Deltagande observation

Arbetet att ta fram IT-säkerhetshandboken har inneburit ett antal möten där olika delar av handboken har behandlats. Projektgruppen bestod av fyra personer från Karlskoga kommuns IT-avdelning, en konsult från Backupcentralen AB och jag själv. Jag har varit med på mötena och deltagit i diskussioner kring IT- säkerhetshandbokens olika delar. Under mötestillfällena har jag gjort anteckningar. Eftersom konsulten har fungerat som sekreterare har denne också gjort anteckningar som han sedan skickat ut i form av protokoll till övriga mötesdeltagare inklusive mig. Konsultföretaget var anlitat för att ta fram IT- säkerhetshandboken, och när denna var klar lämnade konsulten uppdraget och projektet. Förutom konsulten fortsatte vi övriga i projektgruppen att träffas, då för att planera åtgärder för att öka informationssäkerhetsmedvetandet hos kommunens medarbetare. I detta arbete fick jag en mer drivande roll.

Det kan finnas risker och nackdelar med att ha en aktiv, deltagande forskarroll. Enbart det faktum att en forskare deltar i en grupp kan störa det naturliga skeendet i gruppen (Patel & Tebelius, 1987). I mitt fall tror jag denna risk saknar relevans. Jag tror inte att en projektgrupp av den typ jag varit med i har ett "naturligt skeende" på samma sätt som t ex en skolklass. Jag har inte studerat andra som gjort något, utan vi har åstadkommit någonting tillsammans. Jag upplever inte att det innebär några problem för min studie om jag som forskare påverkat gruppen i någon mening, utan snarare har detta varit avsikten. Repstad (1993) menar att man ska undvika att framstå som en nedvärderande "expert" i praktikernas ögon, och istället försöka inta en ödmjuk hållning utan att för den skull framstå som okunnig. Min uppfattning är att jag haft en god balans mellan dessa ytterligheter. Jag har inte haft samma verksamhetskunskap som projektdeltagarna från kommunen, och inte samma erfarenhet kring informationssäkerhet som konsulten. Dock har jag kunnat bidra med en annan typ av kunskap än de andra projektmedlemmarna, t ex att delge kunskap från vetenskapliga artiklar, litteratur och undersökningar. Det är också viktigt att forskaren inte betraktas som tillhörande en viss gruppering utan förhåller sig opartisk (Patel & Tebelius, 1987; Repstad, 1993). I mitt fall har jag inte upplevt att det funnits konflikter. Ibland har det varit åsiktsskillnader rörande vissa detaljfrågor, men i dessa fall tycker jag mig haft förståelse för de olika ståndpunkterna och därför inte haft någon svårighet att vara opartisk.

Tillvägagångssätt

Under projektets senare del påbörjades ett arbete att skapa en folder om informationssäkerhet att sprida till all personal på Karlskoga kommun i syfte att öka informationssäkerhetsmedvetandet i kommunen. I detta skede deltog konsulten endast i inledningsskedet, och ingen annan tog över som formell projektledare, dock antog jag en mer drivande roll. Min avsikt var att detta arbete skulle ha en mer central del i avhandlingen. Jag ansåg att det skulle vara intressant att försöka undersöka hur väl foldern skulle fungera; skulle informationssäkerhetsmedvetandet öka hos personalen? Efterhand insåg jag dock att denna del hamnade utanför avhandlingens fokus; de kunskapsmål som slutligen fastställdes ansåg jag vara tillräckligt omfattande för en studie inom ramen för en licentiatavhandling. Under arbetet med foldern, främst i form av deltagande observation och informella samtal, fick jag dock ytterligare kunskap om hanteringen av informationssäkerhet i kommunen som jag haft nytta av för att nå kunskapsmålen i avhandlingen. Dessutom är åtgärder för att öka informationssäkerhetsmedvetande en del i hantering av informationssäkerhet, och även om dessa inte fokuseras i avhandlingen så kan foldern illustrera just en sådan åtgärd.

2.4.4 Intervjuer

Ett antal intervjuer har gjorts inom ramen för fallstudien. Dessa har varit av två slag; formella intervjuer och informella samtal. De formella intervjuerna har varit av mindre strukturerad form. Jag har inte använt formulär med färdigformulerade frågor, utan som underlag har jag haft ett antal områden att diskutera kring. Intervjuerna har således varit öppna där jag ställt frågor av typen "Hur ser du på kommunens säkerhetsorganisation?". Intervjuerna har utvecklats som samtal där de olika områdena har diskuterats. Endast två formella intervjuer har gjorts; en med Karlskoga kommuns IT-chef och en med en IT-tekniker på kommunens IT-avdelning. Intervjun med IT-chefen vara ungefär en timme och bandades, den behandlade främst

x Kommunens organisation x IT-avdelningens organisation

x Beslutsprocesser och kommunikationsvägar

x Anställdas användning av Internet (främst e-post och www) x Förankring och spridning av säkerhetstänkande i organisationen x Anställdas informationsåtkomst

x Distansarbete och mobilt arbete

Intervjun med IT-teknikern behandlade kommunens tekniska IT-infrastruktur med speciell tonvikt på informationssäkerhet. Intervjun bandades ej utan dokumenterades genom anteckningar. De viktigaste områdena som diskuterades under den timslånga intervjun var:

