Framtida arbete

Under projektet har ett flertal framtida arbeten identifierats inom forskningsfältet. Ett intressant område skulle vara att undersöka hur den analoga informationens konfidentialitet, integritet och riktighet säkerställs. Utifrån respondenternas svar i intervjuerna hanteras integriteten och tillgängligheten i flera fall i kravställningen mellan verksamhet och IT-avdelning, vilket gör att den analoga informationen riskerar att glömmas bort. Även om merparten av informationen inom organisationer idag hanteras digitalt finns det skäl att bättre undersöka den pappersburna informationens säkerhet.

Ett annat intressant arbete skulle vara att utföra en djupare fallstudie inom en av myndigheterna i detta arbete för att få en bättre bild av hur klassificeringsarbetet fungerar i praktiken med ett förenklat schema, där fler roller i verksamheten inkluderas. I detta arbete har främst den

informationssäkerhetsansvariges perspektiv beaktats, ytterligare rollers perspektiv kan nyansera bilden bättre.

Nationella, gemensamma hanteringsregler och -anvisningar skulle vara ett annat område som behöver undersökas. Vad finns det för hinder att införa? Hur skulle de kunna se ut? Vilka för- och nackdelar skulle det innebära med gemensamma regler?

Källförteckning

Anteryd, F. (2015). Information Classification in Swedish Governmental Agencies: Analysis of Classification Guidelines. (Kandidatuppsats), Högskolan i Skövde.

Barlette, Y., & Fomin, V. (2008). Exploring the suitability of IS security management standards for SMEs. Paper presented at the Proceedings of the 41st Hawaii International Conference on System Sciences.

Bergström, E., & Åhlfeldt, R.-M. (2014). Information Classification Issues. Paper presented at the 19th Nordic Conference, NordSec 2014, Tromsö, Norge.

Bergström, E., & Åhlfeldt, R.-M. (2015). Information Classification Enablers Foundations and Practice of Security (pp. 268-276): Springer.

Bergström, E., Åhlfeldt, R.-M., & Anteryd, F. (2016). Informationsklassificering och säkerhetsåtgärder IKI Technical Reports. Skövde: Institutionen för informationsteknologi.

Bernardo, M., Simon, A., Tarí, J. J., & Molina-Azorín, J. F. (2015). Benefits of management systems integration: a literature review. Journal of Cleaner Production, 94, 260-267. doi:

http://dx.doi.org/10.1016/j.jclepro.2015.01.075

Bradley, E. H., Curry, L. A., & Devers, K. J. (2007). Qualitative Data Analysis for Health Services

Research: Developing Taxonomy, Themes, and Theory. Health Services Research, 42(4), 1758-1772. doi: 10.1111/j.1475-6773.2006.00684.x

Bunker, G. (2012). Technology is not enough: Taking a holistic view for information assurance.

Information Security Technical Report, 17(1–2), 19-25. doi:

http://dx.doi.org/10.1016/j.istr.2011.12.002

Cherdantseva, Y., & Hilton, J. (2013). A Reference Model of Information Assurance & Security. 546-555. doi: 10.1109/ares.2013.72

DuraiPandian, N., & Chellappan, C. (2006). Dynamic information security level reclassification. Paper presented at the 2006 IFIP International Conference on Wireless and Optical

Communications Networks. , Bangalore, India.

E-delegationen. (2013). Uppföljning av myndigheternas arbete med e-förvaltning och e-tjänster 2013. Hämtad 26 maj, 2016, från

http://www.edelegationen.se/Documents/F%C3%B6rstudier%20och%20rapporter/Uppf%C3

%B6ljning%202013_ver1%200.pdf

Eloff, J. H. P., Holbein, L. R., & Teufel, S. (1996). Security classification for documents. Computers &

Security, 15(1), 55-71.

Fibikova, L., & Müller, R. (2011). A Simplified Approach for Classifying Applications. In N. R.

Pohlmann, Helmut; Schneider, Wolfgang (Ed.), ISSE 2010 Securing Electronic Business Processes (pp. 39-49): Vieweg+Teubner.

Flyvbjerg, B. (2006). Five Misunderstandings About Case-Study Research. Qualitative Inquiry, 12(2), 219-245. doi: 10.1177/1077800405284363

Fomin, V. V. d. V., Henk J.; Barlette, Yves. (2008). ISO/IEC 27001 information systems security management standard: exploring the reasons for low adoption. Paper presented at the EUROMOT 2008 Conference, Nice.

Gantz, S. D., & Philpott, D. R. (2013). Chapter 2 - Federal Information Security Fundamentals. In S. D.

P. Gantz, Daniel R. (Ed.), FISMA and the Risk Management Framework (pp. 23-52): Syngress.

Graneheim, U. H., & Lundman, B. (2004). Qualitative content analysis in nursing research: concepts, procedures and measures to achieve trustworthiness. Nurse Education Today, 24(2), 105-112.

Heidt, G. (2009). Development and Implementation of an Encryption Strategy for a global Enterprise.

In N. R. Pohlmann, Helmut; Schneider, Wolfgang (Ed.), ISSE 2008 Securing Electronic Business Processes (pp. 197-207): Vieweg+Teubner.

