Analys - Säkert distansarbete En studie om informationssäkerhet vid distansarbete

I detta kapitel kommer resultatet analyseras i relation till syftet och de frågor som presenteras. Syftet med denna studie är att undersöka respondenternas erfarenheter och säkerhetsrutiner vid övergången till distansarbete och undersöka om det finns några framgångsfaktorer som gör övergången smidigare.

Samtliga respondenter uppgav att omställningen gått bra och att deras säkerhetsrutiner inte har ändrats avsevärt. Från intervjuerna har vi tolkat att det finns en stark säkerhetskultur, då flera respondenter nämner just att det är något man ständigt jobbar med samt pratar kring. Organisationen har policys men det används inte frekvent av respondenterna men vi upplever ändå stark kunskap om ämnet informationssäkerhet från respondenterna.

En av CERT-2020s uppmaningar till företag som ska ställa om till distans är att utbilda medarbetarna kring säkerhet på distans (CERT-SE, 2020). Organisationen verkar inte ha gett någon speciell utbildning om detta men det verkar inte upplevas som ett problem bland medarbetare. En anledning till att ingen utbildning har skett är för att många medarbetare redan hade utrustning för att kunna koppla upp och hade kunskaper kring detta. Tidigare studier (Hight, 2005; Malecki, 2020; Thomson, et al., 2006; Stanton, et al., 2005) belyser att utbildade medarbetare är av stor vikt gällande stark informationssäkerhet. För denna organisation har det fungerat utan utbildning men över lag tror vi att utbildning vid omställning till distans är av nytta då alla organisationer inte har sådan stark kunskap bland medarbetare kring distansarbete. Inom organisationen finns det en säkerhetsgrupp som tar hand om frågor samt håller informationsmöten om säkerhetsrelaterade frågor. En rekommendation från CERT-2020 är att man ska hantera de ökade frågorna som kan uppstå vid distansarbete (CERT-SE, 2020). Om medarbetare inte får hjälp utgör detta en säkerhetsrisk då denne kan ta genvägar för att få jobbet gjort. Att ta genvägar gällande säkerhet är något som flera respondenter nämner som problematiskt och beror på största del till system uppfattas för krångligt och man inte ser dess funktion. Därmed är det viktigt att organisationen hanterar frågor fort och ger medarbetare information av vikten att använda de säkerhetsåtgärder som finns.

Det är viktigt att användare ska känna till säkerhetsrutiner och policys företaget har kring distansarbete enligt CERT-2020 (CERT-SE, 2020). Organisationen har sedan tidigare etablerat rutiner och policys för att arbeta på distans. Att ta fram en ny policy ser en av respondenterna som inte nödvändigt då de redan hade fastställt hur arbete på distans ska ske. Vid nyanställning upplever flera respondenter utmaningar att introducera medarbetarna i arbetet. Vi tror att en skriftlig tydlig policy skulle kunna vara av fördel för organisationer att ha och visa för nyanställda då tidigare forskning indikerar att det är viktigt att medarbetare inte bara följer policys utan även förstår varför de finns.

CERT-2020 uppger vidare att det är viktigt att man ska komma åt det man behöver på ett säkert sätt, genom exempelvis VPN (CERT-SE, 2020). Detta är någon som samtliga respondenter uppger att det finns och fungerar bra, rutiner för detta fanns fastställt redan innan övergången till distans.

CERT-2020 rekommenderar för den anställda som arbetar i hemmet att all utrustning är uppdaterad och man inte ska använda privat utrustning och privata molntjänster om inte arbetsgivaren har godkänt detta (CERT-SE, 2020). Samtliga respondenter uppgav att de använder företagets utrustning och uppdateringar sker centralt. Vi uppfattar det som

att samtliga respondenter tar det för givet att företagets utrustning ska användas, när vi frågade kring om detta är något som kontrolleras så svarade en respondent att man kan kontrollera men det är inget som man gör.