Kapitel 2

x Kommunens lokala datornätverk (hårdvara, nätoperativsystem m m) x Internetanslutning (inkl brandvägg)

x Anställdas användning av Internet x IT-avdelningens support till användare

x Funktion och tillämpning av program att scanna det lokala datornätverket

x Klienter (hårdvara, operativssystem och klientprogram) x Virussökare och krypteringssystem

De informella samtalen har varit betydligt fler till antalet. De har skett främst i anslutning till de möten som hållits i projektet. Samtalen har inte dokumenterats i sin helhet, utan de (som jag uppfattat) väsentliga punkterna har nedtecknats i efterhand. Främst har de samtalen varit med IT-chefen och konsulten, men även med de övriga personerna i projektgruppen. Uppskattningsvis har det varit ca sex enskilda samtal över en halvtimma och ett tiotal kortare samtal. Samtalen med IT-chefen och övriga personer i kommunen har främst handlat om Karlskoga kommun, kommunens IT-avdelning och dess hantering av informationssäkerhet. Samtalen med konsulten har huvudsakligen handlat om informationssäkerhet och dess hantering på en mer generell nivå. Konsulten hade lång erfarenhet i ämnet och delgav en hel del av sina erfarenheter från tidigare uppdrag. Det har också skett ett tiotal gruppvisa informella samtal med två eller flera av projektdeltagarna. Dessa har varit under t ex luncher och fikapauser. De informella samtalen har dock inte bara berört Karlskoga kommun och dess informationssäkerhet, utan har ibland även handlat om andra, för avhandlingen irrelevanta områden.

2.4.5 Dokumentstudier

Ett antal dokument har studerats inom ramen för fallstudien, som tillsammans med intervjuerna har fungerat som komplement till de deltagande observationerna. Dokumenten kan delas in i två kategorier; dokument som sedan tidigare finns inom Karlskoga kommun och dokument som producerats av RISK-projektet. Till den första kategorin hör främst

x IT-avdelningens verksamhetsplan

x Policies (tidigare informationssäkerhetspolicy, Policy för e- postanvändning)

x Internbrev

x Karlskoga kommuns webbplats

x Beskrivningar av IT-infrastruktur och informationssystem

IT-avdelningens verksamhetsplan innefattar bl a uppdrag och mål för Karlskoga kommuns IT-avdelning, och har varit till god hjälp för att nå en förståelse för denna verksamhet. IT-säkerhetshandboken skulle innefatta ett antal policies, varför tidigare versioner behövde studeras för att sedan omarbetas eller förkastas. Några kommuninterna brev studerades, främst rörande en inträffad

Tillvägagångssätt

incident där användare på kommunen använt Internet på ett icke önskvärt sätt (se vidare Kapitel 6). Ett par dokument har studerats för att nå information om kommunens IT-infrastruktur och några specifika informationssystem. Slutligen har kommunens webbplats gett information om kommunen i allmänhet (både orten Karlskoga och den kommunala förvaltningen).

IT-säkerhetshandboken är det dokument som RISK-projektet har haft i uppdrag att skapa. Den slutliga versionen av handboken samt tidigare versioner av denna har utgjort viktiga dokument att studera eftersom de utgör en dokumentation över både processen och resultatet av RISK-projektets arbete. Förutom själva IT-säkerhetshandboken har det skapats ett antal andra dokument rörande handboken; bristförteckningar, åtgärdsplaner och remisser/ändringar. Till sist har konsultens protokoll från projektgruppens möten tillsammans med mina egna anteckningar varit betydelsefulla dokument.

2.5 Litteraturstudier

Vid sidan av fallstudien har litteraturstudier varit avhandlingens viktigaste informationskälla och forskningsmetod. Litteraturen som studerats inom ramen för kunskapsutvecklingen är främst inom områdena informationssystem, IT och informationssäkerhet och dess hantering. För att nå en god kvalitet på kunskapsutvecklingen har även litteraturstudierna innefattat litteratur om vetenskapsfilosofi och forskningsmetodik.

