkommit i de intervjuer som utförts i denna studie.

Informationsäkerhet

Säkerhetspolicy

Efterlevnad

Policy

ISA

Cybersäkerhet

Riskhantering

Dataskydd

Säkerhetsstandarder

Hothantering

Informell Säkerhet

Work Sciences

Arbetslivsstudier

Information Systems, Social aspects