5. EMPIRI & ANALYS
5.3 CIA-TRIADEN
Under kommande avsnitt presenteras svaren på enkätfrågorna gällande CIA-triadens komponenter; konfidentialitet, integritet och tillgänglighet.
5.3.1 Konfidentialitet
Under punkt 4.3.2 finns en sammanfattning av avsnittet Konfidentialitet. 5.3.1.1 Fråga 14
Endast en liten andel av respondenterna har förlorat information (3 poäng). Andress (2014) betonar att informationens konfidentialitet blir komprimerad vid förlust av information. För att undvika att information förloras eller blir komprimerad är lösenordsskyddad data samt policys för förflyttning av information relevanta lösningsmetoder.
5.3.1.2 Fråga 15
Som diagrammet visar hålls inloggningsuppgifter i största mån privata med någon enstaka avvikelse, vilket bidrar till att majoriteten har svarat rätt (3 poäng). Andress (2014) förklarar att data inte ska kunna åtkommas, läsas eller redigeras av obehöriga
Andersson Lanas & Fagerström 28
användare, men om inloggningsuppgifter lånas ut kan det inte garanteras. Det kan lösas genom att fastställa en strikt policy där konsekvenserna vid utgivandet av ens
inloggningsuppgifter till en annan anställd tydligt framgår. 5.3.1.3 Fråga 16
I största mån finns det inga rutiner över hur information ska hanteras (1 poäng). Andress (2014) förtydligar att konfidentialitet innebär att data inte ska kunna åtkommas eller läsas utan autentisering. Det är omöjligt att undvika om dokument eller papper lämnas öppet på skrivbord för vem som helst att se. Det borde därför införas tydliga rutiner genom hela organisationen för informationshanteringen så det kan hanteras på likvärdigt sätt utav alla involverade parter.
5.3.1.4 Fråga 17
Majoriteten av användare följer rutinerna till punkt och pricka medan den andra delen oftast följer de fastställda rutinerna (3 poäng). Rutiner behövs för att exempelvis försäkra att ett mail inte skickas till en opålitlig användare (Andress 2014).
Efterföljandet av rutiner vid konfidentiell information kan öka genom kontinuerlig påminnelse om varför rutinerna är viktiga och konsekvenserna av att konfidentiell information läcker ut.
Andersson Lanas & Fagerström 29
5.3.1.5 Fråga 18
Resultatet visar att hälften av respondenternas åtkomsträttigheter granskas frekvent medan andra hälften inte granskas eller är omedvetna om det görs (2 poäng). Inom organisationer skall information endast delges till personer som har rättigheter till den. Vid ändrad anställning, vid avslutad tjänst eller när informationen är avsedd till en viss målgrupp inom organisationen skall åtkomsten vara anpassad därefter för att undvika att informationens konfidentialitet påverkas (CIS, 2021). För att garantera att
åtkomsträttigheterna är korrekta bör ansvariga korrigera åtkomsten genom exempelvis ett intranät med diverse klassningar. Ansvariga bör även korrigera åtkomsten vid varje avlutad eller påbörjad tjänst samt vid tillkomsten av ny information. Respondenterna som svarade “Ja” fick följdfrågorna 4.2.1.6 och 4.2.1.7.
5.3.1.6 Fråga 19
Förtydligande av figuren ovan:
• Vid organisatoriska förändringar (någon bryter ansvarsområde, någon slutar eller liknande), samt vid vårt årliga systematiska informationssäkerhetsarbete. • Vet ej
• Via vårt IT-företag vi anlitar • 90 dagar
Andersson Lanas & Fagerström 30
Respondenterna är splittrade över om åtkomsträttigheter granskas eller hur ofta det genomförs. Eftersom det finns en splitt i svar antas en lika fördelning av frågan (2 poäng). Ett av många olika sätt som kan komma att komprimera konfidentialiteten är genom försök av intrång på systemen (Andress 2014). Det går inte att säkerställa att en före detta anställd väljer att utnyttja sina åtkomsträttigheter i efterhand för att orsaka skada hos verksamheten. Genom att direkt vid avslutande av någons tjänst granska allas åtkomsträttigheter minimeras risken att en före detta anställd ska kunna genomföra ett intrång mot systemen.