Den litteratur som behandlar informationssystem och IT har företrädesvis varit skandinavisk. Detta för att litteraturen främst har används i Kapitel 3, vilket till stora delar handlar om ett skandinaviskt perspektiv. Även om en viss fokusering finns på VITS-medlemmar, och inte minst professor Göran Goldkuhl har jag även använt en del litteratur av andra skandinaviska författare såsom Andersen (1994), Dahlbom & Mathiassen (1995), Ilvari & Lyytinen (1998) och Nurminen (1988). Denna del av litteraturen består förutom böcker även av artiklar och konferensbidrag.

När det gäller litteratur kring informationssäkerhet och dess hantering finns en tonvikt på svensk litteratur. Detta eftersom ett av avhandlingens syften är att just granska den svenska begreppsapparaten på området. Central litteratur är SIG Securitys årsböcker (Keisu m fl, 1997; Olovsson m fl, 1999; Karlsson m fl, 2000), Statskontorets handböcker (Statskontoret, 1997a, 1997b, 1997c) och den standarden LIS (STG, 1999a, 1999b). Några svenska avhandlingar i ämnet har också använts, t ex Yngström (1996) och Magnusson (1999). Den svenska litteraturen har dock kompletteras med en del utländsk litteratur i form av t ex Parker (1981) och antologin Information security management handbook av

Kapitel 2

Tipton & Krause (2000)3. Den tidskrift jag använt mest är Information

Management & Computer Security i vilken ansedda forskare som Karen A

Forcht och Rossouw von Solms är frekventa artikelförfattare. Den senare är bl a ordförande för IFIP:s arbetsgrupp 11.1 Information Security Management. Även i allmänna IS/IT-tidskrifter och vid allmänna IS/IT-konferenser finns ibland bidrag som behandlar informations-säkerhet, t ex har jag använt artiklar i proceedings från konferenserna IRIS (Information Systems Research Seminar in Scandinavia) och IRMA (Information Resource Management Association).

2.6 Övriga informationskällor

Förutom fallstudien och litteraturstudierna finns ett antal andra informations- källor; expertintervjuer, samtal, mässor och konferenser.

2.6.1 Expertintervjuer

I kunskapsutvecklingens inledning gjordes två intervjuer. Avsikten var att föra en öppen diskussion kring området hantering av informationssäkerhet för att få nya impulser och pröva mina tankegångar. Jag valde att göra intervjuer med två IT-konsulter från två olika konsultföretag. Den ena konsulten är teknisk chef vid ett av de större IT-konsultföretagen i Örebro. Den andra konsulten är VD på ett IT-konsultföretag i Örebro, men har i sitt arbete som chef också en roll som konsult. Jag valde att inte intervjua specialiserade informationssäkerhets- konsulter, utan istället personer som har en bred IT-kompetens, inklusive informationssäkerhet. Intervjuerna tog ungefär en timma vardera, och var av en öppen samtalsform. Under intervjuerna hade jag till hjälp ett antal punkter. Dessa handlade om hantering av informationssäkerhet i stort, men utgick från den ursprungliga problem-ställningen om hantering av informationssäkerhet vid inter-organisatoriskt samverkan:

x Typer av inter-organisatoriska informationssystem (t ex extranät, Internet, privata nät/EDI) och säkerhetslösningar/-arkitekturer vid användning av sådana informationssystem

x Internt säkerhetsarbete och inter-organisatoriskt säkerhetsarbete (Risker, hot och åtgärder för en eller flera parter)

x Ansvarsfördelning mellan konsult och klient; t ex beslut, lösningar, arkitekturer, dokumentation, förvaltning

3 _{Är ansedd som en god referensbok i ämnet och används som förberedande studiematerial för}

att bli certifierad enligt CISSP (Certified Information Systems Security Professional). CISSP utfärdas av International Information Systems Security Certifications Consortium (ISC)2_{, som}

har sitt säte i Framingham, MA, U.S.A 32

Tillvägagångssätt

x Säkerhetshantering: riskanalys, säkerhetspolicies,

säkerhetsorganisation, informationsklassificering, avbrotts- och katastrofplanering, hänsyn till organisationsstruktur och -kultur m m x Utbildning och säkerhetsmedvetande

x Vissa tekniska områden som t ex säkerhetskopiering, Lokala nätverk (LAN), Behörighetskontrollsystem (BKS), kryptering, brandväggar, virtuella privata nätverk (VPN) och virusskydd

Den ena intervjun kom att handla huvudsakligen om teknisk implementation av säkerhetslösningar, såsom brandväggar och virtuella privata nätverk (VPN), medan den andra intervjun kom att domineras av användares behörighet till information och hur sådana behörigheter beslutas.