SVENSKA VERKSAMHETERS UTMANINGAR MOT ETT CERTIFIKAT INOM INFORMATIONSSÄKERHET : En fallstudie om svenska verksamheters utmaningar för att certifiera sig enligt ISO 27001-standarden / SWEDISH ORGANIZATIONS CHALLENGES TOWARDS A CERTIFICATE WITHIN INFORMATION SECURITY : A case studie about Swedish organizations challenges to gain a certificate according to the ISO 27001 standard.

Moffat, Hanna

January 2023

I detta examensarbete är syftet att undersöka svenska verksamheters utmaningar i att uppnå en ISO 27001-certifiering med sitt arbete inom informationssäkerhet. Digitala medier och verktyg är numera en stor del av samhällsviktiga verksamheters tjänster samt operationer och det har bidragit till stora möjligheter såväl som stora sårbarheter. ISO 27001-certifieringar är den standard som ligger till grund för säkerhetsskyddslagen såväl som NIS-direktivet vilket gör att det är en standard som svenska verksamheter kan applicera. Genom bakgrunden ges en inblick i vad informationssäkerhet är och hur det står i relation med cybersäkerhet. Bakgrunden innehåller även en introduktion till den svenska lagstiftningen inom informationssäkerhet såväl som ISO 27001-standarden för att belysa vad svenska verksamheter har att förhålla sig till när det kommer till sitt arbete med informationssäkerhet. I problemformuleringen lyfts de aktuella hoten och myndigheters uttalanden inom informationssäkerhet i Sverige och hur svenska verksamheter brister i dessa. Detta i kombination med den tidigare forskningen om hur utmaningar inom ISO 27001-certifieringar har tagit sitt uttryck för andra verksamheter. Metoden redovisar hur kvalitativa intervjuer använts som verktyg för datainsamling till fallstudien men även hur det tagit sitt uttryck och beskriver processen – från förberedelse till läsbar produkt, vilket är detta examensarbete. I analysen ställs den insamlade datan i relation till tidigare forskning samt aktuella händelser för att se vilka utmaningar svenska verksamheter har för att uppnå en ISO 27001-certifiering. Resultatet baseras på den insamlade datan då det är svenska verksamheters utmaningar som är aktuellt för fallstudien. Det resulterade i fyra utmaningar: motivation, tid och ekonomi, bransch samt komplexitet. Dessa utmaningar och dess bidragande faktorer redovisas i text såväl som figurer. Somliga av dessa utmaningar är utmaningar som lyfts i tidigare forskning, vilket gör att de även kan appliceras som utmaningar för svenska verksamheter. Uppsatsen avslutas med en diskussion där fallstudiens resultat diskuteras i olika perspektiv – samhälleliga, etiska samt vetenskapliga. Diskussion om val av metod, studiens resultat samt förslag på framtida forskning lyfts, där det diskuteras om hur lagar samt standarder inom informationssäkerhet är svåra att implementera samt förstå och om det ens är möjligt att göra det lättare.