5.3.1.7 Fråga 20
En stor del av respondenterna är omedvetna eller vet att åtkomsträttigheterna inte tas bort vid avslutad tjänst. En lika stor del som är omedvetna är medvetna om att
åtkomsträttigheterna tas bort. Det innebär att det tenderar mot en icke uppfylld nivå (1 poäng). Vid avslutad tjänst är inte personen i fråga behörig till organisationens
information vilket bidrar till att informationens konfidentialitet blir komprimerad (CIS, 2021). Genom att ansvarig IT-personal frekvent granskar och aktivt tar bort
åtkomsträttigheter vid avslutad anställning minskar risken avsevärt för informationen att bli komprimerad.
5.3.2 Sammanfattning av Konfidentialiteten
Varje fråga har klassats utifrån bedömningsskalan som beskrivs i teorikapitlet. Den sammanställda poängen för avsnittet är 15 poäng. Utifrån poängen kan branschens nivå inom Konfidentialiteten beskrivas som att vara på ett mellanläge av varken uppfylld eller icke-uppfylld nivå enligt bedömningsskalan.
För att målet med
informationssäkerheten kring konfidentialiteten skall vara uppfyllt
är sammanfattningen av förbättringsförslagen att:• Rutiner utifrån policy:
- Det är omöjligt att undvika om dokument eller papper lämnas öppet på skrivbord för vem som helst att se. Det borde därför införas tydliga rutiner genom hela organisationen för informationshanteringen så det kan hanteras på
Andersson Lanas & Fagerström 31
likvärdigt sätt utav alla involverade parter.
- Efterföljandet av rutiner vid konfidentiell information kan öka genom
kontinuerlig påminnelse om varför rutinerna är viktiga och konsekvenserna av att konfidentiell information läcker ut.
- För att undvika att information förloras eller blir komprimerad är
lösenordsskyddad data samt policys för förflyttning av information relevanta lösningsmetoder.
- Utlånade inloggningsuppgifter kan motverkas genom att fastställa en strikt policy där konsekvenserna vid utgivandet av ens inloggningsuppgifter till en annan anställd tydligt framgår.
• Konkreta arbetsuppgifter:
- Genom att ansvarig IT-personal frekvent granskar och aktivt tar bort åtkomsträttigheter vid avslutad anställning minskar risken avsevärt att informationen blir komprimerad.
- Det går inte att säkerställa att en före detta anställd väljer att utnyttja sina åtkomsträttigheter i efterhand för att orsaka skada hos verksamheten. Genom att direkt vid avslutande av någons tjänst granska allas åtkomsträttigheter
minimeras risken att en före detta anställd skulle kunna genomföra ett intrång mot systemen.
- För att garantera att åtkomsträttigheterna är korrekta bör ansvariga korrigera åtkomsten genom exempelvis ett intranät med diverse klassningar. Ansvarig bör även korrigera åtkomsten vid varje avlutad eller påbörjad tjänst samt vid
Andersson Lanas & Fagerström 32
5.3.3 Integritet
Under punkt 4.3.4 presenteras en sammanfattning av avsnittet Integritet.
5.3.3.1 Fråga 21
En majoritet av respondenterna har fysiska säkerhetsåtgärder (3 poäng). Att fysiskt skydda informationen förhindrar informationen från att användas av obehöriga personer och stärker informationens integritet (Lundblad, 2005). Att använda ID-brickor med personlig kod bidrar till endast behörig personal får tillgång till informationen samt att loggar kan föras över vem, till vad och hur informationen används.