CERT-2020 säger att den anställde ska vara medveten om hur information hanteras och att hanteringen är korrekt även då man arbetar hemma (CERT-SE, 2020). Några respondenter uppger att man känner en osäkerhet kring hantering av information och skulle önska färre kanaler för information. Olika grupperingar inom organisationen använder olika verktyg för samarbete och kommunikation vilket leder till svårigheter att samarbeta mellan olika grupperingar samt veta vart information finns lagrad. Detta kan medföra att information ramlar bort genom att ingen vet vart det har lagrats.

Organisationen uppger att de använder sig av CIA triaden för att klassa information samt granska verktyg. Genom den insikt vi har fått gällande organisationens säkerhetsrelaterade åtgärder nämner CIA-triaden några typer av säkerhetsåtgärder som en organisation kan använda för att nå hög konfidentialitet, riktighet och tillgänglighet (Solomon & Chapple, 2005), se figur 4.

Figur 4 - Illustration av CIA - triaden där säkerhetsåtgärder relaterade till de olika delarna. I figuren visas exempel på säkerhetsrelaterade delar (Cabric, 2015; Solomon & Chapple, 2005), de som har identifierats inom organisationen är markerade.

Konfidentialitet innebär att information inte görs tillgängligt för obehöriga. Riktighet innebär att informationen är korrekt. Tillgänglighet innebär att informationen ska vara tillgänglig och användbar för behöriga (Oscarsson, 2019). Ser vi utifrån tillgänglighet så har vi identifierat att man inom organisationen använder sig av backup. Vi kan inte med säkerhet säga att brandväggar används då de inte uttryckligen uttrycktes i intervjun men flera personer pratade kring att det var viktigt att koppla upp sig på ett säkert sätt hemifrån och det är viktigt att nätverket hemma är säkert. Vi har heller inte diskuterat om det finns någon plan om katastrofer sker då vi inte var något som kom upp under intervjuerna.

Gällande konfidentialitet har vi inte identifierat säkra lösenord då detta inte diskuterades under intervjuerna. Däremot kan vi se att organisationen både använde sig av datakryptering, tvåfaktorsautentisering, säkerhetsutbildning samt Clean deskpolicy. Detta indikerar att organisationen upprätthåller en hög konfidentialitet. Kring riktighet ser vi att man använder sig både av versionshantering och har utbildning inom säkerhet för sina medarbetare. Däremot var digitala signaturer något som inte uttryckligen nämns så vi kan inte uttala oss om användning av sådana.

Sammanfattningsvis kan vi se att flera säkerhetsåtgärder vilka nämns inom CIA-triaden används. Målet inom informationssäkerhet är att uppnå en viss nivå av konfidentialitet, riktighet och tillgänglighet vilket vi anser att organisationen uppnår genom sin implementering av CIA-triaden i sin verksamhet.

Maslows behovshierarki består av fem nivåer av människors behov. Nivå ett är de grundläggande behov så som mat, dryck och värme. Nivå två är trygghet och säkerhet, det handlar om behovet av stabilitet i sin miljö (Eriksson-Zetterquist, et al., 2011). Genom intervjuerna har vi fått uppfattningen att anställda ser organisationen som en trygg arbetsplats. Även under distans gör organisationen åtgärder för att skapa en bra miljö på kontoret hemma, den utrustning som behövs tilldelas. Nivå tre handlar om gemenskap, att man ska känna en känsla samhörighet till arbetsgruppen och organisationen (Eriksson-Zetterquist, et al., 2011). Organisationen över lag upplevs som sammansvetsad och vi upplever att organisationen strävar mot att skapa en gemenskap genom att ha aktiviteter utöver arbete. Den fjärde nivån är självkänsla, detta handlar om uppskattande och erkännande från gruppen (Eriksson-Zetterquist, et al., 2011). Ledare inom organisationen uppgav att man hade hög tillit till sin personal. Medlemmar inom teamen får stort eget ansvar att tillsammans nå de mål som är uppsatta. Den sista nivån är självförverkligande, vilket handlar om behovet av personlig utveckling vilket är det slutgiltiga målet man strävar efter att uppnå (Hedegaard Hein, 2012). Utifrån vår analys upplever vi att många inom organisationen verkar befinna sig längre upp i behovshierarkin vilket gör att deras motivation är hög. Enligt Maslows behovshierarki leder detta till mer motiverad personal (Eriksson-Zetterquist, et al., 2011). Tidigare forskning (Alvesson, 2013; Hight, 2005; Stanton, et al., 2005) visar på att personal som trivs och känner sig motiverad kommer influera deras säkerhetsbeteende till det positiva.