HiS. (2013). Allmänna råd för examensarbeten. Hämtad från 28 april, 2016, från

http://his.se/Policies/Utbildning_grundniva_avanceradnvia/allm_rad_exarb.pdf

Kaiser, F. M. (1986). The impact of overclassification on personnel and information security.

Government Information Quarterly, 3(3), 251-269. doi: http://dx.doi.org/10.1016/0740-624X(86)90077-8

King, P. (2007). In the new converged world are we secure enough? Information Security Technical Report, 12(2), 90-97. doi: http://dx.doi.org/10.1016/j.istr.2007.04.004

Kulkarni, A., Williams, E., & Grimaila, M. R. (2010). Mitigating Security Risks for End User Computing Application (EUCA) Data. Paper presented at the 2010 IEEE Second International Conference on Social Computing (SocialCom).

Malandrin, L. J. A. A., & Carvalho, T. C. M. B. (2013). Maintaining Information Security in the New Technological Scenario. Pacific Asia Journal of the Association for Information Systems, 5(3).

Marshall, M. N. (1996). Sampling for qualitative research. Family Practice, 13(6), 522-526. doi:

10.1093/fampra/13.6.522

MSB. (2009). Modell för klassificering av information. Hämtad 20 januari, 2016, från https://www.msb.se/RibData/Filer/pdf/25602.pdf

MSB. (2014). En bild av myndigheternas informationssäkerhetsarbete 2014. Hämtad 24 januari, 2016, från https://www.msb.se/RibData/Filer/pdf/27428.pdf, from

https://www.msb.se/externdata/rs/94a3d208-2ac4-48a1-84f2-208268f5767e.pdf MSB, & www.informationssäkerhet.se. (2011). Ramverket för informationssäkerhet -

Verksamhetsanalys. Hämtad 21 januari, 2016, från

https://www.informationssakerhet.se/siteassets/metodstod-for-lis/2.-analysera/verksamhetsanalys.pdf

MSBFS2009:10. (2010). Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters informationssäkerhet. Hämtad 20 januari, 2016, från

https://www.msb.se/externdata/rs/94a3d208-2ac4-48a1-84f2-208268f5767e.pdf MSBFS2016:1. (2016). Myndigheten för samhällskydd och beredskaps föreskrifter om statliga

svenska myndigheters informationssäkerhet. Hämtad 28 april, 2016, från

https://www.msb.se/externdata/rs/b74a7b16-36a5-4de8-8f15-1297c37f1324.pdf Myers, M. D., & Newman, M. (2007). The qualitative interview in IS research: Examining the craft.

Information and Organization, 17(1), 2-26. doi: 10.1016/j.infoandorg.2006.11.001 Nykänen, R., & Kärkkäinen, T. (2014). Aligning Two Specifications for Controlling Information

Security. International Journal of Cyber Warfare and Terrorism, 4(2), 46-62. doi:

10.4018/ijcwt.2014040104

Park, W. S., Seo, S. W., Son, S. S., Lee, M. J., Kim, S. H., Choi, E. M., . . . Kim, O. N. (2010). Analysis of information security management systems at 5 domestic hospitals with more than 500 beds.

Healthc Inform Res, 16(2), 89-99. doi: 10.4258/hir.2010.16.2.89

RIR2016:8. (2016). Informationssäkerhetsarbete på nio myndigheter. Hämtad 1 juni, 2016, från http://www.riksrevisionen.se/PageFiles/24458/RiR_2016_8_INFOSAK2_WEBB.pdf Siponen, M., & Willison, R. (2009). Information security management standards: Problems and

solutions. Information & Management, 46(5), 267-270. doi: 10.1016/j.im.2008.12.007 SIS. (2015). SIS-TR 50:2015 Terminologi för informationssäkerhet. Stockholm: Swedish Standards

Institute.

SOU2015:23. (2015). Informations- och cybersäkerhet i Sverige. Hämtad 21 februari, 2016, från http://www.regeringen.se/contentassets/8ae8ef6d5d3f45058c981cbab4e297de/informatio ns--och-cybersakerhet-i-sverige.-strategi-och-atgarder-for-saker-information-i-staten-sou-201523

SS-ISO/IEC. (2013). SS-ISO/IEC 27005:2013 Riskhantering för informationssäkerhet: SS-ISO/IEC.

SS-ISO/IEC. (2014a). SS-ISO/IEC 27000:2014 Ledningssystem för informationssäkerhet - Översikt och terminologi: SS-ISO/IEC.

ISO/IEC. (2014b). ISO/IEC 27001:2014 Ledningssystem för informationssäkerhet - Krav: SS-ISO/IEC.

SS-ISO/IEC. (2014c). SS-ISO/IEC 27002:2014 Riktlinjer för informationssäkerhetsåtgärder: SS-ISO/IEC.

Stahl, B. C., Doherty, N. F., & Shaw, M. (2012). Information security policies in the UK healthcare sector: a critical evaluation. Information Systems Journal, 22(1), 77-94. doi: 10.1111/j.1365-2575.2011.00378.x

Wohlin, C., Runeson, P., Höst, M., Ohlsson, M. C., Regnell, B., & Wesslén, A. (2012). Experimentation in Software Engineering. Berlin Heidelberg: Springer-Verlag.