5.3.3.2 Fråga 22
Förtydligande av respondenternas svar:
• Låsta utrymmen och passerkort på individnivå • Vet ej
• Larm, automatisk utloggning • Kassavalv för backuper, larm
Merparten av respondenterna känner till vilka fysiska skydd som används inom organisationen (3 poäng). Enligt Lundblad (2005) säkerställs integriteten exempelvis genom uppföljning av informationens historik. Det kan ses som om ett dokument senast redigerades av en användare även om denne inte skulle ha tillgång till dokumentet. Det
Andersson Lanas & Fagerström 33
måste tydliggöras för alla inom organisationen vilka fysiska åtgärder som används för att skydda informationen från att bli komprometterad.
5.3.3.3 Fråga 23
En majoritet är omedvetna om aktiviteter loggas (1 poäng). Genom att logga användares aktiviteter, avvikelser m.m kan det säkerställas att informationen är i sitt rätta tillstånd (Åhlfeldt et. al, 2007). För att undvika att informationen ändras och skapar felaktiga beslutsunderlag är en loggning av aktiviteter en relevant lösning. Endast respondenterna som svarade “ja” gavs möjligheten att svara på fråga 4.2.2.4. 5.3.3.4 Fråga 24
En tredjedel av respondenterna svarade i varje kategori. Det är en majoritet av omedvetna och nej så det klassas som att tendera mot icke uppfylld nivå (1 poäng). Genom att bevara loggar och granska dem kan man upptäcka avvikelser innan
konsekvenser inträffar (Lundblad, 2005). För att loggarna som görs ska vara effektiva och inte resurskrävande måste bevarande och granskning ske. Integriteten av
informationen säkerställs för att man kan följa alla redigeringar och åtkomster som gjorts.
Andersson Lanas & Fagerström 34
5.3.3.5 Fråga 25
Alla respondenter visar att det finns något skydd i form av tekniska lösningar inom respektive organisation (4 poäng). Med integritet menas att information inte ska kunna bli modifierat eller komprometterat (Åhlfeldt et.al, 2007). Det säkerställs genom att alla verksamheter har någon teknisk lösning och eftersom alla företag har det blir
förbättringsförslag därför svårt att ge. 5.3.3.6 Fråga 26
Förtydligande av resultaten med start i klockans riktning;
• Brandvägg, virusskydd, VPN, uppdelade nätverk med olika accessnivå (begränsade wifi-nätverk för gäster exempelvis..)
• Brandvägg, vpn, virusskydd • vpn, brandväggar
• Vet ej
• Brandvägg, virusskydd
• OpenVPN Microsoft Defender • Antivirus, brandvägg
Andersson Lanas & Fagerström 35
Enligt Safa, Solms & Furnell (2015) har organisationer främst tekniska skydd för informationssäkerheten. Eftersom en stor majoritet har tekniska skydd och resten är endast omedvetna tyder det på tendenser mot en uppfylld nivå (3 poäng). Tekniska skydd är en bra lösning men inte tillräckligt för att säkra informationen. Alla
respondenter har någon form av teknisk lösning även fast alla inte kan precisera vilka.
5.3.4 Sammanfattning av Integriteten
Varje fråga har klassats utifrån bedömningsskalan som beskrivs i teorikapitlet. Den sammanställda poängen för avsnittet är 15 poäng. Utifrån poängen kan branschens nivå inom Integriteten kan beskrivas som att vara på ett mellanläge av varken uppfylld eller icke-uppfylld nivå enligt bedömningsskalan.
För att målet med
informationssäkerheten kring integriteten skall vara uppfyllt
är sammanfattningen av förbättringsförslagen att:• Loggning av aktiviteter
- Att använda ID-brickor med personlig kod bidrar till att endast behörig personal får tillgång till informationen samt att loggar kan föras över vem, till vad och hur informationen används.
- Det måste tydliggöras för alla inom organisationen vilka fysiska åtgärder som används för att skydda informationen från att bli komprometterad för att öka medvetenheten.
