Informationssäkerhetsmedvetenhet : Hur kan små och medelstora företag inom tillverkningsindustrin arbeta för att öka informationssäkerhetsmedvetenhet hos anställda / Information security awareness : How can small and medium-sized enterprises within the manufacturing industry enhance information security awareness among employees

Paulsson, Tim, Johansson, Kevin

January 2021

Information security awareness among employees is something all organizations work with, and which must be constantly improved as new threats arise. The manufacturing industry is particularly vulnerable as they have recently begun to move towards a data-intensive industry. The purpose of the study is to investigate how small and medium-sized companies in the manufacturing industry can increase their knowledge and awareness of information security. The study is conducted via semi-structured interviews which then underwent a thematic analysis. The study describes the information security controls used in the manufacturing industry and in which way organizations use them to make employees information security aware. Information security managers describe the motives behind their choice of information security controls and how they adapt the training to increase information security awareness among employees. The employees describe how they feel that the information security controls work and how they could be changed. The study's conclusion contributes with recommendations for how organizations should proceed in order to make their employees aware of information security in the most effective way. The study also clarifies structural attributes that must be considered when introducing information security controls. The authors also draw attention to the importance of a simplified language within the organization, but also that it is important to create a safe work environment where employees can present incidents without feeling humiliated. / Informationssäkerhetsmedvetenhet hos anställda är något alla organisationer arbetar med och som ständigt måste förbättras eftersom nya hot uppkommer. Detta arbete är centralt och utmanande inom samtliga industrier, tillverkningsindustrin är extra utsatt eftersom de på senaste tid börjat gå mot en alltmer dataintensiv industri. Syftet med studien är att undersöka hur små och medelstora företag inom tillverkningsindustrin kan öka sin kunskap om- och medvetenhet avseende informationssäkerhet. Undersökningen genomförs via semi-strukturerade intervjuer som sedan genomgår en tematisk analys. Studien beskriver de informationssäkerhetåtgärder som används inom tillverkningsindustrin och på vilket sätt organisationerna använder de för att göra anställda informationssäkerhetsmedvetna. Informationssäkerhetsansvariga beskriver de motiven som ligger bakom deras informationssäkerhetsåtgärdsval och hur de anpassar utbildningen för att öka informationssäkerhetsmedvetenheten hos anställda. De anställda beskriver hur de upplever att informationssäkerhetsåtgärderna fungerar och berättar hur de tycker att utbildningarna ska förändras. Studiens slutsats bidrar med rekommendationer för hur organisationer bör gå till väga för att på det mest effektiva sättet få sina anställda informationssäkerhetsmedvetna. Studien tydliggör även för de struktursattribut som måste övervägas vid införandet av informationssäkerhetsåtgärder. Författarna uppmärksammar också betydelsen av ett förenklat språk inom organisationen, men även att det är viktigt att skapa en trygg arbetsmiljö där anställda kan framföra incidenter utan att känna sig uthängda.

Informationssäkerhet

informationssäkerhetsmedvetenhet

tillverkningsindustrin

små och medelstora företag

informationssäkerhetsåtgärder

träningsåtgärder

medvetenhetsåtgärder

utbildningsåtgärder

Övrig annan teknik

Informationssäkerhetsmedvetenhet inom mikro- och småbolag : Medvetenhetsåtgärder hos svenska mikro- och småbolag inom IT-branschen / Information security awareness in micro and small companies.

Vukovic, Alexander, Samet, Özcelik

January 2022

All organizations, regardless of size, are affected by information security awareness. Information security awareness is an important component, especially for organizations in the IT industry, to be able to respond to new cyber threats but also comply with requirements and regulations for handling customer data. The purpose of the study is to improve awareness-raising measures used by Swedish micro and small companies in the IT industry to increase information security awareness among employees. The study is performed through semi-structured interviews and then analyzed using the Grounded theory-method. The study highlights the awareness measures used in the IT industry and how they are used among companies to make employees aware of information security. In addition, the companies' underlying motives for their choice of awareness measure and their perspective on adapting the measure are examined. The study's conclusions present recommendations that can be used by micro and small companies in the IT industry to improve their awareness-raising measures. The study highlights the importance of adapting training measures, but also that companies should present reality-based scenarios to employees. In addition, it is also emphasized that incentives should be used by information security officers for employees to ensure compliance. / Alla organisationer, oavsett storlek påverkas av informationssäkerhetsmedvetenhet. Medvetenhet om informationssäkerhet är en viktig komponent i synnerhet för organisationer inom IT-branschen för att kunna bemöta nya cyberhot men också efterleva krav och regleringar för hantering av kunddata. Syftet med studien är att förbättra medvetenhetshöjande åtgärder som används av svenska mikro- och småbolag inom IT-branschen för att öka informationssäkerhetsmedvetenheten bland anställda. Studien utförs genom semistrukturerade intervjuer och analyseras sedan med hjälp av Grundad teori-metoden. Studien synliggör vilka medvetenhetsåtgärder som används inom IT-branschen och hur de används bland bolagen för att göra anställda medvetna gällande informationssäkerhet. Dessutom framgår bolagens bakomliggande motiv för deras val av medvetenhetsåtgärd samt deras perspektiv på anpassning av åtgärd. Studiens slutsatser presenterar rekommendationer som kan användas av mikro- och småbolag inom IT-branschen för att förbättra deras medvetenhetshöjande åtgärder. Studien lyfter fram betydelsen av anpassning av utbildningsåtgärder, men även att bolagen bör presentera verklighetsförankrade scenarier till de anställda. Därtill framhävs även att incitament bör användas av informationssäkerhetsansvariga till anställda för att säkerställa efterlevnad.

Information security

information security awareness

awareness measures

training measures

compliance

IT industry

micro and small companies

Informationssäkerhet

informationssäkerhetsmedvetenhet

medvetenhetsåtgärder

utbildningsåtgärder

efterlevnad

IT-branschen

mikro- och småbolag

Information Systems