Information Systems

Bedömande vid informationssäkerhetsklassificering

Marklund, Joakim, Hedström, Tomas

January 2019

Utvecklingen i informationssamhället påverkar i allt större grad Försvarsmaktens verksamhetsprocesser. Det innebär att kraven och förutsättningarna för säkerhetsskydd av IT-system och därmed informationssäkerhetsklassning av handlingar och uppgifter förändras.  Denna studie undersöker under vilka förutsättningar som informationssäkerhetsklassificering genomförs i Försvarsmakten idag. Anledningen är att det förekommer inkonsekventa värderingar av uppgifter och handlingar, vilket försvårar samverkan, ger onödiga IT kostnader och säkerhetsrisker. Syftet med denna studie är att utreda vilka problem som medarbetare uppfattar finns inom Försvarsmakten idag, samt att om möjligt identifiera ändamålsenliga utvecklingsåtgärder. För att ta reda på detta har tjugotvå användare svarat på enkäter med öppna frågor, samt fem semistrukturerade intervjuer genomförts med experter inom lagar och förordningar, IT-system, metod och informationssäkerhet. Resultatet visar att de uppfattade problemen ligger i att förstå hur den egna informationen ska värderas i ett större sammanhang och att det är svåröverskådligt hur ens egen uppgift kan kombineras med andras uppgifter. Detta får flera konsekvenser, bl.a. svårigheter att göra ’skada och men’ bedömningar i förhållande till olika informationssäkerhetsklasser. Vidare visar resultatet att Försvarsmaktens metod för informationssäkerhetsklassificering har utvecklingspotential inom gällande lagar och förordningar, samt att orsakerna till de uppfattade problemen kan bemötas med riktade åtgärder. Vi utvecklade därför en teori med utvecklingsåtgärder för att hantera orsakerna till de uppfattade problemen med hänsyn till vad som idag är realiserbart. Syftet med teorin är att stärka förmågan till konsekvent informationssäkerhetsklassificering i komplext kontext, vilket åstadkommes genom förbättrad kommunikation och analytiskt stöd. Väsentliga element i teorin är tillgång till flera perspektiv genom mångfald i nätverk med lokala beslutsstödsgrupper, att andra kan inkluderas i bedömandet med externa representationstekniker och motivering av sekretessbeslut, samt att viktiga analysmoment är tydliggjorda. Uppsatsen bidrar med ett nödvändigt användareperspektiv till dagens högaktuella informationssäkerhetsdiskussion. / The development of the information society is increasingly affecting the Swedish Armed Forces' operational processes. This means that the requirements and conditions for security protection of IT systems and thus information security classification of documents and data are changing. This study investigates the conditions under which information security classification is carried out in the Swedish Armed Forces today. The reason is that there are inconsistent assessments ​​of data and documents, which makes collaboration more difficult, gives unnecessary IT costs, and security risks. The purpose of this study is to investigate which problems employees perceive are within the Swedish Armed Forces today and if possible to identify appropriate development measures. To find this out, twenty-two participants have responded to questionnaires with open questions, and five semi-structured interviews were conducted with experts in laws and regulations, IT systems, methodology, and information security. The result shows that the perceived problems lie in understanding how one’s information is to be valued in a larger context and that it is difficult to understand how that information can be combined with other people's information. This has several consequences, including difficulties in making "damage and detriment" assessments with different information security classes. Furthermore, the results show that the Swedish Armed Forces' method for information security classification has development potential within existing laws and regulations and that the causes of the perceived problems can be addressed with targeted measures. We, therefore, developed a theory with development measures to manage the causes of the perceived problems concerning what is today realizable. The purpose of the theory is to strengthen the ability for consistent information security classification in a complex context, which is achieved through improved communication and analytical support. Essential elements in this theory are access to several perspectives through diversity in networks with local decision support groups, that others can be included in the assessment with external representation techniques and motivation of confidentiality decisions, and that important analysis steps are made clear. The essay contributes with a necessary ‘user perspective’ to the contemporary and up-to-date information security discussion.

användarperspektiv

säkerhetsskyddsanalys

säkerhetsskyddslagen

informationssamhället

digitaliseringen

bedömande

informationssäkerhet

informationssäkerhetsklassificering

konsekvent

klassificering

komplext

kontext

beslutsstödsgrupper

4k

kommunikation

makt

inflytande

mångfald

Business Administration

Företagsekonomi

Betydelsen av informella processer i köpare-leverantörsrelationer vid offentlig upphandling av IT-säkerhetsprodukter / The role of informal processes within buyer-supplier relationships in public procurement of IT security