- För att undvika att informationen ändras och skapar felaktiga beslutsunderlag är en loggning av aktiviteter en relevant lösning.
- För att loggarna som görs ska vara effektiva och inte resurskrävande måste bevarande och granskning ske. Integriteten av informationen säkerställs för att man kan följa alla redigeringar och åtkomster som gjorts.
Andersson Lanas & Fagerström 36
5.3.5 Tillgänglighet
Under punkt 4.3.5 presenteras en sammanfattning av avsnittet Tillgänglighet.
5.3.5.1 Fråga 27
En tydlig majoritet visar på att all data som företaget besitter säkerhetskopieras (3 poäng). Vid begärd åtkomst från en autentiserad användare ska data alltid finns tillgängligt och i rätt format (Andress 2014; Lundblad 2005). Det finns en liten osäkerhet om all data företaget besitter verkligen säkerhetskopieras och det är lätt löst genom en tydlig dialog från ledning eller IT-ansvarig till alla anställda inom
organisationen. 5.3.5.2 Fråga 28
Förtydligande av svaren i den första samt den fjärde tårtbiten i klockans riktning; • Varierar. Lokal server
• Detta sker via vårt IT-bolag
En stor majoritet säkerhetskopierar och kan därför tolkas som att det tenderar mot en uppfylld nivå (3 poäng). För att minska risken för att informationen blir borttappad eller försvinner samt att den är i rätt format bör säkerhetskopiering ske. Det ökar
tillgängligheten för informationen. Beroende på storleken och mängden information som florerar inom organisationen är det individuellt vilken frekvens säkerhetskopiorna bör ha.
Andersson Lanas & Fagerström 37
5.3.5.3 Fråga 29
Det finns en tydlig osäkerhet bland respondenterna om informationstillgångarna
inventeras inom företaget. Eftersom en så pass stor svarsfrekvens blev “vet ej” måste det klassas som att tendera mot icke uppfyllt (1 poäng). Enligt Lundblad (2005) innebär tillgänglighet att informationen ska finnas tillgänglig i rätt format, och om
informationstillgångarna inte inventeras kan det vara svårt att veta vilka som är aktiva och vilka som inte är. Det går att lösa genom att tydligt kommunicera genom
organisationen hur information hanteras och vad som händer med utgångna tillgångar. Informanterna som svarade “ja” ställdes även fråga 4.2.3.4.
5.3.5.4 Fråga 30
Resultatet visar en lika fördelning på svaren där frekvenserna; är en gång i månaden, minst två gånger per år samt vet ej. Det kan alltså tolkas som en majoritet som inventerar sin informationstillgångar (3 poäng). För att informationen skall vara tillgänglig är det betydande att irrelevant, oanvändbar eller felaktig information inte florerar inom organisationen. Genom att inventera informationstillgångarna med jämna mellanrum minskar risken för att informationens tillgänglighet brister.
Andersson Lanas & Fagerström 38
5.3.5.5 Fråga 31
Ingen av respondenterna har haft problem med att få tillgång till information (4 poäng). Data ska alltid finnas åtkomlig vid begärd åtkomst av en rättfärdigad användare
(Andress 2014). Det tydliggörs att inga svårigheter att få tillgång till information har uppstått och finns därför inga förbättringar att ge.
5.3.6 Sammanfattning Tillgängligheten
Varje fråga har klassats utifrån bedömningsskalan som beskrivs i teorikapitlet. Den sammanställda poängen för avsnittet är 14 poäng. Utifrån poängen kan branschens nivå inom Tillgängligheten kan beskrivas som att vara på ett mellanläge av varken uppfylld eller icke-uppfylld nivå enligt bedömningsskalan. För att målet med
informationssäkerheten kring tillgängligheten skall vara uppfyllt är sammanfattningen av förbättringsförslagen att:
• Kommunikation
- Det finns en liten osäkerhet om all data företaget besitter verkligen
säkerhetskopieras och det är lätt löst genom en tydlig dialog från ledning eller IT-ansvarig till alla anställda inom organisationen.