Yeniman Yildirim, E., Akalp, G., Aytac, S., & Bayram, N. (2011). Factors influencing information security management in small- and medium-sized enterprises: A case study from Turkey.

International Journal of Information Management, 31(4), 360-365. doi:

10.1016/j.ijinfomgt.2010.10.006

Yin, R. K. (2014). Case study research : design and methods. London :: SAGE.

Bilaga A

Pålitlighet

Low statistical power Ej applicerbart. Arbetet utförs i huvudsak inte som ett kvantitativt arbete.

Violated assumption of statistical tests Ej applicerbart. Inga statistiska tester kommer att genomföras inom arbetet.

Fishing and the error rate Applicerbart. Hotet motverkas genom att öppet redovisa hur arbete genomförs i alla faser, transparens.

Reliability of measures Applicerbart. Motverkas genom att eventuella enkäter/intervjufrågor formuleras tillräckligt väl samt kontrolleras av någon/några utomstående. Vid intervjuer minskas hotet genom att oklarheter kan förklaras under intervjutillfället av frågeställaren

Reliability of treatment implementation Applicerbart. Motverkas genom att följa samma

frågeformulär vid varje intervju samt genomföra intervjuer under så lika förhållanden i övrigt som möjligt.

Random irrelevancies in experimental setting

Applicerbart. Svårt att kontrollera/motverka men viktigt att ta hänsyn till och vara uppmärksam på. Notera och öppet redovisa de avvikelser som uppstår under intervjuer.

Random heterogeneity of subjects Applicerbart, till viss utsträckning. Om informations-säkerhetsansvarig vid myndigheter ska intervjuas finns det ingen möjlighet att påverka urvalet. Om övrig personal ska intervjuas kan validitetshotet vara applicerbart.

Intern validitet

History Ej applicerbart. Intervjuer sker enbart vid ett tillfälle Maturation Applicerbart. Motverkas genom att intervjuer hålls korta

tidsmässigt samt att vara uppmärksam på om respondenten tröttnar.

Testing Ej applicerbart. Intervjuer genomförs enbart en gång.

Instrumentation Ej applicerbart. Inget experiment genomförs.

Statistical regression Ej applicerbart. Arbetet bygger inte på en tidigare studie.

Selection Applicerbart. Respondenten kan vara “tvingad” att ställa upp på grund av sin yrkesroll. Hotet bör däremot kunna betraktas som mindre då det ingår som en arbetsuppgift i yrkesrollen.

Mortality Ej applicerbart. Undersökningen pågår endast under en kort tidsperiod.

Ambiguity about direction of causal influence

Ej applicerbart. Inget experiment genomförs.

Interactions with selection

Ej applicerbart. Flera grupper används inte i undersökningen.

Diffusion of imitation of treatments Compensatory equalization of treatments

Applicerbart. Hotet minskas genom att nödvändiga begrepp definieras samt att vetenskapligt material används som teoretisk grund för arbetet.

Mono-operation bias Applicerbart. Hotet minskas genom att ett flertal

myndigheters klassningsmodeller ingår i studien samt att

flera personer intervjuas.

Mono-method bias Applicerbart. Hotet minskas genom att flera olika metoder ingår i arbetet: litteraturstudie, fallstudie samt

intervju/enkätundersökning Confounding constructs and levels of

constructs

Applicerbart. I en intervju motverkas hotet genom kontrollfrågor kring respondentens bakgrund och erfarenhet.

Interaction of different treatments Ej applicerbart inom arbetets ramar. Eventuella andra studier som pågår parallellt med detta arbete ligger utanför rimlig kontroll.

Interaction of testing and treatment Applicerbart. Hotet minskas genom att som frågeställare garantera anonymitet för respondenten samt att ett neutralt förhållningssätt gentemot respondenten tillämpas.

Restricted generalizability across constructs

Ej applicerbart då arbetet inte innebär någon behandling.

Hypothesis guessing Applicerbart. Hotet är svårt att undvika/kontrollera då det rör respondenten och respondentens egna tankar.

Evaluation apprehension Applicerbart. Hotet kan minskas genom att anonymitet garanteras för respondenten.

Experimenter expectancies Applicerbart. Hotet kan minskas genom att utomstående, neutral part med nödvändig sakkunskap kontrollerar intervjufrågor och deras konstruktion innan genomförande av intervjuer. Konstruera frågor som är neutrala, icke-ledande.

Extern validitet

Interaction of selection and treatment Applicerbart. Hotet minskas genom att kontrollfrågor ställs om respondentens bakgrund vid intervjuer för att på så sätt säkerställa validiteten.

Interaction of setting and treatment Ej applicerbart. Inga verktyg ingående i undersökningen bedöms vara så utdaterade att det skulle påverka validiteten

Interaction of history and treatment Applicerbart. Hotet är svårt att kontrollera då det beror på yttre omständigheter som påverkar respondenten vilka kanske inte ens kommer till intervjuarens kännedom.