Strömberg, Matilda, Gustafsson, Alexander

January 2023

Contracts are the most common method of service delivery. The knowledge about how to effectively implement deliveries through contracts is limited. Therefore, the work examines the role of informal processes within buyer-supplier relationships in public procurement of IT security products in Sweden to better understand this issue. The work also highlights how different types of products, both simple and complex, affect the nature of these relationships. Additionally, information security is discussed as an adaptive and complex system, and transaction cost economics is presented as a theoretical framework for understanding buyer-supplier relationships in public procurement. Semi-structured interviews with decision-makers responsible for the procurement of IT security products were used to understand the subject. As a result, a gap in competence within IT security was identified in the public sector. Employees' technical expertise and informal relationships with suppliers can affect the objectivity of the procurement process. The results also demonstrate that informal relationships and individual perceptions can introduce subjectivity, despite the procurement process in Sweden being characterized by formal regulations and legally mandated objectivity. The work also discusses the role and influence of both formal and informal contracts, emphasizing the importance of informal control mechanisms such as authority and trust rather than price in the procurement of IT security products. The work highlights that informal control mechanisms are utilized to manage risks within the field of information security. To ensure an objective, efficient, and integrity-preserving procurement process, there is a need to address informal factors and promote transparent guidelines in public procurement of IT security products in Sweden. / Kontrakt är den vanligaste metoden för tjänsteleverans. Det råder delvis en brist på kunskap om hur man effektivt genomför leveranser genom kontrakt. Arbetet undersöker därför betydelsen av informella processer inom upphandling av IT-säkerhetsprodukter inom den offentliga sektorn i Sverige för att bättre förstå denna problematik. Arbetet analyserar specifikt köpare-leverantörsrelationer för IT-säkerhetsprodukter och diskuterar hur olika typer av produkter, både enkla och komplexa, påverkar dessa relationers karaktär. Dessutom diskuteras informationssäkerhet som ett adaptivt och komplext system samt transaktionskostnader som en teoretisk ram för att förstå köpare-leverantörsrelationer inom offentlig upphandling. Genom semistrukturerade djupintervjuer med beslutsfattare som är ansvariga för upphandling av IT-säkerhetsprodukter identifierar arbetet ett kompetensgap inom offentliga organisationer. Anställdas tekniska kompetens och informella relationer med leverantörer kan påverka objektiviteten i upphandlingsprocessen. Resultatet visar även att informella relationer och individuella uppfattningar kan introducera subjektivitet, trots att upphandlingsprocessen i Sverige präglas av formella regelverk och lagstadgad objektivitet. Arbetet diskuterar även rollen och inflytandet av både formella och informella kontrakt och betonar vikten av informella styrmekanismer, såsom auktoritet och tillit, snarare än pris vid upphandling av IT-säkerhetsprodukter. Arbetet påvisar att informella styrmekanismer används för att hantera risker inom informationssäkerhetsområdet. För att säkerställa en objektiv, effektiv och integritetsbevarande upphandlingsprocess betonas behovet av att hantera informella faktorer och främja transparenta riktlinjer inom offentlig upphandling av IT-säkerhetsprodukter i Sverige.

Offentlig upphandling

IT-säkerhet

informationssäkerhet

säkerhetsskyddslagen

informella processer

köpare-säljarerelationer

inköp

produktkomplexitet

objektivitet

Övrig annan teknik

Ett granskningssystem för utländska direktinvesteringar : Om lagförslagets ändamålsenlighet, den parallella tillämpningen av säkerhetsskyddslagen och ytterligare krav på parterna i en transaktion / A national screening mechanism of foreign direct investments : Regarding the expediency of the propounded law, the parallel application of the Swedish Security Protection Act, and added liabilities of the M&A-transactions parties

Löfgren, Clara

January 2023

No description available.

FDI

utländska direktinvesteringar

säkerhetsskyddslagen

FDI-förordningen

M&A

företagsöverlåtelser

företagsförvärv

transaktioner

utländskt kapital

investeringar

svenskt näringsliv

strategiska förvärv

transaktionsrådgivning

företagsbesiktning

due diligence

skyddsvärd verksamhet

Law and Society

Juridik och samhälle