- Genom att inventera informationstillgångarna med jämna mellanrum minskar risken för att informationens tillgänglighet brister.
- Genom att tydligt kommunicera genom organisationen hur information hanteras och vad som händer med utgångna tillgångar ökar tillgängligheten.
Andersson Lanas & Fagerström 39
6. Resultat
Syftet med studien var att öka förståelsen kring arbetet med informationssäkerhet i SIT- branschen. För att syftet skall besvaras har fyra frågeställningar använts.
• Hur arbetar SIT med informationssäkerhet?
Utifrån bedömningsmodellen skulle SIT-branschens informationssäkerhet klassas vara på en bristfällig nivå. Standarden ISO/IEC 27000 nådde endast upp till 22 poäng och klassas därför som att tendera mot icke uppfylld nivå. CIA-triadens komponenter: konfidentialitet (15 poäng), integritet (15 poäng) och tillgänglighet (14 poäng) nådde alla upp till nivån mellanläge av varken uppfylld och uppfylld. För att SIT-branschen skulle nå upp till en god nivå krävdes en uppfylld nivå av standarden och för att uppnå säkerhetsmålet krävdes uppfylld nivå hos CIA-triaden. Det bidrar till att branschen inte lyckades uppfylla kraven på någon utav de två delarna, vilket tyder på en bristfällig nivå. Med det sagt arbetar branschen inte säkert med den information som hanteras och kan resultera i att det blir komprimerat eller redigerat av icke autentiserade användare.
• Hur kan informationssäkerhetens nuläge bedömas?
För att bedöma informationssäkerheten behövs en teoretisk grund som talar om vilka krav som ställs. Utifrån kraven skapade författarna en bedömningsmodell anpassat till en kvantitativ enkätstudie. Så länge enkätfrågorna ställs ur ett rätt och fel-svarsalternativ kan bedömningsmodellen tillämpas som ett mätverktyg för att bedöma
informationssäkerhetens nuläge.
• Vilken påverkan har den mänskliga faktorn hos SIT med avseende på informationssäkerhet?
Som tidigare redovisats finns det fem faktorer kring den mänskliga faktorn som
påverkar informationssäkerheten; okunskap, illvilja, omedvetenhet, misskommunikation och brist på engagemang. Utifrån analysen som utfördes under avsnittet Empiri & Analys (5.0) kan man se att omedvetenhet, misskommunikation och kunskapsbrist framkommer från enkätfrågorna. Även engagemanget kan bli ifrågasatt då majoriteten inte erhåller en informationssäkerhetsansvarig eller policy vilket kan bidra till bristande engagemang hos medarbetare. Resultatet blir att den mänskliga faktorn har en negativ påverkan på informationssäkerheten inom SIT-branschen.
• Hur kan arbetet med informationssäkerhet förbättras?
Arbetet med informationssäkerhet inom SIT-branschen kan förbättras.
Förbättringsförslagen för att uppnå en väldigt god nivå på informationssäkerheten är; • Skapa och efterfölja policy
Andersson Lanas & Fagerström 40
• Utbildning
• Skapa rutiner utifrån policy • Konkreta arbetsuppgifter • Fysiska skydd
• Loggning av aktiviteter • Kommunikation
För detaljerade förbättringsförslag hänvisas läsaren till avsnitt 4.2, 4.3.2, 4.3.4 samt 4.3.5.
Andersson Lanas & Fagerström 41
7. Diskussion
7.1 Metoddiskussion
Studien som genomförts var en kvantitativ undersökning i form av enkätstudie.
Enkätstudien ger förutsättningar att studera SIT-branschen. Om en kvalitativ studie med ett fallföretag hade genomförts istället skulle det uppkommit mer företagsspecifika problem. Dock är förbättringsförslagen som getts under resultatet övergripande och kan implementeras och konkretiseras till det individuella företaget. Det bidrar till att förbättringsförslagen i resultatdelen hade varit liknande eller samma vid en kvalitativ studie. Om den kvantitativa enkätstudien som gjordes kombinerats med kvalitativa intervjuer hade validiteten och reliabiliteten i svaren ökat genom att resultatet hade kunnat verifieras eller förkastas.