En stark säkerhetskultur kan enligt tidigare studier (Nasir, et al., 2017; Thomson, et al., 2006) förbättra informationssäkerheten och kulturen kan styra användarnas säkerhetsbeteende. För att bygga en stark organisationskultur behöver organisationen ha rätt vision och ledning. En stark organisationskultur kännetecknas av att medarbetare känner engagemang och är motiverade (Alvesson, 2013). Flera respondenter uppger att det finns en stark organisationskultur inom organisationen. Lyckas man bygga en stark organisationskultur kommer medarbetares agerande vara det som gynnar organisationen. Organisationen nämner att det finns hög säkerhetsmedvetenhet inom organisationen. Varje nyanställd får en grundutbildning inom säkerhet. Tidigare studier (Hight, 2005) belyser att en säkerhetsmedveten användare känner större ansvar, blir mer motiverad att lära sig mer och bli mer uppmärksam på detaljer. Vidare så belyser tidigare studier (Stanton, et al., 2004) att genom att underlätta arbetet för medarbetarna så kommer dessa att respektera informationssäkerhet mer. Andra faktorer som har identifierats i tidigare studier (Stanton, et al., 2004) som leder till positivt beteende gällande

informationssäkerhet är att man trivs i organisationen, man besitter teknisk kunskap och att ledningen ger ansvar. I denna organisation framgår det från flera respondenter att organisationen aktivt arbetar för att underlätta för medarbetare. Vidare uppger respondenter att man har kollektivt ansvar att nå målen, vilket indikerar på engagemang för sitt arbete och organisationer samt att man har positiv bild av hur ledningen hanterar informationssäkerhetsrelaterat innehåll.

Ur ett socio-tekniskt perspektiv ska en organisation vara utformad så att både sociala och tekniska system ska vara relaterade till varandra. Inom denna teori finns nio designprinciper som ett socio-tekniskt system ska följa (Mumford, 2006). Vi ser att flera designprinciper från det sociotekniska systemet nyttjas inom organisationen. Princip två innebär att man ska sätta upp mål men låta anställda ta beslut hur målen ska nås (Mumford, 2006). Detta är något vi kan identifiera i de team som finns inom organisationen, teamen beslutar kring hur man når målen och ledare har hög tilltro till att medarbetare kommer leverera. Princip sex innebär att man ska underlätta delning av information mellan olika delar av verksamheten, detta har man inom organisationen gjort genom att ha samarbetsytor och kanaler som kan nås av olika delar av verksamheten (Mumford, 2006). Flera respondenter upplever svårigheter med delning av information utanför sitt team efter övergången till distans vilket gör att man nu arbetar med att hitta lösningar till detta, vilket kan kopplas till princip fem som handlar om att hitta gränserna. Princip sju innebär att system ska vara utformade på ett vis som man vill att medarbetare i organisationen ska agera (Mumford, 2006). Ett exempel på detta som vi har funnit inom organisationen är att man medvetet designar säkerhetsrelaterade åtgärder så att det inte ska gå att kunna göra misstag, man utgår från att det ska vara lätt att göra rätt. Princip åtta handlar om att designa utifrån människans olika behov och anpassar utifrån olika individers behov (Mumford, 2006). Utifrån den tidigare analys från Maslows behovshierarki upplevs att det finns en hög motivation inom organisationen och varje individs behov är viktig, vilket överensstämmer med designprincip åtta. Då många principer används inom organisationen tyder detta på att man har ett socio-tekniskt tänk inom organisationen.

In document Säkert distansarbete En studie om informationssäkerhet vid distansarbete (Page 36-40)