Validiteten i arbetet är på en god nivå på grund av koherensen genom arbetet, samt att trovärdiga källor använts. Dock kan resultatets reliabilitet diskuteras utifrån den låga svarsfrekvensen. Teoretiskt sett är 20,83% en godkänd svarsfrekvens för en enkätstudie, men om det representerar hela SIT-branschen är till läsaren att avgöra. För att få en högre reliabilitet i arbetet skulle författarna genomfört en kvalitativ studie och skickat ut förfrågan till hela branschen för att se vilka som hade varit intresserade att medverka i en djupare undersökning och därefter begränsa sig till ett fåtal företag. Sedan hade en kvantitativ enkätstudie använts för att jämföra företagen med branschen.
Bedömningsmodellen som skapades är ett mätverktyg för att bedöma nivån av
informationssäkerheten. Den skapades på grund av att författarna inte hade ett befintligt verktyg för att mäta informationssäkerheten utifrån en enkätstudie. Författarna gjorde ett medvetet val att inte ta med frågor om externa faktorer som kan påverka
informationssäkerheten från standarden ISO/IEC 27000, exempelvis leverantörers påverkan. Det medför att bedömningsmodellen kan utvecklas genom att mer teori angående standarden ISO/IEC 27000 kan tillföras. Av de fyra nivåerna är bristfällig nivå samt väldigt god nivå inte utvunna ur en specifik teori utan är tolkningar av
författarna, vilket bidrar till utvecklingsmöjligheter att utöka den teoretiska grunden. Det kan vara svårt att konkret placera en bransch mellan endast fyra nivåer. Exempelvis hamnade CIA-triadens komponenter på ett mellanläge av varken uppfyllt eller icke- uppfyllt och ifall mer teoretisk grund skapats samt ett större tidsspann hade varit till förfogande skulle det möjligtvis funnits fler nivåer implementerade i
bedömningsmodellen. Det hade skapat en mer rättvis bedömning av informationssäkerhetens nuläge.
Andersson Lanas & Fagerström 42
7.2 Resultatdiskussion
Resultatet visar på att det är en bristfällig nivå på informationssäkerheten inom SIT- branschen. Utifrån resultatet har SIT-branschen inte förutsättningarna inom
informationssäkerhet för att implementera Industri 4.0. Med implementeringen av Industri 4.0 kan produktiviteten öka, processerna förbättras samt att företagets tillväxt kan öka (Epicor 2021). Med hjälp av förbättringsförslagen som presenteras kan branschen nå en väldigt god nivå på deras informationssäkerhet vilket möjliggör en modernisering. SIT-branschen har inte blivit studerad utifrån informationssäkerhet innan. Dock har andra studier angående informationssäkerhet gjorts fast med andra metoder samt med andra branscher, exempelvis folktandvården (Al-botani, 2015), bilindustrin (Mattola & Slewa, 2017) m.fl. Utifrån studier som gjorts rörande
informationssäkerhet ligger organisationer oftast på en tillräcklig nivå där endast mindre förbättringar behövs göras. Troligen är SIT-branschens nivå bristfällig på grund av att för lite resurser läggs på informationssäkerheten. Ingen av respondenterna har fått mer än ett utbildningstillfälle angående informationssäkerheten vilket bidrar till att den mänskliga faktor har en påverkan. I tidigare forskning beskrivs den mänskliga faktorn till att vara den största faktorn till att organisatoriska olyckor sker och även vara den främsta anledningen till att intrång mot informationssäkerheten inträffar (Safa et.al, 2015; Albrechtsen & Hovden, 2009; Hadlington et. al, 2021). Resultatet av studien visar